Cloudflare-Tunnel als Trojaner-Schleuse für AsyncRAT

23. April 2025

Das Threat Detection & Research-Team von Sekoia hat eine raffinierte Infrastruktur aufgedeckt, die von Cyberkriminellen seit mindestens Februar 2024 aktiv missbraucht wird. Unter dem Namen „Cloudflare-Tunnel-Infrastruktur zur Bereitstellung mehrerer RATs“ nutzen Angreifer die Technik, um Schadsoftware zu verbreiten und Fernzugriffstrojaner (Remote Access Trojans, kurz RATs) bereitzustellen. Zu den eingesetzten Tools zählt auch der berüchtigte AsyncRAT, der insbesondere für seine Fähigkeit bekannt ist, sich unbemerkt Zugriff auf infizierte Systeme zu verschaffen.

Im Rahmen ihrer täglichen Überwachungs- und Analysearbeit hat das Threat Detection & Research-Team von Sekoia eine aktive Angreiferinfrastruktur identifiziert und beobachtet, die intern als „Cloudflare-Tunnelinfrastruktur zur Bereitstellung mehrerer RATs“ bezeichnet wird. Diese Infrastruktur wird von verschiedenen Bedrohungsakteuren genutzt, um schädliche Dateien zu hosten und Remote-Access-Trojaner (RATs) wie etwa den bekannten AsyncRAT zu verbreiten.

Mehrere Cybersicherheitsunternehmen – darunter Forcepoint, Fortinet, Orange und Proofpoint – berichten, dass diese Infrastruktur bereits seit mindestens Februar 2024 in Betrieb ist. Ihre anhaltende Nutzung unterstreicht die Widerstandsfähigkeit und Effektivität dieses Angriffsvektors.

Die damit verbundenen Infektionsketten sind komplex, vielstufig aufgebaut und variieren je nach Kampagne. Eine vollständige Analyse dieser Ketten ist unerlässlich, um die Absichten der Angreifer zu verstehen. Auch wenn eine detaillierte technische Untersuchung an dieser Stelle nicht erfolgt, deutet vieles darauf hin, dass Datendiebstahl ein zentrales Ziel der Aktivitäten ist – ein Muster, das sich bei zahlreichen Cyberkriminellen beobachten lässt.

Dieser Bericht konzentriert sich auf eine der jüngsten Infektionsketten, die auf die Cloudflare-Tunnelinfrastruktur zurückgreift und den AsyncRAT verbreitet. Dabei beleuchtet er die Taktiken, Techniken und Verfahren (TTPs) der Angreifer mit besonderem Fokus auf Erkennungsmöglichkeiten. Anhand konkreter Beispiele wird gezeigt, wie die Sekoia Defend-Plattform verschiedene Phasen des Angriffs mithilfe spezifischer Erkennungsregeln identifiziert – diese werden im Abschnitt „Technische Details“ näher erläutert.

Abbildung 1: Infektionsketten, über die AsyncRAT verbreitet wird

Komplexe Infektionsketten und hartnäckige Angriffsstrategien

Die analysierten Angriffskampagnen beginnen in der Regel mit einer Phishing-E-Mail, die als scheinbar legitime Geschäftskorrespondenz – etwa als Rechnung oder Bestellung – getarnt ist. Ziel ist es, die Empfänger zum Öffnen eines schädlichen Anhangs zu verleiten.

Bei dem Anhang handelt es sich häufig um eine Datei vom Typ „application/windows-library+xml“ – ein älteres Dateiformat, das zwar von vielen E-Mail-Gateways blockiert werden kann, aber nicht immer als eindeutig bedrohlich erkannt wird. Da es weniger gefährlich wirkt als ausführbare Binärdateien, passiert es gelegentlich unbemerkt die ersten Sicherheitsschranken.

Wird die Datei geöffnet, stellt sie eine Verbindung zu einer über die Cloudflare-Infrastruktur bereitgestellten WebDAV-Ressource her – der Startpunkt eines mehrstufigen Infektionsprozesses.

In der ersten Stufe leitet der Anhang den Benutzer auf eine vermeintliche PDF-Datei, hinter der sich tatsächlich eine manipulierte LNK-Datei verbirgt. Diese öffnet eine HTML-Anwendungsdatei (HTA), die wiederum mit VBScript eine Batch-Datei ausführt. Diese wiederum installiert Python auf dem infizierten System – ein ungewöhnlicher, aber gezielt eingesetzter Schritt, um weitere Angriffskomponenten zu verschleiern.

Das eingesetzte Skript nutzt PowerShell, um die benötigten Abhängigkeiten herunterzuladen und zu installieren. Dieser Schritt dient nicht nur der Vorbereitung der nächsten Angriffsphasen, sondern auch der Verschleierung des gesamten Vorgangs – ein Beleg für die zunehmende Raffinesse und Persistenz moderner Cyberbedrohungen.

Um einer Entdeckung durch Sicherheitslösungen zu entgehen, setzen die Angreifer auf gezielte Tarntechniken. Dazu gehört unter anderem das Manipulieren von Dateiattributen, um Installationsverzeichnisse zu verstecken, sowie der Einsatz von Skripten, die nach der Erstinfektion digitale Spuren systematisch beseitigen.

Die dauerhafte Verankerung der Malware auf dem System – die sogenannte Persistenz – wird in vielen Fällen über den Windows-Startordner erreicht. Dort platzieren die Angreifer schädliche Skripte, die bei jedem Systemstart automatisch ausgeführt werden. Auf diese Weise bleibt die Malware selbst nach einem Neustart aktiv und kann ihre Funktionen weiterhin ungehindert ausführen.

Fazit

Dieser Bericht beleuchtet die vielschichtige Struktur einer ausgeklügelten, mehrstufigen Angriffskampagne, die seit Februar 2024 aktiv ist und eine robuste Netzwerkinfrastruktur missbraucht – intern als „Cloudflare-Tunnel-Infrastruktur zur Bereitstellung mehrerer RATs“ bezeichnet. Die beobachtete Infektionskette zeigt eindrucksvoll, wie geschickt moderne Angreifer Sicherheitsmaßnahmen umgehen – teils mit Methoden, die in Zeiten hochentwickelter Sicherheitstechnologien eigentlich als überholt gelten könnten.

Doch gerade dieses Beispiel macht deutlich, wie wichtig kontinuierliche Cyber Threat Intelligence (CTI) und adaptive Erkennungstechniken sind. Die Kombination aus detaillierten Bedrohungsanalysen und spezifischen Erkennungsregeln ist entscheidend, um auch komplexe Angriffsmuster frühzeitig zu identifizieren und abzuwehren.

Das Sekoia TDR-Team setzt dabei auf eine umfassende Strategie, die sowohl einzelne Taktiken, Techniken und Verfahren (TTPs) als auch deren Zusammenspiel berücksichtigt. Ziel ist es, auch künftig resilient gegenüber sich wandelnden Bedrohungsszenarien zu bleiben.

Die kontinuierliche Beobachtung und Bewertung ähnlicher Angriffe ermöglicht es, bestehende Abwehrmechanismen weiter zu verfeinern – und so der Dynamik der Angreifer stets einen Schritt voraus zu sein.

Bild/Quelle: https://depositphotos.com/de/home.html

Teile diesen Beitrag: