0背 景

近期,启明星辰ADLab追踪到多起针对我国企业财务部门的定向攻击活动,攻击活动从多方面高度伪装成攻防演练红队(攻击方)的攻击,其采用定制化的未知木马对相关目标企业发起了近两个月的持续性攻击,直到2023年6月8日我们依然能够观察到新生成的木马出现。目前所能观察到的最准确的攻击证据依然是邮件攻击以及大量恶意载荷,其中木马回连的IP大量位于美国、中国大陆及中国香港,从木马被下载的次数来看,黑客可能已经通过多种攻击手段入侵了一些企业。邮件攻击及恶意载荷大部分伪装成财务部门日常工作内容如:“企业税收优惠政策三步走”、“税务自查系统”、“合力电票云”、“票易通-单据”、“2023年6月份开始国务院税务总局最新政策计划”等,已发现的攻击目标主要涉及我国某合资车企、某合资车企旗下金融公司、某国际会计师事务所等企业的财务部门。这批攻击活动可以追溯到2023年4月中旬,期间使用相当数量的控制命令服务器。此外我们还发现攻击背后的恶意文件托管服务器中存在大量的恶意Payload,有的恶意组件甚至被下载了数万次,有可能存在大量的受害主机。

持续而频繁的攻击、长时间活跃而未被处置的服务器、定制化的未知木马以及数万次的恶意组件的下载量,使得我们提高了警惕度。为了掌握该威胁的动向,我们决定对此类威胁展开深入分析和追踪,以帮助大家定位和识别此类攻击。这批攻击活动极力地将自身伪装成为护网相关攻击方,起初我们收集的证据也误将这批攻击活动归为国内某红队攻方,比如喜欢使用白加黑免杀、压缩打包诱饵文件、位于中国大陆和中国香港的C2、针对性的国内杀软免杀、木马中大量的中文提示信息等等。但在收集并分析了大量黑客活动数据后才发现,这起攻击活动更大可能是一个未知的黑客组织发起的。该攻击活动最近几天仍旧十分活跃,最新生成的恶意代码时间为2023年6月8日。本文将就目前掌握的数据和信息进行分析,尽可能完整的将此次活动涉及的攻击思路、基础设施、恶意代码技术、对抗手法等披露出来,希望相关企业和用户能够提高警惕性并做好全方位的防护。因该组织善于将自己伪装成为红队攻击方,具有极强的迷惑性,我们将该未知组织命名为“红队伪装者(Redteam Pretender)”。

从此次攻击活动的手法来看,攻击者采用C++自行开发了定制版的加载器及远控木马,攻击代码通过多种手段以期达到免杀效果,其采用的手段包括白加黑、侧加载、安全软件规避、多阶段加载等,目前这批恶意代码对国内主流杀毒软件具备静态免杀的能力。最后阶段的定制版远控木马则具备远程下载执行模块、清除模块、安装和驻留、远程文件操作等模块或功能,其中通过扩展模块可以实现对目标的任意访问。攻击者使用的基础设施分布也较为广泛且数量较多,其中大量的基础设施资产目前仍在活跃且未被Virustotal等主流威胁平台检测报毒。

0攻击活动分析

2.1诱饵文档

我们最初发现的攻击邮件是于2023年5月19日发出的,邮件发件人为企业内部员工,从邮件数据分析发现攻击者可能已经成功获得了该企业部分员工的邮箱登录凭证,并以该公司某员工的名义向攻击目标发起钓鱼邮件攻击,邮件示例如下图所示。

