В играта на „котка и мишка“ между професионалистите в сигурността и кибернападателите, последните непрекъснато усъвършенстват и развиват тактиките си, за да се изплъзнат и да не бъдат открити. Те често експлоатират надеждни платформи, впрягат в действие стари трикове и въвеждат нови вектори на атака. За главните директори по информационната сигурност (CISO) и екипите им това означава постоянно нарастващо предизвикателство. Те трябва да откриват, разбират и елиминират заплахите.
Киберпрестъпниците стават все по-находчиви, но същото важи и за защитниците. В идеалния случай те преминават от реактивни към проактивни позиции. И все пак могат да се откроят някои ключови техники, които е-злодеите масово използват днес, за да прикрият дейността си и да заобиколят мерките за сигурност.
Злоупотреба с надеждни платформи, които няма да предизвикат подозрение
Кибербандитите днес все повече използват легитимни услуги, платформи, протоколи и инструменти – такива, от които организациите зависят ежедневно – за да прикрият злонамерената си дейност. Хитростта им позволява на атаките им да се слеят с иначе безобидния трафик. Така заближдават и хората-анализатори, и автоматизирани системи за откриване.
Например, скорошни данни разкриха, че APT41 – китайска група за кибершпионаж – се възползва от Google Calendar като скрит канал за командване и контрол. Използвайки събитията в календара, нападателите предават команди и контролират зловреден софтуер. По същество те се възползват от надеждна услуга – почти неразделна част от корпоративните работни процеси. Това е услуга, чието пълно блокиране би осакатило производителността.
Тактиката на кибернападателите принуждава защитниците да търсят нюансирани стратегии за откриване отвъд директното поставяне в черен списък с IP адреси или домейни.
Преди това нападателите използваха инструменти за тестване чрез проникване (пентестанг) като Cobalt Strike, платформи за сътрудничество като Burp Collaborator и услуги за тунелиране като Ngrok, за да прикрият следите си. През 2024 г. зловреден софтуер, насочен към разработчици с отворен код, използваше Pastebin за хостване на „полезни товари“. Това са все легитимни услуги, които обаче са превърнати в оръжие.
Нещо повече. През май 2025 г. изследователят по сигурността „Aux Grep“ демонстрира напълно неоткриваем вариант на рансъмуер, използващ метаданни, вградени в изображение – в JPG файл.
Дори привидно безобидни функции като коментарите в GitHub биват използвани злоумишлено за съхраняване на злонамерени „полезни товари“, маскирани като легитимни инсталатори, хоствани в официалните хранилища на GitHub.
Тъй като подобни услуги и функции са масово разпространени и легитимни, нападателите ги използват, за да се прокрадват недоловимо. Въпросните инструменти често се използват от служители, разработчици и дори етични хакери, а това прави общите забрани непрактични, което на свой ред тласка защитниците към задълбочена проверка на пакети (DPI) и усъвършенствана сигурност на крайните точки с поведенчески анализи, които разграничават злоупотребата от легитимната употреба.
Задни вратички в легитимни софтуерни библиотеки
Атаките по веригата на доставка остават значителен риск, тъй като нападателите проникват в софтуерни компоненти, считани за надеждни.
През април 2024 г. беше установено, че масово използваната библиотека за компресия XZ Utils крие скрита задна вратичка, вмъквана през годините чрез компрометиран акаунт на един от хората, поддържащи системата. Атаката подчерта как веригите за доставки могат да бъдат подкопани, засягайки безброй Linux дистрибуции и потребители.
Библиотеките с отворен код, особено тези с лоша поддръжка, са любими мишени. През 2024 г. популярният JavaScript компонент Lottie Player беше компрометиран чрез откраднати идентификационни данни на разработчици. Това позволи на злонамерените лица да изменят кода му.
Уебсайтове, използващи Lottie, неволно предоставиха на посетителите фалшиви формуляри за вход, за да откраднат идентификационни данни за портфейли с криптовалута. Същата година други библиотеки като Rspack и Vant претърпяха подобна съдба.
Нападателите се сдобиват с контрол чрез фишинг или добавяне на идентификационни данни в акаунти на хора, поддържащи легитимните услуги – или понякога като се представят за сътрудници, преди да станат измамници.
Тези пробиви по веригата на доставките са особено коварни, тъй като разработчиците несъзнателно разпространяват злонамерен код чрез системи, считани за надеждни.
Невидими инжекции в AI/LLM
Възходът на големите езикови модели (LLM) и AI системите въвежда нови рискове, особено от инжекции – внимателно изработени входни данни, предназначени да манипулират поведението на AI и да заобикалят защитните мерки. Такива атаки могат да доведат до изтичане на чувствителни данни от LLM или извършване на неоторизирани действия.
Скорошен доклад на Trend Micro разкри техника за невидимо инжектирание на подкани, при което нападателите вграждат скрити Unicode символи в текст с подкани. Текстовете са невидими за човешките очи, но биват виждани и интерпретирани от AI моделите.
Например, злонамерено създадени автобиографии, обработени от системи за проследяване на кандидати (ATS), базирани на AI, могат да пренебрегнат защитните мерки на AI, разкривайки лична или поверителна информация на нападателите.
Освен текстовите подкани, самите системи с изкуствен интелект могат да бъдат компрометирани. Изследователи по сигурността в JFrog откриха модели на изкуствен интелект/машинно обучение, хоствани в хранилища като Hugging Face, които злоупотребяват с формата на Python Pickle, за да изпълняват злонамерен код на машините на специалисти по данни.
Тази нова граница показва, че както манипулирането на входящите подкани към изкуствен интелект, така и „отравянето“ на моделите могат тайно да заобиколят защитите. А това изисква екстремна бдителност от организациите, които внедряват изкуствен интелект.
Разгръщане на полиморфен зловреден софтуер с почти нулево откриване
Полиморфният зловреден софтуер е такъв, който мутира кода си с всяка итерация. Така избягва традиционните антивирусни инструменти, които разчитат на статични сигнатури. Изкуственият интелект автоматизира генерирането на стотици или хиляди уникални, неоткриваеми варианти на зловреден софтуер в голям мащаб.
Някои такива образци на изпълним код дори успяват леко да променят поведението си при всяко изпълнение. А това възпрепятства евристичния анализ.
Платформите за защита на крайните точки, базирани на поведенчески анализ, и инструментите за разузнаване все по-често откриват аномалии, но въпреки това ранното откриване на заплахи посредством изкуствен интелект често страда заради „фалшиви положителни резултати“, тъй като доброкачественият софтуер може да имитира поведение, подобно на злонамерен софтуер, при определени системни извиквания или модели на паметта.
Активните лица, участващи в заплахите, също така използват услуги за борба с антивирусните системи (CAV), които позволяват на авторите на злонамерен софтуер да тестват откриването, без да предупреждават доставчиците на антивирусни програми.
