#living-off-the-land
6 articles
在2026年4月至7月期间,亚太、亚洲、中美洲、独联体及中东-土耳其-非洲地区的政府与教育部门成为六篇标记为“离地攻击”报道的主要目标。这些报道涵盖了一起严重等级和四起高严重等级事件,观察到威胁行为者GopherWhisper、KongTuke及Operation PhantomCLR利用合法工具。漏洞CVE-2023-36036被特别提及,同时受影响的行业还包括能源、企业及金融服务。

行业动态
卡巴斯基:60%的事件被自动化安全工具遗漏
卡巴斯基 Compromise Assessment 2025 发现:60%的事件缺乏高置信度警报;30.8%的威胁持续超过3个月;40%的网络壳隐藏在备份中。
5 分钟阅读
CRITICAL威胁情报
ModeloRAT 活动滥用 Microsoft Teams 进行企业入侵
Rapid7 分析了 2026 年 4 月的一次入侵事件,其中一条假冒的 IT 支持 Teams 消息通过 Dropbox 传递了 ModeloRAT,导致权限提升、凭证盗窃和横向移动...
CVE-2023-36036
6 分钟阅读KongTuke
HIGH威胁情报
Unit 42 追踪 TGR-STA-1030 在中南美洲的活动
Palo Alto Unit 42 报告称 TGR-STA-1030 在中南美洲保持活跃,针对政府和能源部门使用定制恶意软件和本地存活技术。
3 分钟阅读TGR-STA-1030
HIGH威胁情报
GopherWhisper APT 使用 Go 工具,合法服务在政府攻击中
GopherWhisper,一个新的国家支持的 APT,针对政府实体使用基于 Go 的工具包滥用 Outlook、Slack 和 Discord 进行 C2。
4 分钟阅读GopherWhisper
HIGH威胁情报
Operation PhantomCLR 劫持 Intel 驱动部署隐蔽恶意软件
Operation PhantomCLR 利用合法的 Intel 驱动劫持 .NET CLR 并部署恶意软件,通过使用可信的、已签名的二进制文件而不修改其代码来绕过安全工具。
5 分钟阅读Operation PhantomCLR
HIGH威胁情报
基于凭证的攻击模糊了入侵和正常活动之间的界限
现代攻击者正在利用有效的凭证和本地生存技术,使入侵行为与合法用户活动无法区分,使得传统的边界和异常检测变得无效。
6 分钟阅读
订阅更新
将最新的网络安全资讯直接发送到您的邮箱。