【安全资讯】Serpentine#Cloud恶意软件利用Cloudflare隧道进行隐蔽攻击

概要：

近日，Securonix的安全研究人员发现了一种名为Serpentine#Cloud的恶意软件活动，该活动利用Cloudflare的隧道子域名执行内存中的恶意代码，使攻击者能够长期控制受感染的机器。此次攻击规模中等至大型，且仍在活跃进行中。攻击者通过钓鱼邮件传播恶意软件，利用Cloudflare的合法服务隐藏其恶意活动，增加了检测和追踪的难度。

主要内容：

Serpentine#Cloud攻击始于一封以发票为主题的钓鱼邮件，其中包含伪装成PDF文档的Windows快捷方式（.lnk）文件。一旦受害者点击恶意链接，便会触发一个复杂的攻击链，涉及批处理、VBScript和Python脚本，最终部署一个加载Donut-packed PE有效载荷的shellcode。

攻击者利用Cloudflare的TryCloudflare隧道服务托管和交付这些有效载荷。由于TryCloudflare通常用于合法的开发和测试目的，大多数组织不会阻止或监控其流量，这使得恶意流量能够更好地融入正常网络活动，绕过域名拦截工具。此外，使用Cloudflare隧道还意味着攻击者无需注册域名或租用VPS服务器，进一步增加了安全研究人员的归因和清除难度。

攻击的第二阶段下载并执行一个Windows脚本文件，作为VBScript加载器。第三阶段是一个高度混淆的批处理文件，用于部署诱饵PDF、检查防病毒软件、下载并执行Python shellcode，并通过Windows启动文件夹建立持久性。最终，这些Python shellcode在内存中运行Donut-packed的有效载荷（如AsyncRAT或Revenge RAT），使攻击者能够完全控制受感染的主机。

Securonix的研究人员指出，攻击者通过这种隐蔽的持久性机制，可以窃取密码、浏览器/会话数据，外泄敏感信息，甚至尝试横向移动到其他系统。目前，攻击者的身份尚未确定，但代码中的英文注释和对西方目标的关注表明，攻击者可能是英语使用者，且具备一定的技术水平。