EvilNotion深度分析-剑指境内红队的强对抗定向攻击

此次攻击事件从2024年9月开始筹备，持续至2025年1月结束，涉及两个攻击账号（0xjiefeng和yangke1994）及三个带毒项目（CVE-2024-35250-BOF、BOF-BypassUAC、TakaShellcodeLoader）。攻击者通过在GitHub上创建伪造账号并利用AI生成的虚假个人介绍伪装为红队成员，同时通过关注和 fork 网络安全相关大V账号进行“养号”，提升其可信度。

在2024年10月，攻击者利用伪造账号发布带毒项目，这些项目因被境内网络安全圈自媒体广泛转发而迅速传播，成功吸引了红队成员的关注。至2025年1月，攻击活动暴露攻击者开始收尾行动，删除了三个恶意项目的仓库，逐步清除创建者账户，并销毁用于操控的C2基础设施（如Notion页面）。

此次攻击链利用 GitHub 平台作为初始传播媒介，攻击者上传包含漏洞 POC 的 Visual Studio 项目，同时在项目中植入恶意的 .suo 文件。当受害者使用 Visual Studio 打开项目的 .sln 文件时，.NET 释放器被自动加载并执行。

释放器的主要功能包括两个部分：第一，投递“白加黑”恶意样本（TraceIndexer.exe 和 TTDReplay.dll）至硬编码目录；第二，通过修改注册表添加启动项，实现持久化控制。整个过程利用开发者对 Visual Studio 项目和 GitHub 可信度的假设，完成了从初始感染到持久化的完整攻击链。

利用合法软件平台或云服务进行 C2 通信，是一种典型的攻击蔽踪手段。由于这些平台的信誉较高，恶意流量常常能混杂在正常流量中，通过安全设备的审查，难以被识别与拦截。这使得防守人员在应对时无法简单通过封锁 IP 或域名来防范，攻击变得更加难以防御。

在此次事件中，攻击者对开源项目 OffensiveNotion 进行了大规模的修改与定制，我们将其命名为EvilNotion。OffensiveNotion 是一个基于 Notion 笔记应用构建的轻量级 C2 平台，利用 Notion 的 API，将 C2 通信嵌入到正常的笔记应用流量中，从而提升了隐蔽性。作为渗透测试和红队操作的工具，OffensiveNotion 提供了多种后渗透攻击功能，包括端口扫描、权限提升、异步命令执行、文件下载等，所有操作均通过 Notion API 控制。

为了进一步增强其隐蔽性，并保护攻击者的基础设施，EvilNotion 对原始的 OffensiveNotion 进行了以下修改：

Notion API提供了精细化的权限控制

本次攻击中，EvilNotion通过深度武器化Notion API构建新型C2架构，暴露出高级威胁对抗的三重特性：隐蔽性（HTTPS合法流量混淆指令）、弹性（动态页面编辑实现"无服务器"C2）与抗溯源能力（双API密钥隔离权限）。攻击者将红队开发流程中的信任锚点（GitHub仓库、VS工程文件）转化为攻击入口，利用安全从业者对工具生态的依赖实施"反杀"，其战术已超越传统供应链攻击范畴，形成针对防御体系的穿透性打击。

事件折射出双重安全困局：一方面，境外SaaS平台正成为APT攻击的"隐身斗篷"，防守方需构建云服务API行为基线分析能力；另一方面，红队工具链的开放性与其安全性的根本矛盾亟待解决。推动国产自研C2框架建设、建立武器库可信分发机制，或将成为破局关键。

https://github.com/0xjiefeng/BOF-BypassUAC
https://github.com/0xjiefeng/CVE-2024-35250-BOF
https://github.com/yangke1994/TakaShellcodeLoader

部分fork项目：

https://controlc.com.au/post/evilsln/

https://github.com/mttaggart/OffensiveNotion