Aanvallers combineren steeds vaker verschillende aanvalstechnieken om de beveiliging te slim af te zijn, blijkt uit onderzoek van HP.
HP heeft zijn nieuwste Threat Insights Report gepubliceerd waarin het waarschuwt dat klassieke cyberaanvalstechnieken zoals living-off-the-land (LOTL) en phishing nog altijd vaak gebruikt worden, maar dan wel steeds slimmer worden ingezet om beveiligingssystemen te omzeilen.
Cyberaanvallen tijdens thuiswerk blijven toenemen
IT-teams zien een toename in het aantal werknemers dat kwaadaardige bijlagen opent, wat leidt tot meer heropbouw van geïnfecteerde machines. Thuiswerk maakt het moeilijker…
Living off the land
Living-off-the-land-aanvallen maken gebruik van legitieme tools en functies die al op een computer aanwezig zijn. Volgens HP Threat Researchers wordt het voor beveiligingsteams steeds lastiger om kwaadwillende activiteiten te onderscheiden van normaal systeemgebruik, doordat aanvallers meerdere binaire bestanden combineren binnen één aanvalscampagne.
Het rapport analyseert voorbeelden van cyberaanvallen en biedt organisaties inzicht in hoe cybercriminelen detectie blijven ontwijken en pc’s infiltreren. De bevindingen zijn gebaseerd op data van miljoenen endpoints die zijn beschermd met HP Wolf Security.
Opvallende aanvalscampagnes
HP identificeerde onder meer de volgende campagnes:
Phishing met nep-Adobe Reader-bestanden
Een nep Adobe Reader-factuur zorgde voor een nieuwe golf van social engineering-aanvallen. Aanvallers plaatsen een reverse shell script in een kleine SVG-afbeelding en daarmee kunnen ze de controle over het systeem verkrijgen. Die afbeelding zag eruit als een Adobe Acrobat Reader-bestand. De download werd enkel verspreid in Duitstalige regio’s om de detectie te vertragen.
Malware verborgen in afbeeldingspixels
In een andere campagne maakten aanvallers misbruik ‘HTML Help’-bestanden. Code werd verstopt in de pixeldata van afbeeldingen en in die pixels zat een virus verborgen, die na het openen het systeem in meerdere stappen infecteert met verschillende technieken. PowerShell werd gebruikt om een CMD-bestand te starten dat bijna elk spoor van de malware uitwistte.
Lumma Stealer keert terug via IMG-archieven
Lumma Stealer was in het tweede kwartaal van 2025 een van de meest actieve malware. Dat is een infostealer die data uit verschillende browser en applicaties kan ontvreemden. De malware werd verspreid via meerdere kanalen, waaronder bijlagen in IMG-archieven. Ook hier werden LOTL-technieken ingezet om beveiliginng te omzeilen en vertrouwde systemen te misbruiken. Ondanks een harde aanpak door de wetshandhaving in mei 2025, bleven de campagnes in juni doorgaan. De groep registreert nog steeds domeinen en bouwt zijn infrastructuur verder uit.
lees ook
Welke soorten malware bestaan er?
Aanvallers verfijnen bestaande technieken
Volgens Alex Holland, Principal Threat Researcher bij HP Security Lab, zit de kracht van moderne aanvallen niet in nieuwe technieken, maar in verfijning: “Aanvallers vinden het warm water niet uit, maar verfijnen bestaande methoden. Living-off-the-land-aanvallen, reverse shells en phishing bestaan al decennia, maar vandaag worden ze slimmer gecombineerd. We zien steeds vaker dat aanvallers minder voor de hand liggende bestandstypen, zoals afbeeldingen, gebruiken om onder de radar te blijven.”
Hij benadrukt dat een volledige Remote Access Trojan vaak niet eens meer nodig is:
Cijfers uit het rapport
Het HP Threat Insights-rapport, dat data analyseert van april tot en met juni 2025, laat zien hoe cybercriminelen hun aanvalsmethoden blijven diversifiëren:
- Minstens 13 procent van de e-mailbedreigingen die door HP Sure Click werden geïdentificeerd, wist één of meerdere e-mailgateway-scanners te omzeilen.
- Archiefbestanden waren het populairst om malware te installeren (40%), gevolgd door uitvoerbare bestanden en scripts (35%).
- .rar-bestanden blijven populair (26%), want aanvallers misbruiken vertrouwde software zoals WinRAR omdat gebruikers hierop vertrouwen.
