網(wǎng)絡(luò)安全公司eSentire 和 Proofpoint 發(fā)現(xiàn)，濫用 Clouflare 的 TryCloudflare 免費服務(wù)進(jìn)行惡意軟件傳播的情況有所增加，涉及多個惡意軟件系列。

該攻擊方式需要使用 TryCloudflare 創(chuàng)建一個速率限制隧道，該隧道充當(dāng)管道，通過 Cloudflare 的基礎(chǔ)設(shè)施將流量從攻擊者控制的服務(wù)器中繼到本地機(jī)器。

據(jù)觀察，利用這種技術(shù)的攻擊鏈可傳播一系列惡意軟件，如 AsyncRAT、GuLoader、PureLogs Stealer、Remcos RAT、Venom RAT 和 XWorm。

攻擊的最初載體是一封包含 ZIP 壓縮文件的網(wǎng)絡(luò)釣魚電子郵件，該壓縮文件包含一個 URL 快捷方式文件，可將收件人引向一個的WebDAV 服務(wù)器上的 Windows 快捷方式文件，該服務(wù)器由 TryCloudflare 托管代理。快捷方式文件會執(zhí)行下一階段的批處理腳本，這些腳本負(fù)責(zé)檢索和執(zhí)行額外的 Python 有效載荷，同時顯示托管在同一 WebDAV 服務(wù)器上的誘餌 PDF 文檔。

eSentire 指出，這些腳本執(zhí)行的操作包括啟動誘餌 PDF、下載額外的惡意有效載荷以及更改文件屬性以避免被檢測。

據(jù) Proofpoint 稱，這些網(wǎng)絡(luò)釣魚郵件以英語、法語、西班牙語和德語編寫，電子郵件數(shù)量從數(shù)百到數(shù)萬不等，目標(biāo)是世界各地的組織機(jī)構(gòu)。 這些郵件主題涵蓋了發(fā)票、文件請求、包裹遞送和稅收等。 雖然該活動被歸因于一個相關(guān)活動集群，但并未與特定的攻擊者或團(tuán)體聯(lián)系起來。據(jù)電子郵件安全廠商評估，該活動是出于經(jīng)濟(jì)動機(jī)。

去年，Sysdig首次記錄了利用TryCloudflare進(jìn)行惡意攻擊的情況，一個被稱為LABRAT的加密劫持和代理劫持活動通過GitLab中一個現(xiàn)已打補(bǔ)丁的關(guān)鍵漏洞，利用Cloudflare隧道滲透目標(biāo)并掩蓋其命令與控制（C2）服務(wù)器。此外，由于使用WebDAV和服務(wù)器消息塊（SMB）進(jìn)行有效載荷的部署，企業(yè)必須將外部文件共享服務(wù)的訪問權(quán)限限制在已知的、允許列表的服務(wù)器上?！笆褂肅loudflare隧道為攻擊者提供了一種使用臨時基礎(chǔ)設(shè)施來擴(kuò)展其攻擊的方法，并為及時構(gòu)建和關(guān)閉攻擊提供了靈活性，”Proofpoint研究人員Joe Wise和Selena Larson表示。

臨時 Cloudflare 實例允許攻擊者以一種低成本的方法使用輔助腳本進(jìn)行攻擊，同時限制了檢測和刪除工作的風(fēng)險。因為攻擊者利用其服務(wù)來掩蓋惡意行為并通過所謂的“依賴信任的服務(wù)”（LoTS） 來增強(qiáng)其運營安全性，Spamhaus 項目呼吁 Cloudflare 審查其反濫用政策。