远程访问软件为 IT/OT 团队提供了灵活的方式，可尽早检测异常网络或设备问题并主动监控系统。网络威胁行为者越来越多地利用这些相同的工具轻松广泛地访问受害系统。虽然组织出于合法目的使用远程访问软件，但安全工具或流程通常不会将其使用标记为恶意。恶意行为者利用这一点，使用远程访问软件通过云托管基础设施建立网络连接，同时逃避检测。这种入侵属于离地攻击 (LOTL)，其中本质上的恶意文件、代码和脚本是不必要的，网络威胁行为者使用环境中已经存在的工具来维持其恶意活动。有关 LOTL 攻击的更多信息和示例，请参阅联合网络安全咨询中华人民共和国国家支持的离地网络行为者逃避检测。