隐秘的SERPENTINE#CLOUD恶意软件活动利用Cloudflare隧道进行内存驻留RAT投递
💡
原文中文,约1300字,阅读约需4分钟。
📝
内容提要
网络安全公司Securonix发现了一种新型恶意活动SERPENTINE#CLOUD,该活动通过钓鱼邮件利用Cloudflare Tunnel传播恶意载荷。攻击链包括伪装成PDF的Windows快捷方式下载脚本,最终通过Python加载器注入内存,使用多种远程访问工具,增加了检测难度。该活动仍在持续,可能会演变并扩展至新地区。
🎯
关键要点
- 网络安全公司Securonix发现了新型恶意活动SERPENTINE#CLOUD,利用Cloudflare Tunnel传播恶意载荷。
- 攻击链通过钓鱼邮件触发,邮件主题涉及发票或付款,附件为伪装成PDF的Windows快捷方式。
- 攻击者利用Cloudflare Tunnel的隐蔽性规避传统检测机制。
- 第二阶段通过cscript.exe执行VBScript脚本,下载外部批处理文件并获取下一阶段载荷。
- 最终阶段使用Python加载器将恶意代码注入内存,已识别的远程访问工具包括AsyncRAT等。
- 攻击者的初始访问载体正在演变,使用伪装成文档的Windows快捷文件。
- 分析发现代码中有大量注释,可能使用大型语言模型辅助生成代码。
- SERPENTINE#CLOUD结合社会工程学和隐蔽的内存执行,降低了被检测的可能性。
- Securonix警告该活动仍在持续,可能演变并扩展至新地区,威胁行为者的来源尚未确定。
❓
延伸问答
SERPENTINE#CLOUD恶意活动是如何传播的?
该恶意活动通过钓鱼邮件传播,邮件主题涉及发票或付款,附件为伪装成PDF的Windows快捷方式。
SERPENTINE#CLOUD攻击链的主要阶段有哪些?
攻击链包括钓鱼邮件触发、执行VBScript脚本下载外部批处理文件,以及使用Python加载器注入内存。
攻击者如何利用Cloudflare Tunnel来规避检测?
攻击者利用Cloudflare Tunnel的隐蔽性,将恶意载荷通过合法的云服务传输,规避传统的基于域名的检测机制。
SERPENTINE#CLOUD使用了哪些远程访问工具?
已识别的远程访问工具包括AsyncRAT、Revenge RAT、GuLoader等,这些工具在内存中运行,不留痕迹。
该恶意活动的持续性和演变可能带来什么风险?
Securonix警告该活动仍在持续,可能演变并扩展至新地区,增加了网络安全的威胁。
SERPENTINE#CLOUD恶意活动的攻击者可能使用了什么技术?
分析发现攻击者可能使用大型语言模型辅助生成代码,结合社会工程学和隐蔽的内存执行技术。
➡️
