Η HP δημοσίευσε την τελευταία έκδοση της έκθεσης Threat Insights Report, στην οποία αποκαλύπτει πώς οι παλιές τεχνικές LOTL (living-off-the-land) και phishing εξελίσσονται για να παρακάμψουν τα παραδοσιακά εργαλεία ασφάλειας που βασίζονται στην ανίχνευση. Οι τεχνικές LOTL, στις οποίες οι επίδοξοι εισβολείς χρησιμοποιούν νόμιμα εργαλεία και λειτουργίες που είναι ενσωματωμένα σε έναν υπολογιστή για να πραγματοποιήσουν τις επιθέσεις τους, αποτελούν από καιρό βασικό στοιχείο του οπλοστασίου των δραστών απειλών. Ωστόσο, οι ερευνητές απειλών της HP προειδοποιούν ότι η αυξανόμενη χρήση πολλαπλών, συχνά ασυνήθιστων, δυαδικών αρχείων σε μία μόνο εκστρατεία καθιστά ακόμη πιο δύσκολη τη διαδικασία να διακριθεί η κακόβουλη από τη νόμιμη δραστηριότητα.
Η έκθεση παρέχει μια ανάλυση πραγματικών κυβερνοεπιθέσεων, βοηθώντας τους οργανισμούς να συμβαδίζουν με τις τελευταίες τεχνικές που χρησιμοποιούν οι κυβερνοεγκληματίες για να αποφύγουν τον εντοπισμό και να παραβιάσουν υπολογιστές στο ταχέως μεταβαλλόμενο τοπίο του κυβερνοεγκλήματος. Με βάση τα εκατομμύρια τερματικών που εκτελούν το HP Wolf Security, οι αξιοσημείωτες εκστρατείες που εντοπίστηκαν από τους ερευνητές απειλών της HP περιλαμβάνουν:
- Ψεύτικο τιμολόγιο Adobe Reader σηματοδοτεί νέα κύμα εξαιρετικά εξελιγμένων τεχνικών κοινωνικής μηχανικής: Οι επιτιθέμενοι ενσωμάτωσαν ένα αντίστροφο κέλυφος – ένα σενάριο που τους παρέχει τον έλεγχο της συσκευής του θύματος. Το σενάριο ενσωματώθηκε σε μια μικρή εικόνα SVG, μεταμφιεσμένη ως ένα πολύ ρεαλιστικό αρχείο Adobe Acrobat Reader, με ψεύτικη γραμμή φόρτωσης – δημιουργώντας την ψευδαίσθηση μιας συνεχιζόμενης μεταφόρτωσης, αυξάνοντας τις πιθανότητες τα θύματα να το ανοίξουν και να ενεργοποιήσουν μια αλυσίδα μόλυνσης. Οι επιτιθέμενοι περιόρισαν επίσης τη λήψη σε γερμανόφωνες περιοχές για να περιορίσουν την έκθεση, να εμποδίσουν τα αυτοματοποιημένα συστήματα ανάλυσης και να καθυστερήσουν την ανίχνευση.
- Επιτιθέμενοι που κρύβουν κακόβουλο λογισμικό σε αρχεία εικόνων pixel: Οι επιτιθέμενοι χρησιμοποίησαν αρχεία Microsoft Compiled HTML Help για να κρύψουν κακόβουλο κώδικα μέσα σε εικόνες pixel. Τα αρχεία, που ήταν μεταμφιεσμένα ως έγγραφα έργου, έκρυβαν ένα payload XWorm στα δεδομένα pixel, το οποίο στη συνέχεια εξάγονταν και χρησιμοποιούνταν για την εκτέλεση μιας αλυσίδας μόλυνσης πολλαπλών βημάτων που περιελάμβανε πολλαπλές τεχνικές LOTL. Το PowerShell χρησιμοποιήθηκε επίσης για την εκτέλεση ενός αρχείου CMD που διέγραφε τα ίχνη των αρχείων μετά τη λήψη και την εκτέλεσή τους.
- Η αναζωπύρωση του Lumma Stealer εξαπλώνεται μέσω αρχείων IMG: Το Lumma Stealer ήταν μία από τις πιο ενεργές οικογένειες κακόβουλου λογισμικού που παρατηρήθηκαν το δεύτερο τρίμηνο. Οι επιτιθέμενοι το διανέμουν μέσω πολλαπλών καναλιών, συμπεριλαμβανομένων των συνημμένων αρχείων IMG που χρησιμοποιούν τεχνικές LOTL για να παρακάμψουν τα φίλτρα ασφαλείας και να εκμεταλλευτούν αξιόπιστα συστήματα. Παρά την καταστολή στις αρχές Μαΐου του 2025, οι εκστρατείες συνεχίστηκαν τον Ιούνιο και η ομάδα έχει ήδη καταχωρίσει περισσότερα domain και έχει δημιουργήσει υποδομή.
