Saldırganlar Ultra Gerçekçi

HP Wolf Security araştırması, saldırganların tespit zafiyetlerinden yararlanmak için living-off-the-land tekniklerini (mevcut sistem araçlarını kötüye kullanma teknikleri) zincirleme kullandığını ortaya koyuyor.
 
Öne Çıkanlar

• En son HP Tehdit Analizleri Raporu, saldırganların günlük uygulamalara duyulan güveni sömürmek için görsel aldatmayı nasıl mükemmelleştirdiklerini gösteren, son derece özenle hazırlanmış sahte PDF okuyucu tuzaklarını ortaya çıkarıyor.
• Rapor, siber suçluların kullanıcıları enfekte etmek için kötü amaçlı kodu piksel görüntü verilerinin içine gizlediklerini ve ardından izlerini örtmek için kanıtları sildiklerini ortaya koydu.
• Araştırma, saldırganların tespitten kaçmak için Windows ortamına yerleşik özellikler olan “living-off-the-land” araçlarının bir kombinasyonunu kullandıklarını gösteriyor.

 
HP Inc. (NYSE: HPQ) en son Tehdit Analizleri Raporu'nu yayımlayarak, eski living-off-the-land (LOTL) ve oltalama tekniklerinin geleneksel tespit tabanlı güvenlik araçlarını atlatacak şekilde nasıl evrildiğini ortaya koydu. Bir bilgisayarda yerleşik meşru araçların ve özelliklerin saldırılar için kullanıldığı LOTL teknikleri, uzun zamandır tehdit aktörlerinin araç setinin temel parçalarından biri olarak biliniyor. Ancak HP Tehdit Araştırmacıları, tek bir kampanyada birden fazla, çoğu zaman da alışılmadık ikili dosyanın kullanılmasının, kötü amaçlı faaliyetle meşru faaliyet arasındaki farkı ayırt etmeyi daha da zorlaştırdığı konusunda uyarıyor.
 
Rapor, gerçek dünyadaki siber saldırıların bir analizini sunarak, kurumların hızla değişen siber suç ortamında siber suçluların tespit edilmekten kaçınmak ve bilgisayarları ihlal etmek için kullandıkları en son teknikleri takip etmelerine yardımcı oluyor. HP Wolf Security¹ çalıştıran milyonlarca uç noktaya dayanarak, HP Tehdit Araştırmacıları tarafından tespit edilen önemli saldırılar şunlar:

• Sahte Adobe Reader Faturası, Ultra Parlak Sosyal Mühendislik Tuzaklarının Yeni Dalgasına İşaret Ediyor: Saldırganlar, saldırganlara kurbanın cihazı üzerinde kontrol sağlayan bir komut dosyası olan bir ters kabuk yerleştirdi. Komut dosyası, sahte yükleme çubuğu ile tamamlanan çok gerçekçi bir Adobe Acrobat Reader dosyası olarak gizlenmiş küçük bir SVG görüntüsüne gömüldü ve devam eden bir yükleme izlenimi vererek kurbanların dosyayı açma ve bir enfeksiyon zincirini tetikleme şansını artırdı. Saldırganlar ayrıca maruz kalmayı sınırlamak, otomatik analiz sistemlerini engellemek ve tespiti geciktirmek için indirmeyi Almanca konuşulan bölgelere coğrafi olarak sınırlandırdı.
• Saldırganlar Piksel Görüntü Dosyalarında Zararlı Yazılım Gizliyor: Saldırganlar Microsoft Complied HTML Yardım dosyalarını görüntü pikselleri içinde kötü amaçlı kod gizlemek için kullandılar. Proje belgeleri olarak gizlenen dosyalar, piksel verilerine bir XWorm yükü gizledi ve bu yük daha sonra ayıklanarak birden fazla LOTL tekniği içeren çok adımlı bir bulaşma zincirini yürütmek için kullanıldı. PowerShell ayrıca indirildikten ve çalıştırıldıktan sonra dosyaların kanıtlarını silen bir CMD dosyasını çalıştırmak için de kullanıldı.
• Yeniden Yükselişe Geçen Lumma Stealer IMG Arşivleri Aracılığıyla Yayılıyor: Lumma Stealer 2. çeyrekte gözlemlenen en aktif zararlı yazılım ailelerinden biriydi. Saldırganlar, güvenlik filtrelerini atlamak ve güvenilir sistemleri istismar etmek için LOTL tekniklerini kullanan IMG Arşiv ekleri de dahil olmak üzere birden fazla kanal aracılığıyla dağıttı. Mayıs 2025'teki kolluk kuvvetleri baskısına rağmen, saldırılar haziran ayında da devam etti ve grup şimdiden daha fazla alan adı kaydetmeye ve altyapı oluşturmaya başladı.

