黑客滥用Cloudflare隧道服务分发多个RAT

安全机构近日发现黑客自2024年2月起滥用Cloudflare的隧道服务（如trycloudflare.com域名）分发多种远程访问木马（RAT）。攻击通过钓鱼邮件传播，伪装成发票或订单，利用看似无害的XML附件绕过检测。Sekoia TDR（威胁检测与研究）团队分析师一直在监控这种攻击基础设施，内部称之为“Cloudflare隧道基础设施。攻击者利用带有“trycloudflare.com”后缀的域名，包括“malawwi -light-pill-bolt.trycloudflare.com”、“plays-timescording-th.trycloudflare.com”等，来承载他们的恶意内容。