Hlavní body zprávy
- Pokročilý phishing: Útočníci zdokonalují napodobování běžných nástrojů, aktuálně návnady v PDF
- Skrytý malware: Škodlivý kód ukrytý v datech pixelů obrázků, který dokáže infikovat uživatele a následně zakrýt stopy
- Život z legitimních nástrojů: Útočníci využívají techniky living-off-the-land k obcházení detekčních nástrojů
Praha, 14. října 2025 – HP Inc. vydala svůj nejnovější Threat Insights Report, který ukazuje, jak stále častější používání kombinace technik „living-off-the-land“ (LOTL – využití běžně dostupných nástrojů a funkcí systému k provádění útoků) a phishingu obchází tradiční nástroje pro detekci bezpečnostních hrozeb. Tyto techniky, kdy útočníci využívají legitimní nástroje a funkce počítače k provedení útoku, jsou už dlouho součástí výbavy kyberzločinců. HP však varuje, že stále častější zneužití různých, často neobvyklých binárních souborů v rámci jedné kampaně, ztěžuje rozlišování mezi škodlivou a legitimní aktivitou.
Threat Insights Report poskytuje analýzu reálných kyberútoků a pomáhá organizacím držet krok s nejnovějšími technikami, jakými se kyberzločinci vyhýbají detekci a pronikají do IT systémů v rychle se vyvíjejícím prostředí kybernetické kriminality. Na základě dat z milionů koncových zařízení využívajících HP Wolf Security identifikoval tým HP následující kampaně:
- Falešné PDF faktury v Adobe Reader: útočníci připojili skript, který umožňuje vzdálený přístup k napadenému zařízení. Tento skript byl ukrytý v malé SVG návnadě, která vypadala jako realistická faktura PDF s falešným načítacím barem, což mělo navýšit šance na otevření souboru a spuštění infekčního řetězce.
- Malware skrytý v pixelech obrázků: útočníci využili soubory Microsoft Compiled HTML Help k tomu, aby ukryli škodlivý kód v pixelech obrázků. Tyto soubory byly maskované jako projektové dokumenty a obsahovaly XWorm payload, který následně vykonal několik kroků infekčního řetězce zahrnujícího techniky LOTL. PowerShell byl použit pro spuštění CMD souboru, který odstranil důkazy o stažených souborech.
- Lumma Stealer v IMG archivech: Lumma Stealer byla jedna z nejaktivnějších rodin malwaru v druhém čtvrtletí. Útočníci jej distribuovali pomocí archivních souborů IMG, které využívaly techniky LOTL k obcházení bezpečnostních filtrů.
Alex Holland, hlavní výzkumník v HP Security Lab, komentuje aktuální situaci následovně: „Útočníci nevyvíjejí nové metody, ale zdokonalují ty stávající. Techniky living-off-the-land, reverzní shelly a phishing jsou tu už desetiletí, ale dnešní hackeři je stále vylepšují. Vidíme častější propojení nástrojů living-off-the-land a používání méně nápadných typů souborů, jako jsou obrázky, k obcházení detekce. Vezměme si například reverzní shelly – nemusíte nasazovat plně funkční RAT (Remote Access Trojan), když stačí jednoduchý a tenký skript, který dosáhne stejného efektu. Je to jednoduché, rychlé a často to unikne pozornosti, protože je to tak triviální.“
Popsané kampaně ukazují, jak kreativní a adaptabilní útočníci jsou. Skrytí škodlivého kódu v obrázcích, zneužívání důvěryhodných systémových nástrojů, a dokonce přizpůsobování útoků konkrétním regionům, činí detekci pomocí tradičních nástrojů stále obtížnější.
Izolace hrozeb, které unikly detekčním nástrojům na počítačích, a zároveň možnost bezpečné detonace malwaru uvnitř zabezpečených kontejnerů, dávají HP Wolf Security konkrétní přehled o nejnovějších technikách, které kyberzločinci používají. Do dnešního dne zákazníci HP Wolf Security klikli na více než 55 miliard e-mailových příloh, webových stránek a stažených souborů, aniž by došlo k hlášeným narušením bezpečnosti.
Threat Insights Report, který zkoumal data z období duben–červen 2025, podrobně popisuje, jak kyberzločinci i nadále diverzifikují své metody útoků, aby obcházeli bezpečnostní nástroje založené na detekci. Zde jdou klíčová zjištění:
- Alespoň 13 % hrozeb v e-mailech identifikovaných pomocí HP Sure Click obcházelo jeden nebo více skenerů bran;
- Archivní soubory byly nejpopulárnějším způsobem doručení (40 %), následovaly spustitelné soubory a skripty (35 %);
- Útočníci i nadále používají .rar archivy (26 %), což naznačuje, že zneužívají důvěryhodný software jako například WinRAR k tomu, aby nevzbudili podezření.
Dr. Ian Pratt, globální vedoucí bezpečnosti pro osobní systémy ve společnosti HP Inc., říká: „Techniky living-off-the-land jsou problematické a těžko řešitelné, protože je těžké rozlišit legitimní aktivitu od útoku. Jste mezi dvěma kameny – buď zablokujete aktivitu, což může způsobit problémy uživatelům a vytvořit nutnost otevřít tiket pro SOC, nebo to necháte otevřené a riskujete, že útočník projde. I ten nejlepší detekční systém některé hrozby přehlédne, proto je nezbytné mít víceúrovňovou obranu s izolací a blokováním útoků, aby byly zadrženy dříve, než způsobí škody.“
Pro zobrazení Threat Research navštivte prosím náš blog.
Data byla získána se souhlasem zákazníků HP Wolf Security v dubnu a červnu 2025, průzkum provedl tým HP Threat Research.
HP Wolf Security[1] představuje špičkové zabezpečení koncových zařízení. Portfolio bezpečnostních řešení společnosti HP, založené na hardwarovém zabezpečení a službách zaměřených na koncová zařízení, pomáhá organizacím chránit počítače, tiskárny a uživatele před kybernetickými hrozbami. HP Wolf Security nabízí komplexní ochranu a odolnost, která začíná na úrovni hardwaru a zahrnuje i software a služby. Více informací naleznete na https://hp.com/wolf.
O společnosti HP
Společnost HP Inc. (NYSE: HPQ) je celosvětovým lídrem v oblasti technologií a tvůrcem řešení, která umožňují lidem realizovat jejich nápady a zabývat se věcmi, na nichž jim záleží nejvíc. Společnost HP působí ve více než 170 zemích světa a nabízí širokou škálu inovativních a udržitelných zařízení, služeb a předplatitelských programů pro osobní počítače, běžný i 3D tisk, hybridní práci, hraní her a další. Více informací o HP Inc. naleznete na http://www.hp.com.
- HP Wolf Security for Business vyžaduje Windows 10 nebo 11 Pro a vyšší, zahrnuje různé bezpečnostní funkce HP a je dostupné na produktech HP Pro, Elite, RPOS a Workstation. ↑
