Bitdefender：84%高危攻击采用无文件技术

Bitdefender研究人员发现，在通过其网络安全平台记录的70万起安全事件中，高达84%的高危攻击使用"无文件"(LOTL)技术。经过90天分析，研究团队确认攻击者通过操纵受信任的系统工具，成功规避传统防御措施，并自信能够保持隐蔽。

无文件攻击技术演进

虽然"无文件"术语诞生于2013年，但这种技术可追溯至2001年的Code Red蠕虫。该蠕虫完全在内存中运行，不下载或安装任何文件，据称造成数十亿美元损失。无文件攻击利用受害系统中已有的合法软件和功能进行攻击，例如Code Red就利用微软IIS网页服务器软件发起DoS攻击。

当前威胁态势

Serpentine#Cloud利用快捷文件和Cloudflare基础设施

Securonix研究人员发现名为Serpentine#Cloud的复杂恶意软件活动，使用LNK快捷文件传递远程载荷。攻击从包含压缩附件链接的网络钓鱼邮件开始，最终部署基于Python的内存shellcode加载器，在后门系统中建立持久性。

攻击者使用Cloudflare隧道服务托管恶意载荷，利用其受信任证书和HTTPS协议。虽然攻击手法具有国家行为体特征，但某些编码选择表明该活动很可能与主要国家团体无关。

技术支持诈骗滥用搜索引擎

网络犯罪分子通过购买谷歌赞助广告，伪装成苹果、微软和PayPal等知名品牌进行诈骗。与传统诈骗不同，这些攻击将用户引导至合法公司网站，但覆盖虚假技术支持电话号码。当用户拨打这些号码时，诈骗者冒充官方技术支持窃取数据和财务信息。

Malwarebytes研究人员称此为"搜索参数注入攻击"，恶意URL将虚假电话号码嵌入真实网站。建议用户在拨打电话前通过官方渠道验证支持号码。

Water Curse组织武器化GitHub仓库

趋势科技研究人员发现名为Water Curse的新威胁组织，将GitHub仓库伪装成合法安全工具，通过恶意构建脚本传播恶意软件。

该组织自2023年3月活跃，使用至少76个GitHub账户针对网络安全专业人士、游戏开发者和DevOps团队。多阶段恶意软件能够窃取凭据、浏览器数据和会话令牌，同时建立远程访问和持久性。攻击通常始于受害者下载包含嵌入恶意代码的开源项目，在编译过程中触发VBScript和PowerShell载荷，执行系统侦察和数据窃取。