非營利組織MITRE發布了ATT&CK v19，對框架進行了一系列結構和情報方面的更新。期待已久的防禦規避拆分現已實現，改進了規避技術的分類和追蹤方式。工業控制系統（ICS）矩陣擴展了更細化的子技術，從而能夠更深入地了解工業攻擊路徑。檢測指南也在不斷發展，新的策略已擴展到行動環境。同時，網路威脅情報覆蓋範圍擴大，以反映新興模式，包括人工智慧策劃的間諜活動、伊朗駭客行動主義活動以及跨域擦除攻擊。

Amy L. Robertson在最近的一篇 Medium 文章中寫道：「此次發布體現了我們如何繼續努力使 ATT&CK 在每一層都更具可操作性，從更清晰的戰術邊界（與防御者實際思考對手意圖的方式相對應）、使廣泛行為更加精確和更具操作性的新型 ICS 子技術、提供從行為到遙測的數據範圍反映對手的移動性指南，以及可反映活動的威脅範圍。

ATT&CK v19 公告概述了一系列結構更新，其中五個父技術被重新組織，並細分為更細粒度的子技術。 T1693：修改韌體現在將系統韌體和模組韌體分開，以反映不同的檢測面和完整性監控要求。 T1695：阻塞通訊作為一項新技術被引入，它包含了串行通訊 (Serial COM)，並新增了乙太網路和Wi-Fi作為子技術，以捕獲物理層和網路層的中斷。

接下來是T0846：遠端系統發現，它已擴展以區分連接埠掃描、廣播發現和組播發現。 T0843：程式下載現在反映了攻擊者用於修改可程式控制器的不同方法，包括全部下載、線上編輯和程式追加。此外，新增了T1694：不安全憑證作為一項新技術，並將預設憑證和硬編碼憑證定義為子技術，以便更好地描述內建憑證的利用方式。

ICS 對照表提供了一種結構化的方法，用於將映射與 ATT&CK v19 對齊。對於標記為現有技術的條目，第一步是將先前的 ATT&CK ID 替換為更新的 v19 ID，更新相應的技術名稱，並在適用的情況下反映任何新的父技術分配。如果使用了 STIX 標識符，也應將其更新為對應的 v19 標識符。

已重新分類為子技術的技術需要直接重新映射，即將原有的獨立技術 ID 替換為新的子技術 ID，並記錄其關聯的父技術。如果技術在頂層保持不變，則無需重新映射，但應審查新引入的子技術，以確定是否可以進行更精確的映射。

此交叉表還引入了全新的父技術，用於組織更新後的結構。應在相關的映射中納入這些技術，以確保與修訂後的 ATT&CK 框架保持一致。

ATT&CK v19 更新擴大了伊朗和中國的網路威脅情報覆蓋範圍，同時追蹤人工智慧支援的攻擊手段、跨域行動、軟體供應鏈受損、報告不足地區的活動以及持續使用通用犯罪軟體的早期跡象。此次更新更聚焦於與伊朗相關的活動，包括與伊朗情報部有關的組織「虛空曼提科爾」（Void Manticore） 。該組織使用「漢達拉駭客」（Handala Hack）、「業力」（Karma）和「國土正義」（Homeland Justice）等化名，目前已被證實與針對美國機構的攻擊活動有關，其中包括2026年的「史特瑞克」裝甲車攻擊事件。此外， 「渾水」（ MuddyWater ）工具集也新增了「毒蛇」（MuddyViper）、「銹水」（RustyWater）和「食物」（Fooder）等工具，反映出其攻擊方式正持續朝著更隱蔽、更具適應性的方向發展。

ATT&CK v19 版本也捕捉了人工智慧賦能行動的早期跡象。 Anthropic AI 編排的活動記錄了與中國控制的集群相關的活動，該集群使用 Claude 代碼自主執行多階段間諜活動的大部分環節。同時，LAMEHUG 被揭露為首個在實際操作中查詢大型語言模型的惡意軟體，該惡意軟體與 APT28 有關聯。

去年七月，MITRE發布了檢測策略，旨在為防禦者提供針對特定平台的實用指導，以檢測 ATT&CK 技術。每項策略都將攻擊者的行為與分析、日誌來源和可調參數連結起來，幫助團隊在不同環境中清楚追蹤從攻擊技術到遙測資料的路徑。

Robinson詳細闡述道，隨著ATT&CK v19的發布，防禦與行動團隊開始將偵測策略應用於行動領域。移動檢測策略旨在反映可見性通常不均衡，並且取決於防御者所使用的工具。為了解決這個問題，該指南與供應商無關，旨在適用於各種可見性級別。它側重於防御者無論使用何種移動安全產品都能觀察到的實際信號，並明確指出可見性方面的不足之處以及需要哪些遙測數據或工具來填補這些不足。

Robinson在談到人工智慧和社會工程技術時提到：我們正在繼續研究 ATT&CK 的覆蓋範圍應該擴大到哪些方面，尤其是在人工智慧和社會工程的對抗性應用方面。在這兩種情況下，核心問題都是一樣的：這種行為是否會產生顯著不同的檢測、防禦響應或分析需求，還是僅僅是已涵蓋內容的變體？

ATT&CK v19 版本引入了多項新技術，擴展了 ATT&CK 對攻擊者如何利用人工智慧 (AI) 進行大規模研究和內容生成的覆蓋範圍，同時也專門設立了一個父技術來規範社會工程學。 T1682：查詢公共 AI 服務，描述了威脅行為者如何利用公開可用的 AI 平台進行大規模目標研究和行動規劃。 T1683：產生內容，及其針對書面和視聽資料的子技術，反映了攻擊者如何透過人工、第三方和 AI 輔助的工作流程來開發內容。

在社會工程方面，T1684：社會工程建立了一個統一的框架，用於在電子郵件、語音、協作平台和幫助台互動等管道中進行基於信任的操縱，以觸發用戶授權的操作，包括密碼重置、MFA 更改、財務批准或披露敏感資訊。

現有的身份冒用和電子郵件欺騙技術已在此框架下進行了重構。相關的偵測策略著重於一致的行為模式，即可疑互動之後會伴隨異常的使用者授權操作，使防禦者能夠基於行為而非特定管道的訊號進行偵測。

最後，Robinson寫道：今年還有更多精彩內容即將推出，我們將很快發布路線圖，詳細介紹ATT&CK的各項變更和新增功能。ATT &CKcon 7.0將於10月27日至28日舉行，我們將在未來幾個月內發布徵稿啟事。

資料來源：https://industrialcyber.co/industrial-cyber-attacks/mitre-attck-v19-brings-structural-overhaul-industrial-visibility-detection-strategies-as-ai-driven-attacks-emerge/