图1 以“企业税收优惠政策三步走”附件为诱饵的钓鱼邮件

这封钓鱼攻击邮件试图通过“企业税收优惠政策三步走”为诱饵附件向同企业员工及合作企业投递恶意代码。目标邮箱如下表所示。

表1 钓鱼邮件攻击目标

邮件收件人

目标公司

***.fssc@extern.***w.com

***_Support@***w.com

***.li@***w.com

***.ta@***w.com

***.au@***w.com

***.mei@***w.com

***.ge@***w.com

***.yang@***w.com

***.hong@***w.com

***.sc@***w.com

某合资车企

***.northeast@***data

.com

疑似某数据中心或数据提供商

***98@***g.com

某国际会计师事务所

***hu@***g.com

某合资车企旗下金融公司

从此封邮件的收件人来看,攻击的核心目标应该是某合资车企,同时还涉及到该车企旗下的金融公司、疑似合作的数据提供商及会计事务所等。此次攻击投递的木马为一款未曾出现过的定制化木马,为了进一步地溯源该木马的来历,我们通过溯源系统关联到了大量的诱饵文件和恶意载荷。不出所料,这批恶意文件目的性极强,它们都以“税务”、“发票”、“单据”等具有指向性的话题命名,其目标都瞄准了财务部门及相关员工。攻击者试图针对性的向各企业的财务部门投递定制化木马以获取财务数据、商业机密等重要资料,也可能将木马长期驻留以期完成内网扩散。本次溯源得到的所有恶意载荷均为该黑客组织定制的未知木马,收集到的部分诱饵文件如下表所示。

表2 攻击者使用的诱饵文件

诱饵文件

Hash

企业税收优惠政策三步走.rar

46C8C717DF54957E5AF8FEF5108B920C

税务稽查系统.zip

422df5eadc551cd9f5b484b6f7e5a3e2

税务自查系统.zip

f9212b542d7e1e14a54beefdf5bf37d8

税务稽查.zip

006078a473b9572024af978d28aa8242

税务稽查上报系统.zip

622768f805048db9c9ecb8eb5865e522

合力电票云.zip

8d91b1a0a370ee8245db9b391a8a3c88

【电-子-发-票】.rar

6721f06ccbd5c75b6032ef65ebda7d7a

江苏圆周电子商务沈阳分_税务自查文件.exe

6103e9e80e45dc945b7fdc255942258b

票易通-单据.exe

b5da88c93909cd064108739b5d2e37d1

税务稽查上报系统.exe

08f5fc0d84d90d8f21960aa7bf815827

税务自查系统.exe

dede82e2ef39b737a950b74e5de0a662

2023年6月份开始国务院税务总局最新政策计划.exe

6059637a8c74d388a1174cc7a7cf7c37

……

2.2 基础设施分析

通过进一步溯源关联,我们发现了攻击者使用的大量基础设施,主要可以分为三类。第一类是攻击者用于投递初始诱饵文件的下载服务器,此阶段可能包括邮件、下载链接等投递方式;第二类是攻击者用于存储后续阶段Payload的恶意文件托管服务器;第三类则是最后阶段木马用于回连的C&C服务器。

攻击者在第一阶段诱饵文件的投递过程中使用了多种不同的网络云资源用于存储恶意文件并隐藏真实的网址,包括阿里云ALB服务、短链接以及其它方式(如跳板机)等,这也表明攻击者对国内互联网的资源运用较为熟悉,以下是部分初始诱饵的下载链接。

表3 部分初始诱饵下载URL

下载URL

说明

https://alb-e1y2ubdm5jkmucwgp3.cn-hangzhou.alb.aliyuncs[.]com/%E7%A8%8E%E5%8A%A1%E7%A8%BD%E6%9F%A5%E4%B8%8A%E6%8A%A5%E7%B3%BB%E7%BB%9F.zip

阿里云服务

https://alb-e1y2ubdm5jkmucwgp3.cn-hangzhou.alb.aliyuncs[.]com/%E7%A8%8E%E5%8A%A1%E8%87%AA%E6%9F%A5%E7%B3%BB%E7%BB%9F.zip

阿里云服务

http://alb-2l8boe2zj1zkdic565.cn-hangzhou.alb.aliyuncs[.]com/%E7%A8%8E%E5%8A%A1%E7%A8%BD%E6%9F%A5%E7%B3%BB%E7%BB%9F.zip

阿里云服务

http://sourl.cn/SvuFiZ

短链接

https://drfs.ctcontents[.]com/file/45326810/861055458/6eadb2/%E5%90%88%E5%8A%9B%E7%94%B5%E7%A5%A8%E4%BA%91.zip

其它

https://locationsla[.]com/%E7%A8%8E%E5%8A%A1%E7%A8%BD%E6%9F%A5.zip

其它

……

在第二阶段攻击中,攻击者自4月中旬至今使用过多个恶意文件托管服务器用于存放后续阶段的Payload,相关恶意文件托管服务器如下所示,其中119.29.235[.]104、159.75.237[.]39和www.kehustudent[.]top目前仍在活跃。