Ο Alex Holland, Principal Threat Researcher στο HP Security Lab, σχολιάζει: «Οι επιτιθέμενοι δεν ανακαλύπτουν τον τροχό, αλλά βελτιώνουν τις τεχνικές τους. Οι μέθοδοι Living-off-the-land, reverse shells και phishing υπάρχουν εδώ και δεκαετίες, αλλά οι σημερινοί δράστες απειλών τις τελειοποιούν. Παρατηρούμε περισσότερη αλυσιδωτή χρήση εργαλείων living-off-the-land και χρήση λιγότερο προφανών τύπων αρχείων, όπως εικόνες, για να αποφύγουν τον εντοπισμό. Πάρτε για παράδειγμα τα reverse shells – δεν χρειάζεται να χρησιμοποιήσετε ένα πλήρως ανεπτυγμένο RAT όταν ένα απλό, ελαφρύ σενάριο θα επιτύχει το ίδιο αποτέλεσμα. Είναι απλό, γρήγορο και συχνά περνάει απαρατήρητο επειδή είναι τόσο απλό».
Αυτές οι εκστρατείες δείχνουν πόσο δημιουργικοί και ευέλικτοι έχουν γίνει οι δράστες απειλών. Κρύβοντας κακόβουλο κώδικα σε εικόνες, καταχρώντας αξιόπιστα εργαλεία του συστήματος και προσαρμόζοντας ακόμη και τις επιθέσεις σε συγκεκριμένες περιοχές, δυσκολεύουν τα παραδοσιακά εργαλεία ανίχνευσης να εντοπίσουν τις απειλές.
Απομονώνοντας τις απειλές που έχουν ξεφύγει από τα εργαλεία ανίχνευσης στους υπολογιστές – αλλά επιτρέποντας παράλληλα στο κακόβουλο λογισμικό να ενεργοποιηθεί με ασφάλεια μέσα σε ασφαλείς περιβλήματα – η HP Wolf Security έχει συγκεκριμένη εικόνα των τελευταίων τεχνικών που χρησιμοποιούν οι κυβερνοεγκληματίες. Μέχρι σήμερα, οι πελάτες της HP Wolf Security έχουν κάνει κλικ σε πάνω από 55 δισεκατομμύρια συνημμένα email, ιστοσελίδες και αρχεία που έχουν κατεβάσει, χωρίς να έχουν αναφερθεί παραβιάσεις.
Η έκθεση, η οποία εξετάζει δεδομένα από τον Απρίλιο έως τον Ιούνιο του 2025, περιγράφει λεπτομερώς τον τρόπο με τον οποίο οι κυβερνοεγκληματίες συνεχίζουν να διαφοροποιούν τις μεθόδους επίθεσης για να παρακάμψουν τα εργαλεία ασφαλείας που βασίζονται στην ανίχνευση, όπως:
- Τουλάχιστον το 13% των απειλών μέσω email που εντοπίστηκαν από το HP Sure Click παρακάμπτουν έναν ή περισσότερους σαρωτές πύλης email.
- Τα αρχεία αρχειοθέτησης ήταν ο πιο δημοφιλής τύπος παράδοσης (40%), ακολουθούμενα από εκτελέσιμα αρχεία και σενάρια (35%).
- Οι εισβολείς συνεχίζουν να χρησιμοποιούν αρχεία .rar (26%), γεγονός που υποδηλώνει ότι εκμεταλλεύονται αξιόπιστο λογισμικό όπως το WinRAR για να αποφύγουν να κινήσουν υποψίες.
Ο Δρ. Ian Pratt, Global Head of Security for Personal Systems της HP Inc., σχολιάζει: «Οι τεχνικές Living off the land είναι ιδιαίτερα δύσκολες για τις ομάδες ασφάλειας, επειδή είναι δύσκολο να διακρίνει κανείς τις πράσινες σημαίες από τις κόκκινες, δηλαδή τις νόμιμες δραστηριότητες από τις επιθέσεις. Βρίσκεστε σε δίλημμα: να περιορίσετε τη δραστηριότητα και να δημιουργήσετε προβλήματα στους χρήστες και αιτήματα στο SOC ή να την αφήσετε ανοιχτή και να διακινδυνεύσετε να περάσει κάποιος εισβολέας. Ακόμη και η καλύτερη ανίχνευση θα παραλείψει ορισμένες απειλές, επομένως η βαθιά άμυνα με περιορισμό και απομόνωση είναι απαραίτητη για να παγιδεύσετε τις επιθέσεις πριν προλάβουν να προκαλέσουν ζημιά».
Μπορείτε να διαβάσετε ολόκληρη την έκθεση Threat Research εδώ.
