TM_811

8 30|9|2025 #811 Η HP δ ημοσίευσε την τελευταία έκδο- ση της έκθεσης Threat Insights Report, στην οποία αποκαλύπτει πώς οι παλιές τεχνικές LOTL (living-off-the-land) και phishing εξελίσσονται για να παρακάμ- ψουν τα παραδοσιακά εργαλεία ασφά- λειας που βασίζονται στην ανίχνευση. Οι τεχνικές LOTL, στις οποίες οι επίδοξοι ει- σβολείς χρησιμοποιούν νόμιμα εργαλεία και λειτουργίες που είναι ενσωματωμένα σε έναν υπολογιστή για να πραγματοποι- ήσουν τις επιθέσεις τους, αποτελούν από καιρό βασικό στοιχείο του οπλοστασίου των δραστών απειλών. Ωστόσο, οι ερευ- νητές απειλών της HP προειδοποιούν ότι η αυξανόμενη χρήση πολλαπλών, συχνά ασυνήθιστων, δυαδικών αρχείων σε μία μόνο εκστρατεία καθιστά ακόμα πιο δύ- σκολη τη διαδικασία να διακριθεί η κα- κόβουλη από τη νόμιμη δραστηριότητα. Η έκθεση παρέχει μια ανάλυση πραγμα- τικών κυβερνοεπιθέσεων, βοηθώντας τους οργανισμούς να συμβαδίζουν με τις τελευταίες τεχνικές που χρησιμοποιούν οι κυβερνοεγκληματίες για να αποφύγουν τον εντοπισμό και να παραβιάσουν υπολο- γιστές στο ταχέως μεταβαλλόμενο τοπίο του κυβερνοεγκλήματος. Με βάση τα εκα- τομμύρια τερματικών που εκτελούν το HP Wolf Security, οι αξιοσημείωτες εκστρατεί- ες που εντοπίστηκαν από τους ερευνητές απειλών της HP περιλαμβάνουν: Ψεύτικο τιμολόγιο Adobe Reader, που σηματοδοτεί νέο κύμα εξαιρετικά εξε- λιγμένων τεχνικών κοινωνικής μηχα- νικής: Οι επιτιθέμενοι ενσωμάτωσαν ένα αντίστροφο κέλυφος, ένα σενάριο που τους παρέχει τον έλεγχο της συσκευής του θύματος. Το σενάριο ενσωματώθηκε σε μια μικρή εικόνα SVG, μεταμφιεσμένη ως ένα πολύ ρεαλιστικό αρχείο Adobe Acrobat Reader, με ψεύτικη γραμμή φόρ- τωσης δημιουργώντας την ψευδαίσθη- ση μιας συνεχιζόμενης μεταφόρτωσης, αυξάνοντας τις πιθανότητες τα θύματα να το ανοίξουν και να ενεργοποιήσουν μια αλυσίδα μόλυνσης. Οι επιτιθέμενοι περιόρισαν επίσης τη λήψη σε γερμανό- φωνες περιοχές για να περιορίσουν την έκθεση, να εμποδίσουν τα αυτοματοποι- ημένα συστήματα ανάλυσης και να καθυ- στερήσουν την ανίχνευση. Επιτιθέμενοι που κρύβουν κακό- βουλο λογισμικό σε αρχεία εικόνων pixel: Οι επιτιθέμενοι χρησιμοποίησαν αρχεία Microsoft Compiled HTML Help για να κρύψουν κακόβουλο κώδικα μέσα σε εικόνες pixel. Τα αρχεία, που ήταν μεταμφιεσμένα ως έγγραφα έρ- γου, έκρυβαν ένα payload XWorm στα δεδομένα pixel, το οποίο στη συνέχεια εξάγονταν και χρησιμοποιούνταν για την εκτέλεση μιας αλυσίδας μόλυν- σης πολλαπλών βημάτων που περι- λάμβανε πολλαπλές τεχνικές LOTL. Το PowerShell χρησιμοποιήθηκε επίσης για την εκτέλεση ενός αρχείου CMD που διέγραφε τα ίχνη των αρχείων μετά τη λήψη και την εκτέλεσή τους. Η αναζωπύρωση του Lumma Stealer εξαπλώνεται μέσω αρχείων IMG: Το Lumma Stealer ήταν μία από τις πιο ενερ- γές οικογένειες κακόβουλου λογισμικού που παρατηρήθηκαν το δεύτερο τρίμη- νο. Οι επιτιθέμενοι το διανέμουν μέσω πολλαπλών καναλιών, συμπεριλαμβα- νομένων των συνημμένων αρχείων IMG που χρησιμοποιούν τεχνικές LOTL για να παρακάμψουν τα φίλτρα ασφαλείας και να εκμεταλλευτούν αξιόπιστα συστή- ματα. Παρά την καταστολή στις αρχές Μαΐου του 2025, οι εκστρατείες συνεχί- στηκαν τον Ιούνιο και η ομάδα έχει ήδη καταχωρίσει περισσότερα domain και έχει δημιουργήσει υποδομή. Αυτές οι εκστρατείες δείχνουν πόσο δη- μιουργικοί και ευέλικτοι έχουν γίνει οι δράστες απειλών. Κρύβοντας κακόβου- λο κώδικα σε εικόνες, καταχρώντας αξιό- πιστα εργαλεία του συστήματος και προ- σαρμόζοντας ακόμη και τις επιθέσεις σε συγκεκριμένες περιοχές, δυσκολεύουν τα παραδοσιακά εργαλεία ανίχνευσης να εντοπίσουν τις απειλές. Οι παλιές τεχνικές LOTL και phishing εξελίσσονται