#living-off-the-land

5 articles

政府与能源部门在2026年4月12日至5月14日期间遭受了五次离地攻击的严重冲击，其中包含一起严重事件和四起高危事件。威胁行为体GopherWhisper、KongTuke及Operation PhantomCLR被观测到利用CVE-2023-36036漏洞，主要针对亚洲、中美洲和南美洲的组织机构。该活动借助合法系统工具规避检测，对受影响区域的企业网络构成重大风险。

ModeloRAT 活动滥用 Microsoft Teams 进行企业入侵

威胁情报May 14, 2026

ModeloRAT 活动滥用 Microsoft Teams 进行企业入侵

Rapid7 分析了 2026 年 4 月的一次入侵事件，其中一条假冒的 IT 支持 Teams 消息通过 Dropbox 传递了 ModeloRAT，导致权限提升、凭证盗窃和横向移动...

6 分钟阅读KongTuke

Unit 42 追踪 TGR-STA-1030 在中南美洲的活动

威胁情报Apr 24, 2026

Unit 42 追踪 TGR-STA-1030 在中南美洲的活动

Palo Alto Unit 42 报告称 TGR-STA-1030 在中南美洲保持活跃，针对政府和能源部门使用定制恶意软件和本地存活技术。

3 分钟阅读TGR-STA-1030

GopherWhisper APT 使用 Go 工具，合法服务在政府攻击中

威胁情报Apr 23, 2026

GopherWhisper APT 使用 Go 工具，合法服务在政府攻击中

GopherWhisper，一个新的国家支持的 APT，针对政府实体使用基于 Go 的工具包滥用 Outlook、Slack 和 Discord 进行 C2。

4 分钟阅读GopherWhisper

Operation PhantomCLR 劫持 Intel 驱动部署隐蔽恶意软件

威胁情报Apr 20, 2026

Operation PhantomCLR 劫持 Intel 驱动部署隐蔽恶意软件

Operation PhantomCLR 利用合法的 Intel 驱动劫持 .NET CLR 并部署恶意软件，通过使用可信的、已签名的二进制文件而不修改其代码来绕过安全工具。

5 分钟阅读Operation PhantomCLR

基于凭证的攻击模糊了入侵和正常活动之间的界限

威胁情报Apr 12, 2026

基于凭证的攻击模糊了入侵和正常活动之间的界限

现代攻击者正在利用有效的凭证和本地生存技术，使入侵行为与合法用户活动无法区分，使得传统的边界和异常检测变得无效。

订阅更新

将最新的网络安全资讯直接发送到您的邮箱。