XWorm 7.1 und Remcos RAT: Angreifer setzen auf dateilose Techniken und Windows-Bordmittel

Beide Schadprogramme nutzen vertrauenswürdige Windows-Systemwerkzeuge, um gängigen Sicherheitslösungen zu entgehen – ein Ansatz, der unter dem Begriff „Living off the Land“ bekannt ist und zunehmend auch bei kommerziell vertriebener Malware zum Einsatz kommt.

https://www.all-about-security.de/xworm-7-1-und-remcos-rat-angreifer-setzen-auf-dateilose-techniken-und-windows-bordmittel/

#winrar #Livingofftheland #malware #cybersecurity #maas

Active phishing campaigns monitored by Netskope Threat Labs are leveraging high-frequency video conferencing workflows as an infection vector.

Attack chain:
- Pixel-perfect spoofed Zoom / Teams / Meet page
- “Mandatory update” prompt
- Deployment of signed RMM agent (Datto, LogMeIn, ScreenConnect)
- Administrative persistence & lateral movement

Key concern: Abuse of legitimate, digitally signed RMM binaries to evade signature-based controls and blend into sanctioned enterprise traffic.
Detection challenge:
Distinguishing authorized RMM activity from malicious post-exploitation.

Source: https://www.netskope.com/blog/attackers-weaponize-signed-rmm-tools-via-zoom-meet-teams-lures

Are you enforcing strict RMM allowlists and monitoring outbound C2-like behavior within approved tools?
Engage below.

Follow @technadu for threat intelligence coverage.

#ThreatIntel #RMMAbuse #LivingOffTheLand #EDR #SOC #BlueTeam #Phishing #EnterpriseSecurity #ZeroTrust #IncidentResponse #CyberDefense #SecurityResearch

Les attaques "Living off the Land" (LoL) et "fileless" sont des techniques qui exploitent les outils natifs d’un système pour agir sans laisser de traces évidentes. Voici pourquoi c’est un cauchemar pour la détection classique – et comment ça fonctionne en pratique.

🤫Living off the Land (LoL) : se fondre dans le bruit légitime
L’idée ? Utiliser des outils déjà présents sur la machine (PowerShell, WMI, schtasks, certutil, etc.) pour mener des actions malveillantes sans installer de malware. Exemples concrets :
- Télécharger/exécuter du code en mémoire via PowerShell
- Exfiltrer des données avec bitsadmin (un outil Microsoft légitime)
- Persister via des tâches planifiées ou des clés de registre
→ Résultat : les antivirus basés sur les signatures ne voient rien, car tout semble "normal".

🔎 Attaques fileless : pas de fichier = pas de trace ?
Ici, le code malveillant est uniquement en mémoire (scripts, macros, registre) ou abuse de binaires de confiance. Techniques courantes :
- Chargement de DLL en mémoire (reflective loading)
- Macros Office qui lancent des scripts PowerShell
- Malware résident dans le registre Windows
→ Problème pour les défenseurs : les outils traditionnels (scans de fichiers) sont aveugles.

❓Pourquoi c’est stratégique ?
- Furtivité : Moins d’artefacts = intrusions longues (ex : campagnes APT restant des mois/années sans détection).
- Économie : Pas besoin de développer des malwares custom (on réutilise ce qui existe déjà).
- Contournement : Les EDR/antivirus centrés sur les fichiers sont moins efficaces.

🧠Ressources pour creuser (merci aux projets open source !) :
- GTFOBins : Outils Linux/Unix → https://gtfobins.github.io/
- LOLBAS : Outils Windows → https://lolbas-project.github.io/
- LOLESXi : Binaries VMware ESXi → https://lolesxi-project.github.io/LOLESXi/
- MalAPI : Mapping des APIs Windows → https://malapi.io/
- GTFOArgs : Abus d’arguments de binaires Unix (argument injection) → https://gtfoargs.github.io/
- LOLDrivers : Drivers Windows → https://www.loldrivers.io/
- LOLApps : Applications (built‑in & tierces) détournées → https://lolapps-project.github.io/
- LOOBins : Binaries intégrés macOS → https://www.loobins.io/
- LOLCerts : Certificats → https://github.com/ReversecLabs/lolcerts
- LOLAD : Techniques et commandes Active Directory natives → https://lolad-project.github.io/
- LOTLWeb : Domaines web → https://lots-project.com/

En pratique, comment se protéger ?

- Blue Team : Journaliser tout (PowerShell, WMI, tâches planifiées), whitelisting strict, analyse comportementale.
- Red Team : Tester ces techniques pour identifier les failles de détection.

💡 Le vrai défi ? Passer d’une sécurité basée sur les signatures à une approche comportementale et contextuelle.

#Cybersécurité #RedTeam #BlueTeam #LivingOffTheLand #FilelessAttacks #PowerShell #WMI #APT #DéfenseCyber #Pentest

Exciting community event TODAY 🥳

Why we can’t go back to “living off the land”

What's your opinion? 🤓

Time: 16:00 UTC (https://dateful.com/time-zone-converter)

Link to events page:
https://ubi4me.org/2025/11/4th-november-event-why-we-cant-go-back-to-living-off-the-land/

Link for the event:
https://meet.jit.si/UBI4ME_Community_Event_November_2025

#UBI4ME #UBI #LivingOffTheLand #PostWork #Automation #Unemployment #CostOfLiving

Is Your Workplace Software a Spy Tool? Ransomware Gangs Say Yes

#Cybersecurity #Ransomware #Cybercrime #Infosec #ThreatIntel #DataPrivacy #Espionage #FogRansomware #LivingOffTheLand #Malware #CorporateSecurity #Hacking

https://winbuzzer.com/2025/06/13/is-your-workplace-software-a-spy-tool-ransomware-gangs-say-yes-xcxwbn/

On Linux systems, some of the most dangerous hacking tools are already preinstalled. Bash, curl, netcat, awk, even less — these common binaries can be chained together for stealthy attacks. They are called Linux LOLBins, short for Living Off the Land Binaries. Rather than dropping new malware, an attacker can leverage what is already there to stay undetected. Need to exfiltrate data? Use curl or scp. Want a reverse shell? Try bash or socat. Fileless persistence, privilege escalation, lateral movement — it can all happen through trusted tools.

Security is not just about locking the doors. It is about knowing which ones are left wide open by default.

#LinuxSecurity #LOLBins #LivingOffTheLand #RedTeamTips #CommandLineWarfare

https://github.com/magicsword-io/LOLRMM

#LivingOffTheLand #RemoteManagement #LOLRMM