【安全资讯】利用Cloudflare服务掩护的复杂AsyncRAT攻击活动分析

概要：

近期，网络安全研究人员发现一起高度复杂的多阶段网络攻击活动，攻击者利用Cloudflare的免费服务托管恶意载荷，并通过钓鱼邮件传播AsyncRAT远程访问木马。该活动通过滥用受信任的基础设施和“无文件”技术，有效规避了传统安全解决方案的检测，对全球范围内的企业和组织构成了严重威胁。

主要内容：

此次攻击始于精心设计的钓鱼邮件，邮件中包含指向Dropbox链接的压缩文件。该文件使用双扩展名（.pdf.url）伪装成PDF发票，诱骗用户点击。一旦执行，会通过TryCloudflare隧道域名连接到托管在Cloudflare免费服务上的WebDAV服务器，下载并执行一系列恶意脚本。

攻击的核心技术在于利用合法的Python环境。攻击脚本会从Python官方网站下载Python 3.14.0嵌入式版本，在受害者系统上建立完整的Python运行环境。随后，通过Python脚本ne.py，使用多态异步过程调用（APC）注入技术，将加密的AsyncRAT shellcode（存储在new.bin中）注入到explorer.exe进程中执行，从而实现隐蔽的远程控制。

为了确保持久性，攻击者采用了多种手段，包括在系统启动文件夹中放置恶意批处理文件（ahke.bat, olsm.bat），以及利用Windows Script Host、PowerShell等系统内置工具（“Living-off-the-Land”技术）。此外，攻击过程中会打开一个来自德国工商会（IHK）官网的合法PDF文件，以此迷惑用户，降低其警惕性。

该活动展示了攻击者滥用云服务（如Cloudflare）和开源工具（如Donut shellcode生成器）以增强攻击隐蔽性的趋势。其影响范围广泛，任何通过钓鱼邮件中招的用户都可能丧失对系统的完全控制权，导致数据泄露、凭证窃取等严重后果。安全厂商Trend Micro已在其Vision One平台中检测并拦截了相关攻击指标。