表4 恶意文件托管服务器

恶意文件托管服务器

http://down.kehu-active[.]com:8432

http://www.kehustudent[.]top:8432

http://www.afengiwe[.]xyz

http://www.hetao101[.]info

http://a.jd95[.]xyz

http://b.jd94[.]xyz

http://107.148.10[.]3

http://159.75.237[.]39

http://119.29.235[.]104

……

下图为攻击者基于HFS搭建的恶意文件托管服务器,由图可见相关恶意样本的存储记录和下载数据。截止文章发布当日,涉及的下载次数累计已达数万次,HFS中的文件每下载一次Hits数会同步递增,这表明可能已有大量的受害者中招(其中也会包含沙箱或安全分析人员的请求记录)。从恶意文件托管服务器的运行情况来看,www.kehustudent[.]top的HFS服务已活跃了36天,159.75.237[.]39活跃了22天,119.29.235[.]104则是攻击者最新部署的服务器,目前活跃9天。我们针对服务器内的各类文件进行分析和研判后,发现这些恶意文件与本次捕获诱饵邮件的后续阶段木马(第二、第三阶段)高度相似,主要区别在于文件命名和Payload回连的C&C有所不同。由此可以反推,攻击者生成了大量的诱饵文件用于实施钓鱼攻击,而这些不同的命名则可能是攻击者用于区分不同目标或行动的代号标识。

图2 恶意文件托管服务器的存储记录与数据

在第三阶段攻击中,我们捕获到了攻击者使用的大量Payload样本,这些Payload的主要区别在于回连C&C不同。通过逆向分析能够批量提取到后续阶段木马的回连C&C,部分IOC信息如下表所示。

表5 C&C服务器信息

域名

服务器IP

服务器归属地

www.afengiwe.xyz

206.238.42.185

中国香港

www.afengsdjks.xyz

206.238.42.185

中国香港

www.buihgsvds.xyz

27.124.39.162

新加坡

www.cmakad3t.xyz

202.79.168.210

新加坡

www.dfj325.xyz

107.148.13.214

美国

www.dlzkwa.xyz

58.49.151.44

中国大陆

www.faxkwa.xyz

58.49.150.203

中国大陆

www.fdsxcba.xyz

107.148.15.197

美国

www.fsgsd324.club

107.148.238.161

美国

www.fsgsd324.xyz

43.154.96.70

中国香港

www.godaaddyy.xyz

107.148.236.151

美国

www.jiulaoshiss.xyz

154.91.85.64

塞舌尔

www.kbsiejhgdf.xyz

107.148.9.232

美国

www.kehu-active.com

107.148.10.3

美国

www.kehu-lei.com

107.148.9.232

美国

www.kkkong.xyz

8.218.179.47

中国香港

www.kklleecmcmaa.xyz

143.92.61.157

中国香港

www.shunfeng666.xyz"

154.91.85.112

塞舌尔

www.ituint.com

45.204.71.215

中国香港

www.yiqiaks.xyz

107.148.12.147

美国

121.62.22.104

中国大陆

121.62.22.103

中国大陆

58.49.150.217

中国大陆

8.138.59.149

中国大陆

8.134.186.32

中国大陆

43.159.226.155

中国香港

118.107.47.18

日本

27.124.34.49

新加坡

216.83.57.199

中国香港

216.83.57.246

中国香港

202.95.14.103

新加坡

27.124.2.185

新加坡

143.92.58.156

中国香港

143.92.56.74

中国香港

159.75.237.39

中国大陆

114.132.66.165

中国大陆

43.138.187.120

中国大陆

118.107.46.124

日本

143.92.53.200

中国香港

……

从服务器归属地分布来看,位于中国香港的服务器数量最多,其次是中国大陆、美国、新加坡、日本、塞舌尔。值得注意的是,截止目前大部分C&C服务器在Virustotal上仍未标记报毒。

图3 C&C服务器报毒情况

这批域名通过多种域名服务商注册,包括www.godaddy.com、www.publicdomainregistry.com、www.namesilo.com、alibabacloud.com等,且都进行了隐私保护,无法获取到更多信息。而从注册时间来看,这些域名均为近2个月注册,其中最早的域名注册日期为2023年4月15日(www.kehu-active.com)。

2.3 红队还是黑客?

