Bitdefender研究：84%高危攻击采用无文件技术

Bitdefender研究人员发现，在其网络安全平台标记为高严重性的攻击事件中，高达84%采用“无文件”(Living-off-the-Land)技术。通过对90天内GravityZone平台记录的70万次安全事件分析，研究人员得出结论：攻击者通过熟练操纵受信任的系统工具，已成功规避传统防御措施。

无文件攻击并非新技术。虽然该术语于2013年提出，但其技术可追溯至2001年的“红色代码”蠕虫——该蠕虫完全在内存中运行，不下载任何文件，据报造成数十亿美元损失。

本质上，无文件攻击利用受害系统中已有的合法软件和功能实施攻击。以“红色代码”为例，该蠕虫利用微软IIS网页服务器软件发起拒绝服务攻击。由于使用已知可信系统，这类攻击往往能隐藏在后台逃避检测，难以预防和缓解。

攻击者入侵系统后，可通过无文件技术进行侦察、部署无文件恶意软件、窃取凭证等操作，而受害者完全无法察觉。

本周威胁聚焦

Serpentine#Cloud：利用快捷文件与Cloudflare基础设施

Securonix研究人员发现名为Serpentine#Cloud的复杂恶意软件活动，使用LNK快捷文件传递远程载荷。攻击始于包含压缩附件链接的钓鱼邮件，打开后执行远程代码，最终部署基于Python的内存shellcode加载器，在系统中创建后门。

威胁行为者利用Cloudflare隧道服务托管恶意载荷，借助其可信证书和HTTPS协议增强隐蔽性。虽然攻击手法具有国家级攻击者的复杂性，但某些编码选择表明Serpentine#Cloud可能并非来自主要国家支持组织。

诈骗者通过虚假技术支持号码劫持搜索结果

网络犯罪分子购买谷歌赞助广告，伪装成苹果、微软和PayPal等知名品牌，实施技术支持诈骗。与传统诈骗不同，这些攻击将用户引导至合法公司网站，但覆盖显示虚假支持电话号码。用户拨打后，诈骗者冒充官方技术支持窃取数据、财务信息或获取设备远程访问权限。

Malwarebytes研究人员称此为“搜索参数注入攻击”，恶意URL将虚假电话号码嵌入合法网站。建议用户在拨打电话前通过官方渠道验证支持号码。

Water Curse组织武器化GitHub仓库瞄准安全专家

趋势科技研究人员发现名为“Water Curse”的新威胁组织，将GitHub仓库伪装成合法安全工具，通过恶意构建脚本传播恶意软件。该组织自2023年3月活跃，使用至少76个GitHub账户针对网络安全专业人员、游戏开发者和DevOps团队。

多阶段恶意软件可窃取凭证、浏览器数据和会话令牌，同时建立远程访问和持久化机制。攻击通常始于受害者下载包含嵌入式恶意代码的开源项目，编译过程中触发恶意代码，部署VBScript和PowerShell载荷执行系统侦察和数据窃取。