Cybersécurité Pratique

Mise à jour MITRE ATT&CK v17

by  • 

Le framework MITRE ATT&CK, incontournable pour nous professionnels de la cybersécurité, évolue une nouvelle fois avec la publication de la version 17 en avril 2025.

Cette mise à jour majeure enrichit considérablement les domaines Enterprise, Mobile et ICS, et introduit des améliorations significatives en matière de couverture technique, de description des techniques adverses, et de structuration des connaissances.

Voici mon analyse de cette nouvelle version.

1. Nouveautés Structurantes de la Version v17

Intégration de la Plateforme VMware ESXi

Pour la première fois, ATT&CK intègre une plateforme dédiée aux hyperviseurs VMware ESXi.

Cette extension permet de cartographier les techniques spécifiques d’attaque ciblant cet environnement critique pour les infrastructures virtuelles d’entreprise. Les techniques comme ESXi Administration Command et Hypervisor CLI sont désormais formalisées.

Amélioration des Mitigations

Les descriptions de mitigation pour les environnements Enterprise ont été revues en profondeur.

Cette mise à jour rend leur application plus opérationnelle et mieux alignée avec les pratiques actuelles de défense.

Renommage de la Plateforme Network

La plateforme « Network » devient « Network Devices », clarifiant son périmètre en le restreignant aux dispositifs réseau (routeurs, switches, firewalls).

2. Refonte des Techniques : Revocations et Fusions

  • Hijack Execution Flow: DLL Side-Loading a été révoquée et fusionnée avec Hijack Execution Flow: DLL, soulignant la rationalisation des techniques souvent confondues.
  • Hijack Execution Flow: DLL Search Order Hijacking a été renommée pour intégrer les éléments de la technique précédente.

3. Chiffres Clés de la Version v17

  • 877 logiciels répertoriés.
  • 170 groupes APT et cybercriminels documentés.
  • 50 campagnes majeures analysées.

Par domaine :

  • Enterprise : 14 tactiques, 211 techniques, 468 sous-techniques, 755 logiciels.
  • Mobile : 12 tactiques, 75 techniques, 46 sous-techniques, 118 logiciels.
  • ICS : 12 tactiques, 83 techniques, 0 sous-techniques, 23 logiciels.

4. Techniques Enterprise : Nouveaux Ajouts Remarquables

Techniques Spécifiques à l’ESXi et à la Virtualisation :

  • Hypervisor CLI
  • ESXi Administration Command
  • Virtual Machine Discovery

Obfuscation et Détournement :

  • Obfuscated Files or Information: SVG Smuggling
  • Obfuscated Files or Information: Junk Code Insertion
  • Masquerading: Overwrite Process Arguments

Extensions et Outils :

  • Software Extensions: IDE Extensions
  • Trusted Developer Utilities Proxy Execution: JamPlus

Abus de Comportement Utilisateur :

  • User Execution: Malicious Copy and Paste
  • Email Bombing et Email Spoofing ajoutés comme techniques indépendantes.

5. Nouvelles Techniques Mobile et ICS

Mobile :

  • Introduction de la technique Virtualization Solution.
  • Mise à jour critique de SIM Card Swap en version 2.0.

ICS :

  • Patchs sur Alarm Suppression, Manipulate I/O Image, et Rootkit.
  • Nouveauté : FrostyGoop, logiciel malveillant ciblant les environnements industriels.

6. Nouveaux Groupes d’Adversaires

  • APT42 : Groupe soutenu par l’Iran, ciblant principalement le Moyen-Orient.
  • RedEcho : Groupe lié à des opérations sur les infrastructures critiques indiennes.
  • Sea Turtle : Connu pour ses attaques sur le DNS et les infrastructures critiques.
  • Velvet Ant et Salt Typhoon : Groupes récemment observés dans des campagnes ciblées.

7. Nouveaux Logiciels et Malwares Intégrés

Notables :

  • LightSpy, StrelaStealer, ShrinkLocker, Kapeka.
  • BlackByte 2.0, LockBit 3.0, Akira v2, illustrant l’évolution des ransomwares.

8. Campagnes Documentées

La version v17 introduit 13 nouvelles campagnes, dont :

  • ArcaneDoor : ciblant des dispositifs réseau.
  • Operation MidnightEclipse : attaques complexes multi-vecteurs.
  • RedDelta Modified PlugX Infection Chain : revisitant l’utilisation de PlugX.

9. Focus sur MITRE ATT&CK comme Référence Mondiale

Avec la version 17, MITRE ATT&CK confirme sa place en tant que référentiel mondial pour :

  • La Threat Intelligence.
  • Les analyses de cyberattaques.
  • L’alignement des défenses sur des techniques adverses précises.

L’enrichissement continu de ce framework reflète les tendances observées sur le terrain : montée des attaques sur les hyperviseurs, sophistication accrue des outils de Remote Access, et exploitation ciblée des faiblesses humaines et logicielles.

10. Ressources Officielles et Accès

Changelog officiel : https://attack.mitre.org/versions/v17/

Documentation MITRE : https://attack.mitre.org/resources/updates/updates-april-2025/

Ce que je retiens

Cette mise à jour d’avril 2025 n’est pas une simple évolution mais bien une adaptation stratégique aux nouvelles menaces. Elle fournit aux analystes, aux défenseurs, et aux décideurs une cartographie enrichie, indispensable pour structurer des défenses modernes, alignées sur la réalité des attaques.

Enjoy !