起初我们做了大量工作来收集该组织相关的活动信息,不得不说,这个组织非常像国内攻防演练的红队。除了在技术和设施的使用习惯上如喜欢使用白加黑免杀、压缩打包诱饵文件、位于中国大陆和中国香港的C2、针对性的国内杀软免杀、木马中大量的中文提示信息等等,甚至黑客组织活跃趋势以及作息时间都倾向于国内攻防演练的红队,而非境外黑客组织。首先,我们为了确定攻击者活动的动向,从收集的恶意载荷入手,提取所有定制化木马的编译时间绘制成如下图。

图4 攻击活跃情况时间图

可以看出,攻击活动随着护网的临近也越来越频繁,像极某些红队的习性。当然我们也不难看出,从C2域名注册的4月15日开始的一个月时间,活动处于间断性的,从5月中下旬开始最为活跃并且持续高频繁的活跃至今,最新的攻击样本生成时间则为2023年6月8日。该组织在近2个月的时间内持续不断的在开展攻击活动,有愈演愈烈之势,也提醒相关企业和用户能够提高警惕性并做好全方位的防护。

从作息时间上来看,该攻击活动符合中国区域的作息时间,当然也符合位于俄罗斯和东南亚地区的作息时间,似乎证据也更偏向于攻防演练的红队而非境外黑客。我们收集了木马编译时间、基础设施构建时间以及设施上的HFS的文件夹创建时间等上百份有效时间戳做时区分析,结果如图(基于北京时间: UTC +8)。

图5 攻击者作息时间分布图(基于北京时间: UTC +8)

可见,攻击者的休息时间主要集中在1:00至8:00,假定以北京时间0:00至8:00作为正常休息时间,攻击者所处的时区位于东七和东八时区的概率较大,该时区人口密集度最高的区域正好位于东南亚或国内。

此前,我们一度也认为该次攻击活动为国内某红队,但是这其中又存在诸多疑点:

(1)该攻击活动的投递目标中包含某国际会计师事务所,攻防演练通常需要在授权的范围内开展测试,而该类型企业理应不属于合法的授权目标。

(2)恶意文件托管服务器使用HFS服务,红队一般会采用更隐蔽的服务程序,此方式在黑产圈更为常见。

(3)攻击者持有大量的域名及服务器资产(超60余个),这些基础设置同时不间断的活跃,而红队一般需要精细化的服务器管理,不会同时用于木马回连和存储,也为防止服务器被一锅端;更何况该组织有近半数的服务器资产位于境外,这与红队常规的资产配置情况差异较大,而攻防演练所涉及的资产一般需要位于国内,防止木马回传敏感数据出境。

(4)从前面基础设施分析中,我们发现攻击组织服务器上存储的多个恶意程序的下载次数达到了上万次之多,部分达到4万多次,其他别的服务上也有恶意组件下载次数达到数千次和大几百次不等,这些证据更符合黑客行为,黑客组织大面积投递木马后由Loader下载了这些恶意程序,从而产生大量下载次数统计。而红队的攻击范围不可能这么广泛,从这点上,我们可以确定该攻击活动为黑客所实施。

通过以上的分析,我们认为这次的攻击活动来自于一个未知的黑客组织,其中涉及的诱饵邮件、攻击手法、后门木马等相关证据均是该组织试图将自身伪装成红队的一类攻击手段。这更应该让我们提高警惕,目前,日益频繁的攻防演练已然被黑客盯上,他们试图伪装成为红队攻击行为,以试图在各种演练活动中浑水摸鱼,窃取企业重要数据资源。

2.4 攻击案例分析

启明星辰ADLab捕获到数个以“企业税收优惠政策三步走”、“税务自查系统”、“合力电票云“等为诱饵攻击我国企业财务部门的邮件或诱饵文件。在对邮件和样本进行深入分析和关联后,我们发现这些活动的攻击手法大致相似。相关恶意代码均由C++编写,整体的攻击流程可以划分为三个阶段,首先攻击者投递初始诱饵文件至目标,受害者解压并执行程序后会下载执行第二阶段的恶意代码,下载的恶意代码包括合法白文件(medge.exe)和恶意DLL(nw_elf.dll),之后通过DLL侧加载技术执行nw_elf.dll模块,再进一步下载执行第三阶段的定制木马DLL。在收集主机相关信息并上报后,最后由攻击者决定是否执行其它扩展模块以实现更多可能的高危攻击(如窃密攻击、横向移动等)。下面将以其中一封典型邮件展开分析,其攻击流程图如下所示。

