RedBeard黑客组织针对土耳其企业的系列网络攻击

近期，绿盟科技伏影实验室观测到一组针对土耳其企业的网络钓鱼攻击行动，受影响企业包括土耳其工业集团Borusan Holding、通信运营商Turkcell，银行Vakıf Katılım，以及线上彩票服务公司Nesine。攻击者在该组活动中投放了不同类型的钓鱼文档以及新式木马程序，意图窃取目标企业的内部文件数据以及长期控制企业设备。

黑客在恶意代码中自称为TheRedBeard（红胡子），因此本报告中将以RedBeard代称该攻击者。

伏影实验室通过关联分析判断，本次事件中出现的RedBeard攻击者是一个新的黑客组织或个人，攻击目标主要为位于土耳其的各类企业，推测盈利模式为数据窃取与数据出售。

RedBeard的攻击模式简单而有效，在攻击工具与攻击思路的选择上也有一定的创新，偏好利用企业的失陷站点作为跳板发起针对内部的水坑攻击。

RedBeard的已知工具库包括一种用于收集受害者信息的宏文档、CobaltStrike渗透框架、一种stager加载器、以及一种新型木马GoBeard。

目前RedBeard尚未暴露其地理位置相关的信息。

3.1  针对土耳其工业集团Borusan Holding的攻击活动

RedBeard黑客最早可追溯的活动开始于2022年11月，主要目标为名为Borusan Holding的企业。

RedBeard在该活动中的大致攻击流程如下图所示：

图3.1  RedBeard在针对Borusan的活动中使用的攻击流程

该活动中，RedBeard首先入侵并控制了一个属于Borusan Holding的网络设备（对应IP地址为5.252.4.51），并在该设备中部署木马控制端，实现针对该企业内部的钓鱼攻击。

目前尚未确认RedBeard入侵该网络设备的方式。

RedBeard在入侵的网络设备中部署了2.4.41版本的Apache HTTP server，并伪造了如下所示的GoogleDrive下载页面：

图3.2  RedBeard伪造的水坑站点

查看网页源代码可发现，该水坑站点是从土耳其语的对应google drive页面修改生成的。

点击网页中的下载按钮后，将会从https[:]//borusan.drive-myaccount.com/?download=下载名为borusan.xlsm的钓鱼文档。

该钓鱼文档打开后，显示如下所示的内容：

图3.3  RedBeard在针对Borusan的活动中使用的钓鱼文档

钓鱼文档伪造了包含Borusan公司商标的单据类文件并模糊化，再配合土耳其语提示信息欺骗受害者运行文档中的宏代码。

钓鱼文档中的代码运行后，将会收集受害者主机的基本信息以及屏幕截图，发送至被RedBeard控制的5.252.4.51网络设备上。

RedBeard的上述攻击方式符合黑客组织在后渗透阶段常用的资产探测和信息收集逻辑，可以推断该攻击者的直接目标为Borusan公司工作人员，通过工作人员使用的设备进行探测，为后续的恶意行为作准备。

该攻击活动中，比较独特的是RedBeard最终选择了钓鱼文档来实现信息收集操作，这可能是为了绕过防火墙与流量检测设备。

根据上述水坑站点的状态判断，本次攻击活动持续时间超过5个月。 

3.2  针对土耳其通信运营商Turkcell的攻击活动

RedBeard在2023年3月至4月的时间段内，使用类似的手法实施了针对土耳其通信运营商Turkcell的攻击活动。

该活动的攻击流程如下图所示：

图3.4  RedBeard在针对Turkcell的活动中使用的攻击流程

在该活动中，RedBeard投放了如下图所示的钓鱼文档：

图3.5  RedBeard在针对Turkcell的活动中使用的钓鱼文档

该钓鱼文档继承了RedBeard一贯的社工思路，由模糊的单据类图片和土耳其语的欺骗信息构成。分析该模糊图片可发现其中的公司图标与Turkcell图标相同。

该钓鱼文档的实际功能与针对Borusan公司的文档不尽相同。该文档中的恶意宏将下载并解密位于http://167.71.11[.]62/res.txt的一段数据，提取其中的木马程序并运行。

该木马程序是是一种新型Golang后门，RedBeard通过该后门实现对受害者主机的控制，从而执行攻击指令或下载运行其他木马文件。

伏影实验室将该木马程序命名为GoBeard。

3.3  针对银行及互联网公司等目标的鱼叉式钓鱼攻击活动

在2023年2月至4月，RedBeard还使用一种通用的社工诱饵文档，发起了针对多个位于伊斯坦布尔的公司的钓鱼攻击活动。

本轮攻击的诱饵内容如下图所示：

图3.6  RedBeard在针对伊斯坦布尔多个企业的鱼叉式攻击活动中使用的钓鱼文档

该文档伪装成由土耳其国家电子通知系统（UETS）传递的司法部文件，要求企业侧查看其中的内容。

该文档内的表格内容为空，目的为诱骗受害者启用Office的编辑文档功能，从而触发其中的恶意宏代码。

RedBeard使用该模板向多个企业发送了类似钓鱼文档，文档头部的企业名称会根据目标企业进行调整。目前已知的受害企业如下表所示：

表3.1  RedBeard鱼叉式攻击活动中的已知受害企业

由于上述受害企业不存在直接关联，推测RedBeard本轮活动属于非定向的鱼叉式钓鱼攻击活动，目标主要为设立在土耳其伊斯坦布尔的企业或集团。

上述钓鱼文档运行后同样会下载运行GoBeard木马，实现对受害主机的控制。 

4.1  GoBread木马

RedBeard在针对Turkcell的攻击活动以及针对多个伊斯坦布尔企业的鱼叉式钓鱼攻击活动中使用了一种新型木马，伏影实验室根据文件内信息将该木马命名为GoBeard。

