近期发现一起复杂攻击活动,攻击者利用Cloudflare的隧道基础设施分发多种远程访问木马(RAT)。
该基础设施自2024年2月以来展现出极强的持久性,作为恶意文件和木马的分发平台,使攻击者能够未经授权访问受害者系统。
包括Forcepoint、Fortinet、Orange和Proofpoint在内的安全厂商已记录这一持续性威胁,强调其不断演变的特性以及对全球组织日益增长的影响。
初始感染途径
主要感染途径始于包含恶意附件的钓鱼邮件,这些附件伪装成发票或订单文件。
这类邮件通常制造虚假紧迫感,并可能包含伪造的对话记录和回复以显得真实可信。
附件通常采用"application/windows-library+xml"文件格式,由于相比二进制文件看似无害,经常能绕过电子邮件安全网关。
当用户打开文件时,会建立与托管在Cloudflare隧道基础设施上的远程WebDav资源的连接。
攻击基础设施分析
Sekoia威胁检测与研究(TDR)团队持续监控这一攻击基础设施,内部代号为"Cloudflare隧道基础设施传播多种RAT"。
分析显示,攻击采用复杂的多阶段感染链,运用多种混淆技术规避检测系统。这种复杂性表明,即便在2025年,威胁行为体仍在开发创新方法来绕过现代安全控制措施。
攻击者利用带有"trycloudflare.com"后缀的域名(如"malawi-light-pill-bolt.trycloudflare.com"和"players-time-corresponding-th.trycloudflare.com"等)托管恶意内容。该基础设施最终投放的载荷会在受感染系统上建立持久远程访问,可能导致数据窃取和进一步网络入侵。
感染链技术细节
感染过程始于用户与伪装成PDF文档的LNK文件交互。该快捷方式并非打开合法文档,而是从同一远程服务器执行HTA文件。脚本触发BAT文件安装Python并执行混淆的Python代码,随后将下一阶段载荷注入"notepad.exe"进程。
注入notepad.exe进程(来源:Sekoia)
为实现持久化,恶意软件创建启动项,包含两个VBS文件和另一个放置在Windows启动文件夹中的BAT文件。
最终阶段使用PowerShell反射加载从JPEG图像下载的载荷(内含base64编码的载荷),通过"duckdns.org"等动态DNS服务建立与命令控制服务器的RAT连接。
通过涉及Windows-library文件、LNK文件、HTA执行和Python注入的复杂多阶段过程分发AsyncRAT的感染链
该攻击活动的演变表明,威胁行为体持续调整技术以绕过安全控制,凸显了采用多层检测方法和持续监控类似攻击模式的重要性。
文字来源:FreeBuf
推荐阅读
1
2
3
原文始发于微信公众号(信息安全大事件):黑客滥用Cloudflare隧道基础设施传播多种远程访问木马
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论