Выпущена новая версия MITRE ATT&CK (v.17)

Очередной релиз содержит множество изменений и дополнений, среди которых и описание новых групп злоумышленников, их кампаний, используемого ПО и, конечно же, новые техники и меры защиты.
Советую ознакомиться с удобочитаемым описанием изменений, где можно вплоть до запятой рассмотреть новшества

Для себя отметил следующие интересные изменения:
Добавлена матриц тактик и техник для платформы ESXi, в которую включили 30 адаптированных уже имеющихся в каталоге техник и 4 новых специфичных техники (T1675, T1059.12, T1505.006, T1673).
Добавлены техники, связанные с методами социальной инженерии – T1667: Email Bombing и T1204: Malicious Copy and Paste. Техники сами по себе давно известные, но авторы посчитали, что только сейчас пришло время их добавить, т.к. они "стали популярны в последнее время" у злоумышленников.
Добавили интересную технику T1668: Exclusive Control, которая описывает действия злоумышленников по недопущению "коллег по цеху" на скомпрометированную ими систему Чтобы не делиться с конкурентами захваченной инфраструктурой злоумышленник может "любезно" пропатчить ваш уязвимый хост, благодаря которому он проник в вашу сеть, или отключить ненужные службы и отобрать привилегированный доступ у скомпрометированный учетной записи
T1219.003: Remote Access Tools: Remote Access Hardware – техника использования легитимного оборудования для удаленного доступа, эдакий интерактивный бэкдор для обхода программной защиты. Злоумышленники могут использовать KVM-устройства (например, TinyPilot, PiKVM) для получения удаленного доступа к системе.
Среди кампаний стоит отметить добавление операции «Триангуляция», обнаруженную специалистами Лаборатории Касперского.
В целом, обновлений действительно много – только техник было добавлено более 25 штук. Стоит также отметить, что авторы также оптимизировали описание мер защиты и увеличили число практических примеров их использования

#mitre #attack #technique #ttp #apt