Nieuwe Inzichten in Cybercriminaliteit: HP Inc. Publiceert Rapport
Amsterdam – Onderzoekers van HP Inc. hebben hun nieuwste Threat Insights Report uitgebracht, waarin zij de vooruitgang van sociale-ingenieurs- en ontwijktechnieken in het cybercriminaliteitslandschap belichten. De onderneming heeft campagnes geïdentificeerd waarin aanvallers valse PDF-facturen met een perfecte uitstraling van Adobe Reader fabriceren, payloads verbergen in afbeeldingsdata en trojaanse paarden zoals Lumma Stealer opnieuw gebruiken op manieren die moeilijk te detecteren zijn.
Phishing met Ultra-realistische PDF’s
Een van de opvallendste bevindingen van het rapport is het gebruik van PDF-bestanden die zich voordoen als Adobe Acrobat Reader. Deze bevatten een nepprogressiebalk die de geloofwaardigheid van de oplichterij vergroot. Het bestand bevatte een reverse shell, verstopt in een klein SVG-bestand, ontworpen om aanvallers op afstand toegang te geven tot het gecompromitteerde apparaat.
De campagne omvatte zelfs een geofencing naar Duitstalige regio’s, waardoor de blootstelling wereldwijd werd beperkt en automatische detectie in analyset systemen werd vertraagd.
Kwaadaardige Code Verborgen in Afbeeldingen
Een andere onderzochte techniek was het gebruik van Microsoft Compiled HTML Help (.CHM)-bestanden met kwaadaardige code verstopt in de pixels van afbeeldingen. Hierdoor konden aanvallers een XWorm payload in meerdere fasen uitvoeren.
De infectieketen omvatte PowerShell-commando’s die CMD-bestanden uitvoerden om bewijzen te wissen na het downloaden en uitvoeren, een duidelijk voorbeeld van het misbruik van LOTL-technieken (living-off-the-land).
De Terugkeer van Lumma Stealer
Ondanks een internationale politieoperatie in mei, is Lumma Stealer weer opgedoken als een van de meest actieve malwarefamilies in het tweede kwartaal. De groep die hiervoor verantwoordelijk is, heeft campagnes uitgerold via IMG-bestanden en blijft nieuwe domeinen registreren om hun infrastructuur te versterken.
Geverifieerde Gecomprimeerde Bestanden als Favoriet van Cybercriminelen
HP meldt dat gecomprimeerde bestanden nog steeds domineren als afleverformaat:
- 40% van de bedreigingen werd verspreid via gecomprimeerde bestanden (.zip, .rar, .img).
- 35% betreft uitvoerbare bestanden en scripts.
- 26% van de gecomprimeerde bestanden was .rar, wat aantoont dat aanvallers de vertrouwen in tools zoals WinRAR exploiteren om onopgemerkt te blijven.
Daarnaast weet 13% van de kwaadwillige e-mails ten minste één e-mailfilter te omzeilen, wat de verfijning van deze campagnes bevestigt.
Deskundigen Aan het Woord
Alex Holland, hoofdonderzoeker van HP Security Lab, zegt:
“Aanvallers hoeven het wiel niet opnieuw uit te vinden: ze perfectioneren wat er al is. We zien meer LOTL-ketens, meer gebruik van atypische bestanden en minimale scripts die onopgemerkt blijven. Hun eenvoud maakt ze zo gevaarlijk.”
Ian Pratt, wereldwijde verantwoordelijke voor beveiliging bij HP Personal Systems, voegt hieraan toe:
“De technieken van living-off-the-land zijn bijzonder problematisch omdat de grens tussen legitieme activiteit en aanval vaag is. Zelfs de beste detecties falen. Daarom is een aanpak van diepteverdediging met isolatie en containement cruciaal.”
Een Uitdaging voor Detectiesystemen
Het rapport maakt duidelijk dat traditionele systemen, gericht op handtekeningdetectie of anomaliegedrag, niet altijd voldoende zijn tegen dit soort aanvallen. HP benadrukt dat hun oplossing Wolf Security malware in veilige containers isoleert, waardoor het gedrag kan worden geobserveerd zonder het endpoint in gevaar te brengen.
Tot nu toe hebben klanten van Wolf Security meer dan 55 miljard bestanden en links geanalyseerd zonder beveiligingsinbreuken te melden.
Conclusie
De evolutie van technieken zoals ultra-realistisch PDF-phishing, het verbergen van code in afbeeldingen, en de multi-stage LOTL-keten bevestigt dat cybercriminelen bestaande hulpmiddelen verfijnen om moderne controles te omzeilen. Voor technologiebedrijven en hun beveiligingsteams ligt de uitdaging niet alleen in detectie, maar ook in containment en isolatie voordat de schade onomkeerbaar is.
Veelgestelde Vragen
Wat zijn LOTL-technieken en waarom zijn ze moeilijk te stoppen?
Deze technieken maken gebruik van legitieme Windows-tools zoals PowerShell of CMD. Dit zorgt ervoor dat kwaadaardige activiteiten zich vermengen met normale systeemprocessen.
Wat onderscheidt deze nieuwe PDF-phishingcampagnes?
Ze hebben een niveau van zeer hoge visuele realiteit bereikt, met elementen zoals nepprogessiebalken, wat de kans vergroot dat de gebruiker het bestand vertrouwt en opent.
Wat is de rol van gecomprimeerde bestanden in huidige aanvallen?
Ze zijn de meest populaire aflevermethode, goed voor 40% van de bedreigingen. Aanvallers benutten het vertrouwen in software zoals WinRAR om malware in bedrijfsnetwerken te introduceren.
Wat is de meest effectieve strategie tegen deze bedreigingen?
Een diepteverdedigingsaanpak, die monitoring, gebruikerseducatie en vooral isolatie van bedreigingen in veilige containers combineert, kan voorkomen dat een ongelukkige klik leidt tot een beveiligingsinbreuk.
Bron: Nieuws over beveiliging