攻击者利用Cloudflare免费功能散布远程访问木马

主要资讯

自二月份以来，制造、科技、金融和法律行业的组织面临著利用Cloudflare免费TryCloudflare Tunnel功能的攻击，这些攻击旨在散布多种远程访问木马，如XWorm、VenomRAT、Remcos RAT、AsyncRAT和GuLoader，根据BleepingComputer的报导。

根据Proofpoint的分析，入侵行为始于发送税务主题的钓鱼电子邮件，这些邮件附带链接或附件，重定向到LNK载荷，其执行BAT或CMD脚本，进而部署PowerShell和Python安装程序，然后安装RAT。研究人员报告指出，攻击者利用Cloudflare的合法性和匿名性，使得恶意威胁检测变得更加困难。基于这些发现，Cloudflare强调他们已经立即采取行动，关闭恶意隧道。Cloudflare表示：“在过去几年中，我们在隧道产品中引入了机器学习检测，以更好地控制可能发生的恶意活动。”此外，Cloudflare呼吁安全供应商持续提交可疑的网址。

相关连结： Proofpoint研究报告 Cloudflare官方声明

攻击行为过程表

这些事件强调了加强对网络威胁检测和防护的重要性，并提醒企业需保持警惕。