GoBeard木马是一款使用Golang编写的恶意程序，作者使用1.20.1版本Golang程序对其进行编译，使用UPX对程序进行加壳。该木马的主要功能为执行指定命令，从url下载文件与注入指定shellcode等。

GoBeard使用TCP协议与CnC通信，同时对通信内容使用Base64编码后进行AES加密，增大了发现其恶意流量被发现的难度。

4.1.1  网络分析

该木马使用TCP协议进行通信：

程序开始后解密字符串得到“TCP”，与硬编码的CnC IP一同传入名为net_Dial的函数，循环直至连接成功：

图4.1  GoBeard与CnC连接

成功连接后使用作者实现的网络函数，等待CnC发送指令：

图4.2  等待CnC指令

该函数先对接收到的数据进行Base64解码，再使用AES解密该数据后解析指令，执行功能：

图4.3  接收函数中对数据的操作

4.1.2  详细分析

4.1.2.1  加密方式

GoBeard木马对关键字符串与API都进行了加密，待使用时进行对其进行解密。

GoBeard对关键字符串和网络通信数据使用了相同的加密方式，使用AES-256-CTR加密后转码为base64编码。

图4.4  GoBeard中的AES加密

该AES加密使用的密钥为42EA995F878C0EC96135EEAAA0CA4CDFEAF3F031F5C0AC917A36582ECC74083D，VI为094A2DB87CA55321D3FBE7B7A8DB7421。

4.1.2.2  执行流程

GoBeard首先解密字符串后对CnC进行连接（如未连接成功则循环进行连接），连接成功后等待接收CnC指令，命令解析后对比功能命令以执行后续功能。如发送木马中没有的指令程序将发送"COMMAND NOT FOUND"到CnC：

图4.5  GoBeard执行流程

4.1.2.3  主要功能

GoBeard主要功能为执行指定命令，注入指定shellcode，从url下载文件等操作。

该木马执行指定命令该木马对关键字符串与API都进行了加密，待使用时进行对其进行解密，增大了识别与分析的难度。

发送数据包证明程序正在目标系统上运行，数据包内容为加密后的字符串"Hello C&C"：

图4.6  发送在线数据包

执行指定命令后，如果成功执行则将执行的命令返送至CnC，失败则发送错误信息：

图4.7  发送指定命令

GoBeard支持的指令详见下表：

表4.1  GoBeard指令功能对照表

GoBeard的shellcode执行能力使其可以加载CobaltStrike stager等主流木马，帮助攻击者执行后渗透阶段的任务。

4.2   stager加载器

RedBeard曾在2022年12月的攻击活动中使用了一种特殊的shellcode加载器，主要用于加载运行CobaltStrike渗透框架生成的stager shellcode载荷。

该加载器程序使用了shellcode常见的动态加载windows api技术，并且使用不同的异或键加密该程序使用的每一个字符串。

图4.8  RedBeard使用的stager加载器中的字符串加密策略

该程序使用注入自身的方式运行其中的stager载荷。已发现样本中携带的stager的CnC为167.71.11.62，与RedBeard针对Turkcell的攻击活动中使用的CnC地址一致。

图4.9 RedBeard使用的stager加载器中携带的stager信息

伏影实验室观测发现，自2022年以来，针对土耳其的钓鱼攻击活动数量呈现上升趋势，本次披露的RedBeard攻击活动就是类似事件的代表。

RedBeard的攻击思路暴力直接，已发生的事件表明，RedBeard依赖的白名单水坑站点策略是其成功实施横向移动的关键。

针对此类攻击思路，如何避免弱点设备被滥用，以及如何防御借助内部设备展开的二次渗透行为，应当成为企业建立防御体系时的关注的重点。

钓鱼文档：

461a297aad0cc43ae86dcb3347615b224778e86fb57ad3eb781cc0a863438326

7fefbddf11970fea1dec8c2618f8c3819544c79309bf595207f6f601d1861ef5

e61ad1ca19a69d4c85b91d8b7b69cf08413fd78fd7df1c878a10a4c5b4497b9e

7986f166a864c4b19bac2ccacdd91cecf46b95f073ecc78ed521e8b4fa307053

e4aa4ba8503fac18dcbed4285d3186d5b4fc80f5584b5eacde2bf3026f068f49

stager加载器木马：

1f7c495e77ffcc0b160ff675bc9b8c774fe3fbc2acb416ecae60dcae2fcb7ca3

GoBeard木马：

063edf9cb113941eb73b3db4a34ac0c9f82a756ded9b0dc974dc9a85b466c169

1e27243ac8e2edff7d5be32a012530add1bae71ad5452064dfcd35e69d95f313

GoBeard CnC：

146.190.207.64:8080

167.71.11.62:8080

水坑站点：

5.252.4.51