HP en son Tehdit Tahlilleri Raporu’nu yayımlayarak, eski living-off-the-land (LOTL) ve oltalama tekniklerinin klasik tespit tabanlı güvenlik araçlarını atlatacak halde nasıl evrildiğini ortaya koydu. Bir bilgisayarda yerleşik legal araçların ve özelliklerin hücumlar için kullanıldığı LOTL teknikleri, uzun vakittir tehdit aktörlerinin araç setinin temel kesimlerinden biri olarak biliniyor. Fakat HP Tehdit Araştırmacıları, tek bir kampanyada birden fazla, birden fazla vakit da alışılmadık ikili belgenin kullanılmasının, makûs gayeli faaliyetle yasal faaliyet ortasındaki farkı ayırt etmeyi daha da zorlaştırdığı konusunda uyarıyor.

Rapor, gerçek dünyadaki siber hücumların bir tahlilini sunarak, kurumların süratle değişen siber hata ortamında siber hatalıların tespit edilmekten kaçınmak ve bilgisayarları ihlal etmek için kullandıkları en son teknikleri takip etmelerine yardımcı oluyor. HP Wolf Security1 çalıştıran milyonlarca uç noktaya dayanarak, HP Tehdit Araştırmacıları tarafından tespit edilen değerli akınlar şunlar:

Sahte Adobe Reader Faturası, Ultra Parlak Toplumsal Mühendislik Tuzaklarının Yeni Dalgasına İşaret Ediyor

Saldırganlar, saldırganlara kurbanın aygıtı üzerinde denetim sağlayan bir komut evrakı olan bir aksi kabuk yerleştirdi. Komut belgesi, geçersiz yükleme çubuğu ile tamamlanan çok gerçekçi bir Adobe Acrobat Reader belgesi olarak gizlenmiş küçük bir SVG manzarasına gömüldü ve devam eden bir yükleme izlenimi vererek kurbanların belgeyi açma ve bir enfeksiyon zincirini tetikleme bahtını artırdı. Saldırganlar ayrıyeten maruz kalmayı sınırlamak, otomatik tahlil sistemlerini engellemek ve tespiti geciktirmek için indirmeyi Almanca konuşulan bölgelere coğrafik olarak sınırlandırdı.

Saldırganlar Piksel İmaj Belgelerinde Ziyanlı Yazılım Gizliyor

Saldırganlar Microsoft Complied HTML Yardım belgelerini imaj pikselleri içinde berbat gayeli kod gizlemek için kullandılar. Proje evrakları olarak gizlenen evraklar, piksel datalarına bir XWorm yükü gizledi ve bu yük daha sonra ayıklanarak birden fazla LOTL tekniği içeren çok adımlı bir bulaşma zincirini yürütmek için kullanıldı. PowerShell ayrıyeten indirildikten ve çalıştırıldıktan sonra belgelerin ispatlarını silen bir CMD belgesini çalıştırmak için de kullanıldı.

Yeniden Yükselişe Geçen Lumma Stealer IMG Arşivleri Aracılığıyla Yayılıyor

Lumma Stealer 2. çeyrekte gözlemlenen en faal ziyanlı yazılım ailelerinden biriydi. Saldırganlar, güvenlik filtrelerini atlamak ve sağlam sistemleri istismar etmek için LOTL tekniklerini kullanan IMG Arşiv ekleri de dahil olmak üzere birden fazla kanal aracılığıyla dağıttı. Mayıs 2025’teki kolluk kuvvetleri baskısına karşın, ataklar haziran ayında da devam etti ve küme şimdiden daha fazla alan ismi kaydetmeye ve altyapı oluşturmaya başladı.

HP Güvenlik Laboratuvarı Baş Tehdit Araştırmacısı Alex Holland şu yorumu yapıyor: “Saldırganlar tekerleği tekrar icat etmiyorlarsa da tekniklerini geliştiriyorlar. Mevcut sistem araçlarını berbata kullanma, aykırı kabuklar ve kimlik avı onlarca yıldır var, fakat günümüzün tehdit aktörleri bu yolları sertleştiriyor. Tespit edilmekten kaçınmak için toprakta yaşama araçlarının daha fazla zincirlendiğini ve fotoğraflar üzere daha az bariz evrak cinslerinin kullanıldığını görüyoruz. Örnek olarak karşıt kabukları ele alalım: Kolay, hafif bir komut evrakı tıpkı etkiyi yaratacaksa, tam teşekküllü bir RAT bırakmak zorunda değilsiniz. Kolay, süratli ve çok kolay olduğu için ekseriyetle radarın altından kayıyor.”

Bu hücumlar, tehdit aktörlerinin ne kadar yaratıcı ve uyarlanabilir hale geldiğini gösteriyor. Makus hedefli kodları imajlara gizleyerek, sağlam sistem araçlarını berbata kullanarak ve hatta akınları makul bölgelere nazaran uyarlayarak, klasik tespit araçlarının tehditleri tespit etmesini zorlaştırıyorlar.

HP Wolf Security, bilgisayarlardaki algılama araçlarından kaçan tehditleri izole ederek (bunu yapmak için makûs hedefli yazılımların inançlı kaplarda inançlı bir formda ortaya çıkmasına müsaade vererek) siber hatalılar tarafından kullanılan en son teknikler hakkında özel bir içgörüye sahip. HP Wolf Security müşterileri bugüne kadar 55 milyardan fazla e-posta ekine, web sayfasına tıklamış ve hiçbir ihlal bildirilmeden belge indirdi.

Nisan-Haziran 2025 datalarını inceleyen rapor, siber hatalıların tespit etmeye dayalı güvenlik araçlarını atlamak için akın metotlarını nasıl çeşitlendirmeye devam ettiklerini ayrıntılandırıyor:

• HP Mühlet Click tarafından tespit edilen e-posta tehditlerinin en az %13’ü bir yahut daha fazla e-posta ağ geçidi tarayıcısını atladı.
• Arşiv belgeleri en tanınan gönderim çeşidi olurken (%40), bunu çalıştırılabilir belgeler ve komut belgeleri (%35) takip etti.
• Saldırganlar .rar arşiv belgelerini kullanmaya devam ediyor (%26), bu da saldırganların kuşku uyandırmamak için WinRAR üzere sağlam yazılımlardan faydalandığını gösteriyor.

HP Inc. Şahsî Sistemler Global Güvenlik Lideri Dr. Ian Pratt şu yorumu yapıyor: “Mevcut sistem araçlarını berbata kullanma teknikleri güvenlik takımları için epey zordur zira yeşil bayrakları kırmızılardan ayırmak zordur, yani bunlar yasal bir faaliyet aracılığıyla yapılan ataklardır. İki ortada bir derede kalıyorsunuz – ya faaliyetleri sıkı sıkıya kısıtlayarak kullanıcılar için zorluk ve SOC için iş yükü oluşturuyorsunuz ya da sistemi açık bırakıp bir saldırganın sızma riskini göze alıyorsunuz. En güzel tespit prosedürleri bile birtakım tehditleri gözden kaçıracaktır, bu yüzden ataklar ziyan vermeden evvel onları tuzağa düşürmek için katmanlı savunma ile sınırlama ve yalıtım hayati ehemmiyet taşır.”