關鍵詞

網絡安全

在 Sekoia 威脅檢測與研究（TDR）團隊的一份詳細報告中，研究人員揭示了一個復雜的惡意軟件傳播基礎設施，該設施濫用了 Cloudflare 隧道服務來部署遠程訪問木馬（RAT），尤其是 AsyncRAT。這個基礎設施至少從 2024 年 2 月起就開始運作，并且在精心設計的復雜感染鏈的助力下不斷演變，這些感染鏈旨在繞過檢測工具并滲透到企業環境中。

研究人員指出：“相關的感染鏈特別復雜，涉及多個步驟，并且在不同的攻擊活動中還觀察到了一些差異。”

攻擊始于一封網絡釣魚電子郵件 —— 通常偽裝成發票或采購訂單 —— 其中包含一個惡意的 Windows 庫文件（.ms-library）。雖然這種格式在現代環境中不常用，但由于其非可執行文件的外觀，它能夠繞過過濾器。

.ms-library 文件引用了一個遠程 WebDav 資源，當該資源被打開時，會啟動一個偽裝成 PDF 快捷方式（LNK 文件）的文件下載。

一旦點擊了 LNK 文件，一系列腳本和有效載荷就會依次展開：

1.LNK 文件下載并執行一個 HTA 文件。

2.這個 HTA 文件（用 VBScript 編寫）會啟動一個 BAT 腳本。

3.BAT 腳本安裝 Python 并執行另一個 BAT 階段的操作。

4.最后，惡意軟件會注入到 notepad.exe 中，并建立持久化。

攻擊者使用一個 Python 腳本將下一個有效載荷注入到多個記事本（Notepad）進程中，并通過 Windows 啟動文件夾建立持久化，會釋放兩個.vbs 文件和另一個.bat 文件。

最終的有效載荷 ——AsyncRAT—— 是經過 Base64 編碼的，并隱藏在一個從公共網站下載的.jpg 圖像中。這個圖像通過 PowerShell 以反射方式加載，在內存中執行，以避免被磁盤檢測到。

命令與控制（C2）通信是通過動態域名系統（DNS）域名建立的，常常利用dyndns.org，并且其基礎設施隱藏在使用 TryCloudflare 的 Cloudflare 隧道后面。

這條惡意軟件感染鏈配備了多種規避技術：

1.進行開發環境檢查，以避免在沙箱環境中觸發。

2.在安裝 Python 后，通過 attrib.exe 創建隱藏文件夾。

3.濫用具有檢測規避意識的 LNK 文件和 HTA 文件。

4.使用動態 DNS 實現可靠的命令與控制（C2）服務器輪換。

Sekoia 的檢測系統采用了以下規則：

1.HTA 感染鏈。

2.Mshta（微軟 HTML 應用程序主機）的可疑子進程。

3.與動態 DNS 進行了通信。

4.ISO LNK 感染鏈。

5.使用 attrib.exe 隱藏文件。

這些規則是他們開源的 Sigma 規則集的一部分。

這次攻擊活動展示了多階段惡意軟件攻擊日益復雜的趨勢。通過將網絡釣魚、不常見的文件格式、反射式 PowerShell 加載器以及像 Cloudflare 和 Telegram 這樣的合法服務結合起來，攻擊者成功地避開了用戶的懷疑和終端安全防護。

威脅檢測與研究（TDR）團隊總結認為，雖然攻擊者的最終目標很可能是竊取數據，但首要重點應該放在早期檢測上 —— 尤其是在管理腳本和動態 DNS 較為常見的環境中。

隨著攻擊者在利用合法基礎設施方面變得更具創意，防御者必須采用分層檢測策略，并監控一些細微的跡象，比如意外的.vbs 或.jpg 文件下載觸發了 PowerShell 操作等情況。

來源：https://securityonline.info/unveiling-a-multi-stage-malware-attack-cloudflare-abuse-and-asyncrat-delivery/

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！