APT 命名標準新視界:國際駭客命名規範
- 發布單位:TWCERT/CC
- 更新日期:2025-01-23
- 點閱次數:2527

在資安領域中,針對情資威脅分析,各家資安廠商對不同的國際駭客APT組織使用不同的命名方式。Mandiant命名格式為「APT-數字」,如常攻擊台灣的APT-10;對於尚不明確的APT組織則以「TEMP-英文」作為代稱,如TEMP-HEX;另外還有以「UNC 數字」命名,如UNC 3236。這些命名方式有助於資安專家快速識別和應對潛在的威脅。
近年微軟開始發布針對威脅情資的文章,並以「typhoon」作為各個APT組織命名的結尾,例如Volt Typhoon是近期新聞中常見的中國駭客組織名稱,主要針對台灣進行攻擊。
各家資安廠商對不同駭客組織的命名方式各有特色,部分命名會對應到比較大眾通用的駭客組織名稱,例如Mustang Panda是東亞地區非常活躍的中國駭客組織,經常針對台灣發動攻擊。在描述攻擊事件時,各家廠商使用自己的定義名稱,再標示該組織即是Mustang Panda。
這些命名規則對於專業深耕於資安領域的威脅情資研究人員或許不成問題,但對於一般企業而言,閱讀不同廠商對駭客攻擊事件的描述時,可能難以區分多個事件是否由同一駭客組織所為,只因這些組織的名稱各不相同。
此外,有些對於駭客組織的定義部分雷同,但實際上可能並不相同,舉例來說,A資安廠商和B資安廠商各自針對發現的APT組織命名,甚至觀察到相同的開源工具和惡意程式進行入侵,然而該惡意程式可能是此國家地區常用的共用惡意程式。如PlugX常見於中國地區的駭客組織使用,因此在描述攻擊事件時,兩家廠商可能會誤認為是同一駭客組織所為,而實際上卻可能是不同的兩個組織進行的攻擊。
圖1:各家資安廠商對於駭客組織定義的示意圖(TWCERT/CC整理)。
在探討駭客組織的歸因時,各家資安廠商定義和描述存在各異,這已成為當前需要面對和處理的課題。為了改善這一情況,MISP(Malware
Information Sharing Platform)官方提出了針對APT組織命名的建議。儘管目前尚未完善,但提供威脅情資分析師和情資威脅平台建置一個參考標準,旨在促進不同組織之間的情資分享和溝通。
MISP官方對APT組織命名規則提出一些具體建議,以提高命名的一致性和準確性。例如命名APT組織時,該名稱不能是字典上的單字,若名字有多個部分組成,必須使用破折號進行分隔,名稱長度以7的ASCII長度為主。另外,命名方式也不可以使用的工具、技術、模式命名,像是有一個APT組織被命名為Turla
,但
它同時也代表是惡意程式名稱,這樣的命名方式被視為不適合。
整體而言,各家資安廠商使用不同名稱描述同一駭客組織,使得識別上產生困難。儘管MISP公布的標準草案並不完善,但這是一個良好的開端,若未來能實現APT組織名稱的統一化,將有助於一般企業更好掌握入侵指標(IoC),從而有效預防潛在威脅。