黑客滥用Cloudflare隧道基础设施传播多种远程访问木马

admin 2025年4月23日21:18:29评论12 views字数 1236阅读4分7秒阅读模式

近期发现一起复杂攻击活动,攻击者利用Cloudflare的隧道基础设施分发多种远程访问木马(RAT)。

该基础设施自2024年2月以来展现出极强的持久性,作为恶意文件和木马的分发平台,使攻击者能够未经授权访问受害者系统。

包括Forcepoint、Fortinet、Orange和Proofpoint在内的安全厂商已记录这一持续性威胁,强调其不断演变的特性以及对全球组织日益增长的影响。

初始感染途径

主要感染途径始于包含恶意附件的钓鱼邮件,这些附件伪装成发票或订单文件。

这类邮件通常制造虚假紧迫感,并可能包含伪造的对话记录和回复以显得真实可信。

附件通常采用"application/windows-library+xml"文件格式,由于相比二进制文件看似无害,经常能绕过电子邮件安全网关。

当用户打开文件时,会建立与托管在Cloudflare隧道基础设施上的远程WebDav资源的连接。

攻击基础设施分析

Sekoia威胁检测与研究(TDR)团队持续监控这一攻击基础设施,内部代号为"Cloudflare隧道基础设施传播多种RAT"。

分析显示,攻击采用复杂的多阶段感染链,运用多种混淆技术规避检测系统。这种复杂性表明,即便在2025年,威胁行为体仍在开发创新方法来绕过现代安全控制措施。

攻击者利用带有"trycloudflare.com"后缀的域名(如"malawi-light-pill-bolt.trycloudflare.com"和"players-time-corresponding-th.trycloudflare.com"等)托管恶意内容。该基础设施最终投放的载荷会在受感染系统上建立持久远程访问,可能导致数据窃取和进一步网络入侵。

感染链技术细节

感染过程始于用户与伪装成PDF文档的LNK文件交互。该快捷方式并非打开合法文档,而是从同一远程服务器执行HTA文件。脚本触发BAT文件安装Python并执行混淆的Python代码,随后将下一阶段载荷注入"notepad.exe"进程。

黑客滥用Cloudflare隧道基础设施传播多种远程访问木马

注入notepad.exe进程(来源:Sekoia)

为实现持久化,恶意软件创建启动项,包含两个VBS文件和另一个放置在Windows启动文件夹中的BAT文件。

最终阶段使用PowerShell反射加载从JPEG图像下载的载荷(内含base64编码的载荷),通过"duckdns.org"等动态DNS服务建立与命令控制服务器的RAT连接。

通过涉及Windows-library文件、LNK文件、HTA执行和Python注入的复杂多阶段过程分发AsyncRAT的感染链

该攻击活动的演变表明,威胁行为体持续调整技术以绕过安全控制,凸显了采用多层检测方法和持续监控类似攻击模式的重要性。

文字来源:FreeBuf

推荐阅读

黑客滥用Cloudflare隧道基础设施传播多种远程访问木马

1

江苏国骏网络安全服务业务全景

2

网络安全等级保护服务业务

3

勒索病毒专项防护工作业务

原文始发于微信公众号(信息安全大事件):黑客滥用Cloudflare隧道基础设施传播多种远程访问木马

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月23日21:18:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客滥用Cloudflare隧道基础设施传播多种远程访问木马https://cn-sec.com/archives/3991627.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息