伪装成红队以中国企业财务部门为目标的攻击活动分析

近期，启明星辰ADLab追踪到多起针对我国企业财务部门的定向攻击活动，攻击活动从多方面高度伪装成攻防演练红队(攻击方)的攻击，其采用定制化的未知木马对相关目标企业发起了近两个月的持续性攻击，直到2023年6月8日我们依然能够观察到新生成的木马出现。目前所能观察到的最准确的攻击证据依然是邮件攻击以及大量恶意载荷，其中木马回连的IP大量位于美国、中国大陆及中国香港，从木马被下载的次数来看，黑客可能已经通过多种攻击手段入侵了一些企业。邮件攻击及恶意载荷大部分伪装成财务部门日常工作内容如：“企业税收优惠政策三步走”、“税务自查系统”、“合力电票云”、“票易通-单据”、“2023年6月份开始国务院税务总局最新政策计划”等，已发现的攻击目标主要涉及我国某合资车企、某合资车企旗下金融公司、某国际会计师事务所等企业的财务部门。这批攻击活动可以追溯到2023年4月中旬，期间使用相当数量的控制命令服务器。此外我们还发现攻击背后的恶意文件托管服务器中存在大量的恶意Payload，有的恶意组件甚至被下载了数万次，有可能存在大量的受害主机。

持续而频繁的攻击、长时间活跃而未被处置的服务器、定制化的未知木马以及数万次的恶意组件的下载量，使得我们提高了警惕度。为了掌握该威胁的动向，我们决定对此类威胁展开深入分析和追踪，以帮助大家定位和识别此类攻击。这批攻击活动极力地将自身伪装成为护网相关攻击方，起初我们收集的证据也误将这批攻击活动归为国内某红队攻方，比如喜欢使用白加黑免杀、压缩打包诱饵文件、位于中国大陆和中国香港的C2、针对性的国内杀软免杀、木马中大量的中文提示信息等等。但在收集并分析了大量黑客活动数据后才发现，这起攻击活动更大可能是一个未知的黑客组织发起的。该攻击活动最近几天仍旧十分活跃，最新生成的恶意代码时间为2023年6月8日。本文将就目前掌握的数据和信息进行分析，尽可能完整的将此次活动涉及的攻击思路、基础设施、恶意代码技术、对抗手法等披露出来，希望相关企业和用户能够提高警惕性并做好全方位的防护。因该组织善于将自己伪装成为红队攻击方，具有极强的迷惑性，我们将该未知组织命名为“红队伪装者（Redteam Pretender）”。

从此次攻击活动的手法来看，攻击者采用C++自行开发了定制版的加载器及远控木马，攻击代码通过多种手段以期达到免杀效果，其采用的手段包括白加黑、侧加载、安全软件规避、多阶段加载等，目前这批恶意代码对国内主流杀毒软件具备静态免杀的能力。最后阶段的定制版远控木马则具备远程下载执行模块、清除模块、安装和驻留、远程文件操作等模块或功能，其中通过扩展模块可以实现对目标的任意访问。攻击者使用的基础设施分布也较为广泛且数量较多，其中大量的基础设施资产目前仍在活跃且未被Virustotal等主流威胁平台检测报毒。

2.1诱饵文档

我们最初发现的攻击邮件是于2023年5月19日发出的，邮件发件人为企业内部员工，从邮件数据分析发现攻击者可能已经成功获得了该企业部分员工的邮箱登录凭证，并以该公司某员工的名义向攻击目标发起钓鱼邮件攻击，邮件示例如下图所示。

这封钓鱼攻击邮件试图通过“企业税收优惠政策三步走”为诱饵附件向同企业员工及合作企业投递恶意代码。目标邮箱如下表所示。

表1 钓鱼邮件攻击目标

从此封邮件的收件人来看，攻击的核心目标应该是某合资车企，同时还涉及到该车企旗下的金融公司、疑似合作的数据提供商及会计事务所等。此次攻击投递的木马为一款未曾出现过的定制化木马，为了进一步地溯源该木马的来历，我们通过溯源系统关联到了大量的诱饵文件和恶意载荷。不出所料，这批恶意文件目的性极强，它们都以“税务”、“发票”、“单据”等具有指向性的话题命名，其目标都瞄准了财务部门及相关员工。攻击者试图针对性的向各企业的财务部门投递定制化木马以获取财务数据、商业机密等重要资料，也可能将木马长期驻留以期完成内网扩散。本次溯源得到的所有恶意载荷均为该黑客组织定制的未知木马，收集到的部分诱饵文件如下表所示。

