Na základe dát z miliónov endpointov využívajúcich HP Wolf Security identifikoval tím HP nasledujúce kampane:
• Falošné PDF faktúry v Adobe Reader: útočníci pripojili skript, ktorý umožňoval vzdialený prístup k
napadnutému zariadeniu. Tento skript bol ukrytý v malej SVG návnade, ktorá vyzerala ako realistická PDF faktúra s falošným načítacím panelom, čo malo zvýšiť pravdepodobnosť otvorenia súboru a spustenia infekčného reťazca.
• Malware ukrytý v pixeloch obrázkov: útočníci využili súbory Microsoft Compiled HTML Help na skrytie škodlivého kódu v pixeloch obrázkov. Tieto súbory boli maskované ako projektové dokumenty a obsahovali payload XWorm, ktorý následne vykonal niekoľko krokov infekčného reťazca zahŕňajúcich techniky LOTL. PowerShell bol použitý na spustenie CMD súboru, ktorý odstránil stopy o stiahnutých súboroch.
• Lumma Stealer v IMG archívoch: Lumma Stealer bola jednou z najaktívnejších rodín malvéru v druhom kvartáli. Útočníci ho distribuovali pomocou archívnych súborov IMG, ktoré využívali techniky LOTL na obchádzanie bezpečnostných filtrov.
Útočníci nevyvíjajú úplne nové metódy, skôr zdokonaľujú tie existujúce. Vidíme častejšie prepojenie nástrojov living-off-the-land a používanie menej nápadných typov súborov, ako obrázky, na obchádzanie detekcie. Skrytie škodlivého kódu v obrázkoch, zneužívanie dôveryhodných systémových nástrojov a dokonca regionalizácia útokov sťažujú detekciu tradičnými metódami. Izolovanie hrozieb, ktoré unikli detekčným nástrojom na endpointoch, a zároveň možnosť bezpečne detonovať malvér v zabezpečených kontajneroch, poskytujú HP Wolf Security konkrétny prehľad o najnovších technikách používaných kyberzločincami. Doteraz zákazníci HP Wolf Security klikli na viac než 55 miliárd emailových príloh, webových stránok a stiahnutých súborov bez hláseného narušenia bezpečnosti. Správa Threat Insights, ktorá skúmala dáta za obdobie apríl až jún 2025, podrobne opisuje, ako kyberzločinci naďalej diverzifikujú svoje metódy útokov, aby obchádzali detekciu založenú na signatúrach. Hlavné zistenia:
• Prinajmenej 13 % hrozieb v emailoch identifikovaných pomocou HP Sure Click obchádzalo jeden alebo viac bránových skenerov;
• Archívne súbory boli najpopulárnejším spôsobom doručenia (40 %), nasledovali spustiteľné súbory a skripty (35 %);
• Útočníci aj naďalej používajú .rar archívy (26 %), čo naznačuje, že zneužívajú dôveryhodný softvér, ako napríklad WinRAR, aby nevzbudili podozrenie.
Techniky living-off-the-land sú problematické a ťažko riešiteľné, pretože je ťažké rozlíšiť legitímnu aktivitu od útoku. Ste medzi dvoma kameňmi – buď aktivitu zablokujete, čo môže spôsobiť problémy používateľom a vyvolať potrebu tiketovania v SOC, alebo ju necháte otvorenú a riskujete, že útočník prejde. Aj ten najlepší detekčný systém niektoré hrozby prehliadne, preto je nevyhnutné mať viacvrstvovú obranu s izoláciou a blokovaním útokov, aby boli zadržané skôr, než spôsobia škody.
