Investigadores de ciberseguridad han descubierto un jscript-Marco de comando y control basado en (C2) llamado PeckBirdy que ha sido utilizado por actores de la APT alineados con China desde 2023 para apuntar a múltiples entornos.
Según Trend Micro, el marco flexible se ha utilizado contra las industrias del juego chinas y actividades maliciosas dirigidas a entidades gubernamentales y organizaciones privadas asiáticas.
«PeckBirdy es un marco basado en scripts que, aunque posee capacidades avanzadas, se implementa utilizando JScript, un antiguo lenguaje de scripts», afirman los investigadores Ted Lee y Joseph C Chen. dicho. «Esto es para garantizar que el marco pueda lanzarse en diferentes entornos de ejecución a través de LOLBins (binarios que viven fuera de la tierra)».
La compañía de ciberseguridad dijo que identificó el marco de script PeckBirdy en 2023 después de observar que a varios sitios web de juegos de azar chinos se les inyectaban scripts maliciosos, que están diseñados para descargar y ejecutar la carga útil principal para facilitar la entrega y ejecución remota de JavaScript.
El objetivo final de esta rutina es publicar páginas web falsas de actualización de software para Google Chrome con el fin de engañar a los usuarios para que descarguen y ejecuten archivos de actualización falsos, infectando así las máquinas con malware en el proceso. Este grupo de actividad está siendo rastreado como SHADOW-VOID-044.
SHADOW-VOID-044 es uno de los dos conjuntos de intrusión temporales detectados mediante PeckBirdy. La segunda campaña, observada por primera vez en julio de 2024 y denominada SHADOW-EARTH-045, implica apuntar a entidades gubernamentales asiáticas y organizaciones privadas, incluida una institución educativa filipina, inyectando enlaces de PeckBirdy en sitios web gubernamentales para probablemente servir scripts para la recolección de credenciales en el sitio web.
«En un caso, la inyección se produjo en una página de inicio de sesión de un sistema gubernamental, mientras que en otro incidente, notamos que el atacante usó MSHTA para ejecutar PeckBirdy como un canal de acceso remoto para el movimiento lateral en una organización privada», dijo Trend Micro. «El actor de amenazas detrás de los ataques también desarrolló un ejecutable .NET para lanzar PeckBirdy con ScriptControl. Estos hallazgos demuestran la versatilidad del diseño de PeckBirdy, que le permite cumplir múltiples propósitos».
Lo que hace que PeckBirdy sea notable es su flexibilidad, lo que le permite ejecutarse con distintas capacidades en todos los navegadores web, MSHTA, WScript, Classic ASP, Node JS y .NET (ScriptControl). El servidor del marco está configurado para admitir múltiples API que permiten a los clientes obtener scripts de aterrizaje para diferentes entornos a través de una consulta HTTP(S).
Las rutas API incluyen un valor «ATTACK ID», una cadena aleatoria pero predefinida con 32 caracteres (por ejemplo, o246jgpi6k2wjke000aaimwбe7571uh7), que determina el script PeckBirdy que se recuperará del dominio. Una vez iniciado, PeckBirdy determina el contexto de ejecución actual y luego procede a generar una ID de víctima única y la conserva para ejecuciones posteriores.
Al paso de inicialización le sigue el marco que intenta descubrir qué métodos de comunicación son compatibles con el entorno. PeckBirdy utiliza el protocolo WebSocket para comunicarse con el servidor de forma predeterminada. Sin embargo, también puede emplear objetos Adobe Flash ActiveX o Comet como mecanismo alternativo.
Después de que se ha iniciado una conexión con el servidor remoto, pasando los valores de ATTACK ID y de víctima, el servidor responde con un script de segunda etapa, uno de los cuales es capaz de robar cookies de sitios web. Se ha descubierto que uno de los servidores de PeckBirdy asociado con la campaña SHADOW-VOID-044 alberga scripts adicionales:
- Un script de explotación para una falla de Google Chrome en el motor V8 (CVE-2020-16040puntuación CVSS: 6,5) que se parcheó en diciembre de 2020
- Scripts para ventanas emergentes de ingeniería social diseñadas para engañar a las víctimas para que descarguen y ejecuten archivos maliciosos.
- Scripts para entregar puertas traseras que se ejecutan a través de Electron JS
- Scripts para establecer shells inversos a través de sockets TCP
Un análisis más profundo de la infraestructura ha llevado a la identificación de dos puertas traseras denominadas HOLODONUT y MKDOOR:
- HOLODONUT, un backdoor modular basado en .NET que se lanza mediante un sencillo descargador llamado NEXLOAD y es capaz de cargar, ejecutar o eliminar diferentes complementos recibidos del servidor.
- MKDOOR, un backdoor modular capaz de cargar, ejecutar o desinstalar diferentes módulos recibidos del servidor
Se sospecha que SHADOW-VOID-044 y SHADOW-EARTH-045 podrían estar vinculados a diferentes actores-estado-nación alineados con China. Esta evaluacion se basa en las siguientes pistas:
- la presencia de CONEJO GRISuna puerta trasera previamente implementada por UNC3569 junto con DRAFTGRAPH y Paso de peatones tras la explotación de fallos de seguridad de N-day, en un servidor operado por SHADOW-VOID-044
- Se dice que HOLODONUT comparte enlaces a otra puerta trasera, WizardNetque se atribuye a TheWizards
- Un artefacto Cobalt Strike alojado en el servidor SHADOW-VOID-044 que está firmado usando un certificado que también se usó en un Campaña BIOPASS RATA 2021 dirigido a empresas de juegos de azar en línea en China a través de un ataque de abrevadero
- Similitudes entre BIOPASS RAT y MKDOOR, los cuales abren un servidor HTTP en un puerto con un número alto en el host local para escuchar (BIOPASS RAT se atribuye a un actor de amenazas conocido como Earth Lusca, también conocido como Aquatic Panda o RedHotel)
- Uso de SHADOW-EARTH-045 de 47.238.184[.]9 – una dirección IP previamente vinculada a tierra baxia y APT41 – a archivos descargados
«Estas campañas utilizan un marco de JavaScript dinámico, PickBirdy, para abusar de los binarios que viven de la tierra y ofrecer puertas traseras modulares como MKDOOR y HOLODONUT», concluyó Trend Micro. «La detección de marcos de JavaScript maliciosos sigue siendo un desafío importante debido a su uso de código inyectado en tiempo de ejecución generado dinámicamente y la ausencia de artefactos de archivos persistentes, lo que les permite evadir los controles de seguridad tradicionales de los terminales».
Fuente