2.2 基础设施分析

通过进一步溯源关联，我们发现了攻击者使用的大量基础设施，主要可以分为三类。第一类是攻击者用于投递初始诱饵文件的下载服务器，此阶段可能包括邮件、下载链接等投递方式；第二类是攻击者用于存储后续阶段Payload的恶意文件托管服务器；第三类则是最后阶段木马用于回连的C&C服务器。

攻击者在第一阶段诱饵文件的投递过程中使用了多种不同的网络云资源用于存储恶意文件并隐藏真实的网址，包括阿里云ALB服务、短链接以及其它方式（如跳板机）等，这也表明攻击者对国内互联网的资源运用较为熟悉，以下是部分初始诱饵的下载链接。

下图为攻击者基于HFS搭建的恶意文件托管服务器，由图可见相关恶意样本的存储记录和下载数据。截止文章发布当日，涉及的下载次数累计已达数万次，HFS中的文件每下载一次Hits数会同步递增，这表明可能已有大量的受害者中招（其中也会包含沙箱或安全分析人员的请求记录）。从恶意文件托管服务器的运行情况来看，www.kehustudent[.]top的HFS服务已活跃了36天，159.75.237[.]39活跃了22天，119.29.235[.]104则是攻击者最新部署的服务器，目前活跃9天。我们针对服务器内的各类文件进行分析和研判后，发现这些恶意文件与本次捕获诱饵邮件的后续阶段木马（第二、第三阶段）高度相似，主要区别在于文件命名和Payload回连的C&C有所不同。由此可以反推，攻击者生成了大量的诱饵文件用于实施钓鱼攻击，而这些不同的命名则可能是攻击者用于区分不同目标或行动的代号标识。

在第三阶段攻击中，我们捕获到了攻击者使用的大量Payload样本，这些Payload的主要区别在于回连C&C不同。通过逆向分析能够批量提取到后续阶段木马的回连C&C，部分IOC信息如下表所示。

表5  C&C服务器信息

从服务器归属地分布来看，位于中国香港的服务器数量最多，其次是中国大陆、美国、新加坡、日本、塞舌尔。值得注意的是，截止目前大部分C&C服务器在Virustotal上仍未标记报毒。

图3 C&C服务器报毒情况

这批域名通过多种域名服务商注册，包括www.godaddy.com、www.publicdomainregistry.com、www.namesilo.com、alibabacloud.com等，且都进行了隐私保护，无法获取到更多信息。而从注册时间来看，这些域名均为近2个月注册，其中最早的域名注册日期为2023年4月15日（www.kehu-active.com）。

2.3 红队还是黑客？

图4 攻击活跃情况时间图

图5 攻击者作息时间分布图（基于北京时间: UTC +8）

通过以上的分析，我们认为这次的攻击活动来自于一个未知的黑客组织，其中涉及的诱饵邮件、攻击手法、后门木马等相关证据均是该组织试图将自身伪装成红队的一类攻击手段。这更应该让我们提高警惕，目前，日益频繁的攻防演练已然被黑客盯上，他们试图伪装成为红队攻击行为，以试图在各种演练活动中浑水摸鱼，窃取企业重要数据资源。

2.4 攻击案例分析

2.4.1 第一阶段模块

图7 检测安全防护软件

图8 下载文件一

图9 下载文件二

2.4.2 第二阶段模块

图11 DLL侧加载攻击利用

图12 medge程序导入表

图13下载第三阶段恶意模块

2.4.3 第三阶段模块

图15 中文信息特征

图16 启动工作线程

图17 流量防火墙检测

图18 收集主机相关信息

图19 杀毒软件进程名比对

图20 构建上线数据包及加密

图21 上线包数据结构内容

图22 启动新恶意线程

图23 网络请求数据包

图24 接受远控指令

图25 执行远控指令

远程执行下载模块

图26 下载执行模块

图27 执行PE文件

安装和驻留

（1）如果参数为0，则将父进程EXE文件添加到开机启动文件夹

图28 添加至开机启动文件夹

图29 添加至注册表自启动项

原文始发于微信公众号（ADLab）：伪装成红队以中国企业财务部门为目标的攻击活动分析