Firma HP Inc. (NYSE: HPQ) opublikowała właśnie najnowszy raport Threat Insights Report, w którym ujawnia, w jaki sposób znane od dawna techniki LOTL i phishing ewoluują w celu ominięcia tradycyjnych narzędzi wykrywających. Badania HP Wolf Security pokazują, iż hakerzy łączą techniki typu „living-off-the-land” (LOTL) do wykorzystania słabych punktów systemów bezpieczeństwa. Z najnowszego raportu HP Wolf Security wynika że:
- cyberprzestępcy zastawiają wysoce dopracowane, fałszywe pułapki w postaci czytników plików PDF, aby wykorzystać zaufanie do używanych codziennie aplikacji. Hakerzy ukrywają złośliwy kod w danych obrazów pikselowych, aby zaatakować użytkowników, a następnie usuwają dowody i zacierają ślady.
- podczas cyberataków wykorzystywana jest kombinacja narzędzi „living-off-the-land” (LOTL) – tj. funkcji wbudowanych w środowisko Windows.
Techniki LOTL, w których hakerzy do przeprowadzania ataków wykorzystują legalne narzędzia i funkcje wbudowane w komputer, stosowane są przez hakerów od dłuższego czasu. Specjaliści HP Wolf Security1 ostrzegają jednak, iż coraz częstsze wykorzystywanie wielu, często nietypowych plików binarnych w ramach jednej kampanii sprawia, iż znacznie trudniej jest w tej chwili odróżnić działania złośliwe od legalnych.
Raport zawiera analizę przeprowadzonych cyberataków, pomagając tym samym firmom uzyskać wgląd w najnowsze techniki stosowane przez cyberprzestępców. Na podstawie milionów urządzeń korzystających z systemu HP Wolf Security, analitycy HP zidentyfikowali poniższe złośliwe kampanie:
- Fałszywa faktura Adobe Reader zapowiada nową falę wyjątkowo dopracowanych pułapek socjotechnicznych: Hakerzy umieścili w pliku odwrotną powłokę – skrypt, który daje im kontrolę nad urządzeniem ofiary. Umieszczali go w małym obrazie SVG pod postacią realistycznie wyglądającego pliku Adobe Acrobat Reader wraz z fałszywym paskiem ładowania. Użytkownik miał odnosić wrażenie, iż trwa przesyłanie pliku. Dzięki temu zwiększało się prawdopodobieństwo, iż go otworzy i uruchomi łańcuch infekcji. Atakujący ograniczyli również dostęp do pliku do regionów niemieckojęzycznych, aby ograniczyć jego zasięg i utrudnić tym samym działanie automatycznych systemów analitycznych i wykrywających.
- Hakerzy ukrywają złośliwe oprogramowanie w plikach pikselowych: Cyberprzestępcy wykorzystali pliki Pomocy HTML Microsoft do ukrycia złośliwego kodu w pikselach obrazu. Pliki te, podszywające się pod dokumenty projektowe, zawierały w danych pikselowych program XWorm, który następnie był wyodrębniony i wykorzystany do wykonania wieloetapowego łańcucha infekcji z wykorzystaniem wielu technik LOTL. Do uruchomienia pliku CMD, który usuwał ślady pobranych i uruchomionych plików, wykorzystano również PowerShell.
- Odradzający się Lumma Stealer rozprzestrzenia się poprzez archiwa IMG: Lumma Stealer to jedno z najbardziej aktywnych złośliwych oprogramowań obserwowanych w drugim kwartale. Atakujący rozpowszechniali go za pośrednictwem wielu kanałów, w tym załączników archiwów IMG, które wykorzystują techniki LOTL, aby ominąć filtry bezpieczeństwa i wykorzystać zaufane systemy. Pomimo działań organów ścigania w maju 2025 r., kampanie były kontynuowane w czerwcu, a Lumma Stealer rejestruje już kolejne domeny i buduje całą infrastrukturę.
Opisane kampanie pokazują, jak kreatywni i zdolni do zmian stali się cyberprzestępcy. Ukrywając złośliwy kod w obrazach, nadużywając zaufanych narzędzi systemowych, a choćby dostosowując ataki do konkretnych regionów, hakerzy znacząco utrudniają tradycyjnym narzędziom wykrywania zagrożeń ich identyfikację.
„Hakerzy nie tworzą od podstaw nowych metod ataków, ale udoskonalają dobrze znane techniki. LOTL, odwrotne powłoki i phishing są znane od dziesięcioleci, ale dzisiejsi cyberprzestępcy przenoszą je na wyższy level” – podkreśla Alex Holland, Principal Threat Researcher, HP Security Lab. „W celu uniknięcia wykrycia obserwujemy coraz częstsze łączenie narzędzi typu LOTL z wykorzystaniem mniej oczywistych typów plików, takich jak obrazy. I tak na przykład w przypadku odwrotnych powłok, nie trzeba stosować w pełni rozwiniętego RAT, skoro prosty, niewielki skrypt pozwala osiągnąć ten sam efekt. Taka metoda jest prosta, szybka i – co ważne – ze względu na swoją prostotę często pozostaje niezauważona”
Dzięki unikalnej technologii izolowania potencjalnych zagrożeń, HP Wolf Security może szczegółowo analizować najnowsze metody działania cyberprzestępców, pozwalając na bezpieczną obserwację złośliwego systemu w kontrolowanym środowisku. Co istotne, użytkownicy rozwiązań HP Wolf Security bezpiecznie otworzyli dotąd ponad 55 miliardów załączników do wiadomości e-mail, stron internetowych i pobranych plików bez zgłoszenia żadnych naruszeń bezpieczeństwa.
Raport, analizujący dane z okresu od kwietnia do czerwca 2025 r., szczegółowo opisuje, w jaki sposób cyberprzestępcy nieustannie dywersyfikują metody ataków hakerskich w celu ominięcia narzędzi zabezpieczających. Według Threat Insights Report,:
- co najmniej 13% zagrożeń e-mailowych zidentyfikowanych przez HP Sure Click ominęło minimum jeden skaner bramy e-mail.
- najpopularniejszym typem zagrożeń były pliki archiwów (40%) a na drugim miejscu znalazły się pliki wykonywalne i skrypty (35%).
- hakerzy przez cały czas wykorzystują pliki archiwów .rar (26%), co sugeruje, iż do przeprowadzania ataków korzystają z zaufanego oprogramowania.
“Techniki typu LOTL są niezwykle trudne dla zespołów ds. bezpieczeństwa, ponieważ trudno jest odróżnić zielone flagi od czerwonych, czyli legalną aktywność od cyberataku. Zastanawiasz się czy zablokować aktywność i stworzyć utrudnienia dla użytkowników oraz zgłoszenia do SOC czy pozostawić ją otwartą i ryzykować, iż atakujący się przedostanie. choćby najlepsze systemy wykrywania nie wychwytują wszystkich zagrożeń, dlatego też niezbędna jest kompleksowa ochrona z izolacją i ograniczaniem, aby zatrzymać ataki, zanim spowodują one jakiekolwiek szkody” – komentuje Dr Ian Pratt, Global Head of Security for Personal Systems at HP Inc.
Pełny raport można przeczytać tutaj: Threat Research.