 
HP Güvenlik Laboratuvarı Baş Tehdit Araştırmacısı Alex Holland şu yorumu yapıyor: “Saldırganlar tekerleği yeniden icat etmiyorlarsa da tekniklerini geliştiriyorlar. Mevcut sistem araçlarını kötüye kullanma, ters kabuklar ve kimlik avı onlarca yıldır var, ancak günümüzün tehdit aktörleri bu yöntemleri keskinleştiriyor. Tespit edilmekten kaçınmak için arazide yaşama araçlarının daha fazla zincirlendiğini ve resimler gibi daha az belirgin dosya türlerinin kullanıldığını görüyoruz. Örnek olarak ters kabukları ele alalım: Basit, hafif bir komut dosyası aynı etkiyi yaratacaksa, tam teşekküllü bir RAT bırakmak zorunda değilsiniz. Kolay, hızlı ve çok basit olduğu için genellikle radarın altından kayıyor.”
 
Bu saldırılar, tehdit aktörlerinin ne kadar yaratıcı ve uyarlanabilir hale geldiğini gösteriyor. Kötü amaçlı kodları görüntülere gizleyerek, güvenilir sistem araçlarını kötüye kullanarak ve hatta saldırıları belirli bölgelere göre uyarlayarak, geleneksel tespit araçlarının tehditleri tespit etmesini zorlaştırıyorlar.
 
HP Wolf Security, bilgisayarlardaki algılama araçlarından kaçan tehditleri izole ederek (bunu yapmak için kötü amaçlı yazılımların güvenli kaplarda güvenli bir şekilde ortaya çıkmasına izin vererek) siber suçlular tarafından kullanılan en son teknikler hakkında özel bir içgörüye sahip. HP Wolf Security müşterileri bugüne kadar 55 milyardan fazla e-posta ekine, web sayfasına tıklamış ve hiçbir ihlal bildirilmeden dosya indirdi.
 
Nisan-Haziran 2025 verilerini inceleyen rapor, siber suçluların tespit etmeye dayalı güvenlik araçlarını atlamak için saldırı yöntemlerini nasıl çeşitlendirmeye devam ettiklerini detaylandırıyor:
 

• HP Sure Click tarafından tespit edilen e-posta tehditlerinin en az %13'ü bir veya daha fazla e-posta ağ geçidi tarayıcısını atladı.
• Arşiv dosyaları en popüler gönderim türü olurken (%40), bunu çalıştırılabilir dosyalar ve komut dosyaları (%35) takip etti.
• Saldırganlar .rar arşiv dosyalarını kullanmaya devam ediyor (%26), bu da saldırganların şüphe uyandırmamak için WinRAR gibi güvenilir yazılımlardan faydalandığını gösteriyor.

HP Inc. Kişisel Sistemler Küresel Güvenlik Başkanı Dr. Ian Pratt şu yorumu yapıyor: “Mevcut sistem araçlarını kötüye kullanma teknikleri güvenlik ekipleri için oldukça zordur çünkü yeşil bayrakları kırmızılardan ayırmak zordur, yani bunlar meşru bir faaliyet aracılığıyla yapılan saldırılardır. İki arada bir derede kalıyorsunuz – ya faaliyetleri sıkı sıkıya kısıtlayarak kullanıcılar için zorluk ve SOC için iş yükü oluşturuyorsunuz ya da sistemi açık bırakıp bir saldırganın sızma riskini göze alıyorsunuz. En iyi tespit yöntemleri bile bazı tehditleri gözden kaçıracaktır, bu yüzden saldırılar zarar vermeden önce onları tuzağa düşürmek için katmanlı savunma ile sınırlama ve yalıtım hayati önem taşır.”