图6 攻击流程图

2.4.1 第一阶段模块

当用户下载附件并解压后,会得到名为tlp1-1.exe的文件,该文件作为Loader负责下载和加载后续模块。tlp1-1.exe通过C++编写,程序会检测常见的安全防护软件,相关厂商如下图所示。

图7 检测安全防护软件

之后程序会下载后续阶段的恶意代码至C:/Program Files (x86)/Sone目录。其中,文件一的下载路径为C:/Program Files (x86)/Sone/medge.exe,对应服务器文件http://159.75.237.39/file.exe。

图8 下载文件一

文件二的下载路径为C:/Program Files (x86)/Sone/nw_elf.dll,对应服务器文件http://159.75.237.39/h/tlp1.html。

图9 下载文件二

下载完成后,执行medge.exe程序继续开展后续的恶意活动。

图10 执行后续攻击活动

2.4.2 第二阶段模块

下载的两个模块medge.exe和nw_elf.dll利用了DLL侧加载攻击技术(白加黑)。medge.exe为合法白文件,该文件为核桃编程(北京聪明核桃教育科技有限公司)的合法程序(具有有效的数字签名),程序的执行路径如下图所示。

图11 DLL侧加载攻击利用

medge.exe执行时会调用同目录下的DLL模块(nw_elf.dll),攻击者利用此方式劫持DLL并调用自己定制的恶意模块以干扰安全检测。medge程序的导入表如下图所示。

图12 medge程序导入表

medge.exe加载nw_elf.dll模块并调用其导出函数GetInstallDetailsPayload(),之后会创建线程继续下载第三阶段的恶意模块,该模块的下载路径为C:/Users/Public/Documents/1.txt,对应服务器文件http://159.75.237.39/tlp.txt。

图13下载第三阶段恶意模块

攻击者通过调用LoadLibrary和GetProcAddress的方式加载关键函数以对抗分析与检测,之后加载第三阶段恶意模块1.txt并调用其导出函数update(),最后休眠180秒并结束自身线程。

图14加载第三阶段恶意模块

2.4.3 第三阶段模块

根据分析结果我们推测,此次攻击活动中最后阶段的恶意样本属于攻击者自行开发的定制版远控木马。该木马为C++语言编写,主要功能包括远程执行下载模块、安装和驻留、清除指定模块、远程文件操作以及获取进程列表等功能。同时,根据木马在进行防火墙检测、上线包拼接字串、信息记录标记,以及为该主机是否已被入侵做标记等操作时,其所使用的一系列中文或拼音字符串,我们初步猜测,木马开发者很可能具备一定的中文语言基础。

图15 中文信息特征

该木马是采用C++语言编写的DLL文件,总共有两个导出函数,其中主功能函数名为“update”。一旦调用该函数,其则会将C2作为参数并启动恶意线程工作。通过对所有收集到的此阶段木马样本进行分析后,我们发现该函数的具体实现采用了两个不同的版本。旧版本仅使用以硬编码存储在恶意代码中的C&C,而新版本除了保有前期的C&C使用方式以外,还新增了具备可选性的C&C功能。具体代码如下图所示。

图16 启动工作线程

木马最初会通过检测流量防火墙来决定自身是否执行,以防止恶意流量被监测。如果符合检测条件,则进入休眠模式。

图17 流量防火墙检测

接着收集受害者主机信息。其中包括用户名称、主机IP、主机名、操作系统版本号、硬盘内存、cpu、驱动、语言、系统目录、GUID、以及显示器等信息,并将这些信息拼接在一起。

