MITRE выпустила новая версию своего справочника att&ck

Новая версия заметно меняет привычную структуру, пишут в Securitylab: разработчики разделили слишком широкую категорию Defense Evasion, добавили больше деталей для промышленных систем и расширили покрытие атак с использованием ИИ, социальной инженерии и мобильных угроз.

Главное изменение затронуло тактику Defense Evasion. Раньше туда попадали и попытки злоумышленников скрыться в инфраструктуре, и действия, направленные на вывод защитных средств из строя. В ATT&CK v19 прежняя категория заменена двумя направлениями:

• Stealth описывает маскировку поведения, запуск легитимных утилит в вредоносных целях, обфускацию полезной нагрузки и выдачу процессов за доверенные.
• Defense Impairment охватывает отключение EDR, вмешательство в журналы, обход доверенных механизмов и другие действия, которые ломают защиту.

Из-за перестройки часть техник получила новые идентификаторы. MITRE отдельно предупредила команды, которые сопоставляют свои правила и отчёты с T1562, поскольку прежняя техника Impair Defenses и несколько её подтехник объединены и переоформлены в T1685 Disable or Modify Tools. Также появились T1687 Exploitation for Defense Impairment и T1686.003 Disable or Modify System Firewall: Windows Host Firewall.

ATT&CK v19 расширяет описание атак, где злоумышленники используют ИИ. Новая техника T1682 Query Public AI Services описывает запросы к публичным ИИ-сервисам для разведки целей и планирования операций. T1683 Generate Content охватывает подготовку текстового, аудио- и визуального контента, включая материалы, созданные вручную, через подрядчиков или с помощью ИИ. Социальная инженерия теперь вынесена в отдельную родительскую технику T1684, куда перенесли подмену личности и спуфинг электронной почты.

Матрица для промышленных систем стала точнее. MITRE добавила подтехники для изменения прошивки, блокировки связи по Serial COM, Ethernet и Wi-Fi, удалённого обнаружения систем, загрузки программ в контроллеры и злоупотребления небезопасными учётными данными. Такой уровень детализации помогает точнее связывать поведение атакующих с телеметрией и проверками целостности.

Мобильное направление тоже получило заметное обновление. Стратегии обнаружения теперь охватывают часть техник для Mobile и дают практические ориентиры для Android и iOS. В матрицу добавлены VajraSpy, DocSwap и Crocodilus, а техника Phishing обновлена с учётом голосового фишинга, где атакующие клонируют голоса с помощью ИИ.

В блоке киберразведки MITRE добавила новые сведения об иранских и китайских группировках, вредоносных программах для атак на сетевые устройства, кампаниях с вайперами, компрометациях npm-экосистемы и инструментах, применяемых в вымогательских операциях. Отдельно отмечены Anthropic AI-orchestrated Campaign и LAMEHUG, связанный с использованием большой языковой модели в реальных операциях.