LATEST
Οι παλιές τεχνικές LOTL και phishing εξελίσσονται
Η HP δημοσίευσε την τελευταία έκδοση της έκθεσης Threat Insights Report, στην οποία αποκαλύπτει πώς οι παλιές τεχνικές LOTL (living-off-the-land) και phishing εξελίσσονται για να παρακάμψουν τα παραδοσιακά εργαλεία ασφάλειας που βασίζονται στην ανίχνευση. Οι τεχνικές LOTL, στις οποίες οι επίδοξοι εισβολείς χρησιμοποιούν νόμιμα εργαλεία και λειτουργίες που είναι ενσωματωμένα σε έναν υπολογιστή για να πραγματοποιήσουν τις επιθέσεις τους, αποτελούν από καιρό βασικό στοιχείο του οπλοστασίου των δραστών απειλών. Ωστόσο, οι ερευνητές απειλών της HP προειδοποιούν ότι η αυξανόμενη χρήση πολλαπλών, συχνά ασυνήθιστων, δυαδικών αρχείων σε μία μόνο εκστρατεία καθιστά ακόμα πιο δύσκολη τη διαδικασία να διακριθεί η κακόβουλη από τη νόμιμη δραστηριότητα.
Η έκθεση παρέχει μια ανάλυση πραγματικών κυβερνοεπιθέσεων, βοηθώντας τους οργανισμούς να συμβαδίζουν με τις τελευταίες τεχνικές που χρησιμοποιούν οι κυβερνοεγκληματίες για να αποφύγουν τον εντοπισμό και να παραβιάσουν υπολογιστές στο ταχέως μεταβαλλόμενο τοπίο του κυβερνοεγκλήματος. Με βάση τα εκατομμύρια τερματικών που εκτελούν το HP Wolf Security, οι αξιοσημείωτες εκστρατείες που εντοπίστηκαν από τους ερευνητές απειλών της HP περιλαμβάνουν:
Ψεύτικο τιμολόγιο Adobe Reader, που σηματοδοτεί νέο κύμα εξαιρετικά εξελιγμένων τεχνικών κοινωνικής μηχανικής: Οι επιτιθέμενοι ενσωμάτωσαν ένα αντίστροφο κέλυφος, ένα σενάριο που τους παρέχει τον έλεγχο της συσκευής του θύματος. Το σενάριο ενσωματώθηκε σε μια μικρή εικόνα SVG, μεταμφιεσμένη ως ένα πολύ ρεαλιστικό αρχείο Adobe Acrobat Reader, με ψεύτικη γραμμή φόρτωσης δημιουργώντας την ψευδαίσθηση μιας συνεχιζόμενης μεταφόρτωσης, αυξάνοντας τις πιθανότητες τα θύματα να το ανοίξουν και να ενεργοποιήσουν μια αλυσίδα μόλυνσης. Οι επιτιθέμενοι περιόρισαν επίσης τη λήψη σε γερμανόφωνες περιοχές για να περιορίσουν την έκθεση, να εμποδίσουν τα αυτοματοποιημένα συστήματα ανάλυσης και να καθυστερήσουν την ανίχνευση.
Επιτιθέμενοι που κρύβουν κακόβουλο λογισμικό σε αρχεία εικόνων pixel: Οι επιτιθέμενοι χρησιμοποίησαν αρχεία Microsoft Compiled HTML Help για να κρύψουν κακόβουλο κώδικα μέσα σε εικόνες pixel. Τα αρχεία, που ήταν μεταμφιεσμένα ως έγγραφα έργου, έκρυβαν ένα payload XWorm στα δεδομένα pixel, το οποίο στη συνέχεια εξάγονταν και χρησιμοποιούνταν για την εκτέλεση μιας αλυσίδας μόλυνσης πολλαπλών βημάτων που περιλάμβανε πολλαπλές τεχνικές LOTL. Το PowerShell χρησιμοποιήθηκε επίσης για την εκτέλεση ενός αρχείου CMD που διέγραφε τα ίχνη των αρχείων μετά τη λήψη και την εκτέλεσή τους.
Η αναζωπύρωση του Lumma Stealer εξαπλώνεται μέσω αρχείων IMG: Το Lumma Stealer ήταν μία από τις πιο ενεργές οικογένειες κακόβουλου λογισμικού που παρατηρήθηκαν το δεύτερο τρίμηνο. Οι επιτιθέμενοι το διανέμουν μέσω πολλαπλών καναλιών, συμπεριλαμβανομένων των συνημμένων αρχείων IMG που χρησιμοποιούν τεχνικές LOTL για να παρακάμψουν τα φίλτρα ασφαλείας και να εκμεταλλευτούν αξιόπιστα συστήματα. Παρά την καταστολή στις αρχές Μαΐου του 2025, οι εκστρατείες συνεχίστηκαν τον Ιούνιο και η ομάδα έχει ήδη καταχωρίσει περισσότερα domain και έχει δημιουργήσει υποδομή.
Αυτές οι εκστρατείες δείχνουν πόσο δημιουργικοί και ευέλικτοι έχουν γίνει οι δράστες απειλών. Κρύβοντας κακόβουλο κώδικα σε εικόνες, καταχρώντας αξιόπιστα εργαλεία του συστήματος και προσαρμόζοντας ακόμη και τις επιθέσεις σε συγκεκριμένες περιοχές, δυσκολεύουν τα παραδοσιακά εργαλεία ανίχνευσης να εντοπίσουν τις απειλές.