Source : Picus Security — L’analyse détaille les tactiques, techniques et procédures (TTPs) d’UNC3886, un groupe APT lié à la Chine visant des infrastructures critiques en Asie, Europe et Amérique du Nord, et montre comment la Picus Security Validation Platform simule ces attaques pour révéler les lacunes de détection.
• Accès initial 🛠️ : exploitation de zero-days dans des systèmes d’entreprise, notamment Fortinet et VMware. • Persistance 🧬 : déploiement de rootkits sophistiqués, dont TinyShell et REPTILE, pour une présence de longue durée. • Évasion 🕵️ : utilisation d’outils renommés et de manipulation d’horodatage pour masquer l’activité. • Accès aux identifiants 🔐 : collecte de clés privées SSH. • Commandement et contrôle 📡 : C2 chiffré sur des ports non standard. • Exfiltration 📤 : exfiltration chiffrée des données.
L’étude aligne ces activités sur le cadre MITRE ATT&CK et fournit des commandes de simulation Picus permettant de reproduire en toute sécurité chaque technique afin d’identifier les écarts de détection et valider les contrôles de sécurité.
TTPs (MITRE ATT&CK) cités 🎯 :
- T1036.003 (Masquerade) — renommage d’outils
- T1564 (Hide Artifacts) — manipulation/masquage
- T1552.004 (Unsecured Credentials: Private Keys) — collecte de clés SSH
- T1571 (Non-Standard Port) — C2 sur ports non standard
- T1041 (Exfiltration Over C2 Channel) — exfiltration chiffrée
- T1547.006 (Boot or Logon Autostart Execution) — mécanismes de persistance
Conclusion : article de type analyse de menace, dont l’objectif principal est de documenter les TTPs d’UNC3886 et de démontrer comment la Picus Security Validation Platform peut les simuler pour valider les contrôles de sécurité.
🧠 TTPs et IOCs détectés
TTPs
T1036.003, T1564, T1552.004, T1571, T1041, T1547.006
IOCs
Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse fournie.
🔗 Source originale : https://www.picussecurity.com/resource/blog/unc3886-tactics-techniques-and-procedures-ttps-full-technical-breakdown