新闻简报：LOTL攻击、伪装网站与恶意仓库 | TechTarget

Bitdefender研究人员发现，高达84%的重大攻击——被其网络安全平台评为高严重性事件——使用了“living-off-the-land”（LOTL）技术。

在分析了Bitdefender GravityZone平台90天内记录的超过70万起安全事件后，研究人员得出结论：攻击者“通过熟练操纵我们日常信任和依赖的系统工具，明显成功地规避了传统防御措施，且威胁行为者以不可检测的自信断言进行操作”。

LOTL攻击并非新事物。虽然该术语于2013年创造，但其方法可追溯至2001年的Code Red蠕虫，该蠕虫完全在内存中运行，不下载或安装任何文件，据报道造成了数十亿美元的损失。

简而言之，LOTL攻击利用受害者系统中已存在的合法软件和功能进行攻击。以Code Red为例，该蠕虫利用微软的IIS web服务器软件进行DoS攻击。由于它们使用已知和可信的系统，这些攻击通常能够隐藏在后台并规避用户，使其难以预防、检测和缓解。

一旦进入受害者系统，攻击者可以进行侦察、部署无文件或仅内存恶意软件、窃取凭据等LOTL技术——完全不被受害者察觉。

本周的综述重点介绍了一个针对Cloudflare Tunnel基础设施和基于Python的加载程序进行LOTL攻击的恶意软件活动。此外，诈骗者利用合法网站欺骗寻求技术支持的受害者，恶意GitHub仓库伪装成合法的渗透测试套件。

Serpentine#Cloud使用快捷文件和Cloudflare基础设施

Securonix的研究人员发现了一个名为Serpentine#Cloud的复杂恶意软件活动，该活动使用LNK快捷文件传递远程有效负载。攻击始于包含压缩附件链接的网络钓鱼电子邮件，打开时会执行远程代码，最终部署一个基于Python的内存shellcode加载程序，后门系统。

威胁行为者使用Cloudflare的隧道服务托管恶意有效负载，受益于其可信证书和HTTPS的使用。虽然显示出一些让人联想到国家行为者的复杂性，但这些LOTL攻击的某些编码选择表明Serpentine#Cloud可能并非来自任何主要国家行为体组。

阅读Alexander Culafi在Dark Reading上的完整故事。

诈骗者用虚假技术支持号码劫持搜索结果

网络犯罪分子通过购买看似代表苹果、微软和PayPal等大品牌的赞助谷歌广告，创建欺骗性技术支持诈骗。与传统诈骗不同，这些攻击将用户引导至合法公司网站，但覆盖欺诈性支持电话号码。当用户拨打这些号码时，诈骗者冒充官方技术支持以窃取数据和财务信息或获取设备的远程访问权限。

Malwarebytes研究人员称此为“搜索参数注入攻击”，恶意URL将虚假电话号码嵌入真实网站。用户在拨打电话前应通过官方公司通信验证支持号码。

阅读Kristina Beek在Dark Reading上的完整故事。

威胁组织武器化GitHub仓库以针对安全专业人士

Trend Micro研究人员发现了一个名为Water Curse的新威胁组织，该组织武器化伪装成合法安全工具的GitHub仓库，通过恶意构建脚本传递恶意软件。

自2023年3月以来活跃，该组织已使用至少76个GitHub账户针对网络安全专业人士、游戏开发者和DevOps团队。多阶段恶意软件可以窃取凭据、浏览器数据和会话令牌，同时建立远程访问和持久性。攻击通常始于受害者下载包含嵌入恶意代码的受损开源项目。代码在编译期间触发，部署VBScript和PowerShell有效负载，执行系统侦察和数据窃取。

阅读Elizabeth Montalbano在Dark Reading上的完整故事。

Sharon Shea是Informa TechTarget的SearchSecurity网站的执行编辑。