网络犯罪分子滥用 Cloudflare 隧道逃避检测并传播恶意软件

网络安全公司警告称，滥用Cloudflare的TryCloudflare免费服务传播恶意软件的情况有所增加。

eSentire和Proofpoint均记录了该活动，这种活动需要使用TryCloudflare创建一个速率受限的隧道，充当通过Cloudflare基础设施将流量从攻击者控制的服务器中继到本地计算机的管道。

据观察，利用该技术的攻击链会传播多种恶意软件系列，例如AsyncRAT、GuLoader、PureLogs Stealer、Remcos RAT、Venom RAT和XWorm。

初始访问向量是一封包含ZIP存档的网络钓鱼电子邮件，其中包含一个URL快捷方式文件，该文件将邮件收件人引导至托管在TryCloudflare代理的WebDAV服务器上的Windows快捷方式文件。

快捷方式文件反过来执行下一阶段的批处理脚本，负责检索和执行额外的Python有效负载，同时显示托管在同一WebDAV服务器上的诱饵PDF文档以保持诡计。

eSentire指出：“这些脚本执行的操作包括启动诱饵PDF、下载其他恶意负载以及更改文件属性以避免检测。”

“他们策略的一个关键要素是使用直接系统调用绕过安全监控工具，解密shellcode层，并部署Early Bird APC队列注入来秘密执行代码并有效逃避检测。”

根据Proofpoint的报告，这些网络钓鱼诱饵以英语、法语、西班牙语和德语编写，电子邮件数量从数百到数万封不等，针对来自世界各地的组织。这些主题涵盖广泛的主题，例如发票、文档请求、包裹递送和税收。

该活动虽然归因于一组相关活动，但并未与特定威胁行为者或组织联系起来，电子邮件安全供应商评估其具有经济动机。

去年首次记录了利用TryCloudflare进行恶意目的的情况，当时Sysdig发现了一个名为LABRAT的加密劫持和代理劫持活动，该活动将GitLab中现已修补的关键缺陷武器化，以渗透目标并使用Cloudflare隧道掩盖其命令和控制（C2）服务器。

此外，使用WebDAV和服务器消息块（SMB）进行有效负载暂存和交付需要企业将对外部文件共享服务的访问限制为仅限已知的允许列表服务器。

Proofpoint研究人员Joe Wise和Selena Larson表示：“Cloudflare隧道的使用为威胁行为者提供了一种使用临时基础设施来扩展其操作的方式，从而提供了及时构建和删除实例的灵活性。”

“这使得防御者和传统安全措施（例如依赖静态阻止列表）变得更加困难。临时Cloudflare实例允许攻击者以低成本方法利用帮助脚本发起攻击，并且检测和删除工作的暴露程度有限。”

调查结果发布之际，Spamhaus项目呼吁Cloudflare审查其反滥用政策，因为网络犯罪分子利用其服务来掩盖恶意行为，并通过所谓的“依赖可信服务”（LoTS）来增强其运营安全性。

它表示，“经常观察到不法分子将其已列在[域阻止列表]中的域转移到Cloudflare，以掩饰其操作的后端，无论是垃圾邮件域、网络钓鱼还是更糟糕的情况。”