图18 收集主机相关信息

然后,该木马还会将当前运行的进程名与其以硬编码方式保存的杀毒软件进程名列表进行比对,并将命中的杀软名称拼接保存至上线包。具体信息如下图所示。

图19 杀毒软件进程名比对

最后,以当前系统时间作为上线时间进行数据包的构建,上线数据加密则采用的是CRC32算法。相关代码如下图所示。

图20 构建上线数据包及加密

通过分析我们发现,上线包数据的头部会添加“d9725c9cef2a830ea7bac94e9f14391f”字串,该字串可能是攻击者用以作为标识符所使用。发送的数据结构内容二进制代码如下图所示。

图21 上线包数据结构内容

在网络通信方面,木马与控制端服务器的交互采用的是socket(套接字)方式。当成功连接到服务器后,其会启动新恶意线程来进行上线和接收控制指令等操作。

图22 启动新恶意线程

网络请求数据包的内容如下图所示。

图23 网络请求数据包

完成上线请求后,该木马则开始循环等待接收远控指令。

图24 接受远控指令

当远程服务器成功响应数据后,木马会根据服务器返回的内容执行指定操作。通过分析我们发现,该木马除了安装和驻留、清除模块、远程文件操作、获取进程列表等功能(如图25所示)以外,其自身并没有实现其他相关恶意操作。

图25 执行远控指令

远程执行下载模块

由于我们暂未获取到后续扩展模块,且此木马恶意代码中与模块相关的操作参数也均由控制指令的参数所决定,因此我们猜测其具体操作应该是从C&C端后续下载而来的扩展模块来实现。根据对木马中模块启动逻辑的分析,我们初步估计有2种不同的模块执行方式:

(1)指定session执行下载模块,下载的模块文件会写入到磁盘上。可用于Loader的自动升级或扩展模块的下载,实现代码如下图所示。

图26 下载执行模块

(2)内存加载执行,下载的模块文件不落地磁盘。木马直接将下载到内存中的PE格式数据加载执行,例如一些内网感染模块、窃密模块都是以此方式下载执行,用以规避检测。

图27 执行PE文件

安装和驻留

当控制指令为0x09时,该木马会根据指定的控制指令参数数值而采用两种方式进行自启动设置。

(1)如果参数为0,则将父进程EXE文件添加到开机启动文件夹

“C:\\Users\\xxx\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\GFIRestart32.exe”目录下,并将其命名为”GFIRestart32.exe”。

图28 添加至开机启动文件夹

(2)如果参数不为1,则通过操作注册表方式将”GFIRestart32.exe”添加到自启动项中。

图29 添加至注册表自启动项

0总 结

本文披露了近期针对我国企业财务部门的网络钓鱼攻击活动,并对其中涉及使用的基础设施、攻击武器、免杀手段等进行了综合分析和披露。此次攻击最大的特点是通过高度模仿攻防演练的常见攻击方式来伪装自身,尤其在当前各类攻防演练对抗频繁的情况下,这种攻击思路能够很好的混迹其中且极易被忽视。从攻击组织的活跃情况来看,其持有大量恶意域名、托管恶意文件的服务器及C&C服务器,这些资源自4月中旬至今仍在活跃,可能的中招者众多。虽然该攻击极具迷惑性,但是我们依然通过收集各方证据证实该攻击确实为黑客组织所为。我们就一次典型攻击为例对攻击活动中使用恶意代码做了详细的技术分析。在攻防演练日益成为常态的形式下,我们常常容易忽略这类高度伪装成攻防演练下浑水摸鱼的真实攻击行为,相关企业需要引起足够的警惕并做好安全防护。

推动企业数字化转型是当前国内的大风向之一,而财税数字化与每个企业都息息相关。大量企业正在运用数字化技术赋能相关的生产与管理。此次攻击活动也正是利用企业财税数字化转型中可能涉及到的税收优惠政策、稽查系统、财税云平台等热点话题进行针对性的攻击。其实,不论是内部攻防演练亦或是真实的网络攻击,借助行业热点进行针对性网络攻击,这类攻击思路经久不衰且简单高效。许多APT攻击组织也在不断紧跟时事热点,紧密围绕政治、经济等热点领域及事件,瞄准涉及相关时事热点的重点机构或个人发起钓鱼攻击,一些国家级APT攻击的背后也会有专门针对相关领域时事新闻的情报分析,并以此来指导其网络攻击活动。因而企业层面更加需要提高内部员工的安全意识和警惕性,并加强安全体系架构中的各类短板防范。

声明:本文来自ADLab,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。