Bitdefender：84%高危攻击采用LOTL技术

Bitdefender研究人员发现，高达84%的重大攻击（被其网络安全平台评为高严重性事件）采用"无文件"（Living-off-the-Land）技术。

通过对Bitdefender GravityZone平台90天内记录的70多万个安全事件进行分析，研究人员得出结论：攻击者"通过熟练操纵我们日常信任和依赖的系统工具，明显成功地规避了传统防御措施——且威胁行为者以自信的不可检测性断言进行操作"。

LOTL攻击并非新技术。虽然该术语于2013年提出，但这种方法可追溯到2001年的Code Red蠕虫，该蠕虫完全在内存中运行，不下载或安装任何文件，据报造成数十亿美元损失。

简而言之，LOTL攻击使用受害者系统中已有的合法软件和功能来执行攻击。在Code Red案例中，蠕虫利用微软IIS网络服务器软件进行DoS攻击。由于使用已知且受信任的系统，这些攻击通常能够隐藏在后台并规避用户检测，使得预防、检测和缓解变得困难。

一旦进入受害者系统，攻击者可以执行侦察、部署无文件或仅内存恶意软件、窃取凭据等LOTL技术——而受害者完全不知情。

Serpentine#Cloud利用快捷文件和Cloudflare基础设施

Securonix研究人员发现名为Serpentine#Cloud的复杂恶意软件活动，使用LNK快捷文件传递远程有效负载。攻击从包含压缩附件链接的网络钓鱼邮件开始，打开时执行远程代码，最终部署基于Python的内存shellcode加载程序，对系统进行后门操作。

威胁行为者使用Cloudflare的隧道服务托管恶意有效负载，受益于其受信任证书和HTTPS使用。虽然显示出让人联想到国家行为体的复杂性，但这些LOTL攻击的某些编码选择表明Serpentine#Cloud可能不属于任何主要国家团体。

诈骗者通过虚假技术支持号码劫持搜索结果

网络犯罪分子通过购买看似代表苹果、微软和PayPal等主要品牌的赞助Google广告，创建欺骗性技术支持诈骗。与传统诈骗不同，这些攻击将用户引导至合法公司网站，但覆盖欺诈性支持电话号码。当用户拨打这些号码时，诈骗者冒充官方技术支持窃取数据和财务信息或获取设备远程访问权限。

Malwarebytes研究人员称此为"搜索参数注入攻击"，恶意URL将虚假电话号码嵌入真实网站。用户在呼叫前应通过官方公司通信验证支持号码。

威胁组织武器化GitHub仓库针对安全专业人员

Trend Micro研究人员发现名为Water Curse的新威胁组织，武器化伪装成合法安全工具的GitHub仓库，通过恶意构建脚本传递恶意软件。

该组织自2023年3月以来活跃，使用至少76个GitHub账户针对网络安全专业人员、游戏开发者和DevOps团队。多阶段恶意软件可以在建立远程访问和持久性的同时窃取凭据、浏览器数据和会话令牌。攻击通常始于受害者下载包含嵌入式恶意代码的受损开源项目。代码在编译期间触发，部署执行系统侦察和数据窃取的VBScript和PowerShell有效负载。