Các nhà nghiên cứu an ninh mạng đã phát hiện một framework command-and-control (C2) dựa trên JScript có tên PeckBirdy được các tác nhân APT liên kết với Trung Quốc sử dụng từ năm 2023 để nhắm mục tiêu vào nhiều môi trường.
Theo Trend Micro, framework linh hoạt này đã được sử dụng để chống lại các ngành công nghiệp cờ bạc Trung Quốc và các hoạt động độc hại nhắm vào các tổ chức chính phủ và tư nhân ở châu Á.
"PeckBirdy là một framework dựa trên script, mặc dù sở hữu các khả năng tiên tiến, nhưng lại được triển khai bằng JScript, một ngôn ngữ script cũ," các nhà nghiên cứu Ted Lee và Joseph C Chen cho biết. "Điều này nhằm đảm bảo rằng framework có thể được khởi chạy trên các môi trường thực thi khác nhau thông qua LOLBins (living-off-the-land binaries)."
Công ty an ninh mạng cho biết họ đã xác định framework script PeckBirdy vào năm 2023 sau khi quan sát thấy nhiều trang web cờ bạc Trung Quốc bị tiêm các script độc hại, được thiết kế để tải xuống và thực thi payload chính nhằm tạo điều kiện cho việc phân phối và thực thi JavaScript từ xa.
Mục tiêu cuối cùng của quy trình này là hiển thị các trang web cập nhật phần mềm giả mạo cho Google Chrome để lừa người dùng tải xuống và chạy các tệp cập nhật giả mạo, từ đó lây nhiễm malware vào máy. Cụm hoạt động này đang được theo dõi dưới tên SHADOW-VOID-044.
SHADOW-VOID-044 là một trong hai nhóm tấn công tạm thời được phát hiện sử dụng PeckBirdy. Chiến dịch thứ hai, được quan sát lần đầu tiên vào tháng 7 năm 2024 và được gọi là SHADOW-EARTH-045, liên quan đến việc nhắm mục tiêu vào các tổ chức chính phủ và tư nhân ở châu Á – bao gồm một tổ chức giáo dục Philippines – bằng cách tiêm các liên kết PeckBirdy vào các trang web chính phủ để có thể phục vụ các script thu thập thông tin đăng nhập trên trang web.
"Trong một trường hợp, việc tiêm mã xảy ra trên một trang đăng nhập của hệ thống chính phủ, trong khi trong một sự cố khác, chúng tôi nhận thấy kẻ tấn công sử dụng MSHTA để thực thi PeckBirdy như một kênh truy cập từ xa để di chuyển ngang trong một tổ chức tư nhân," Trend Micro cho biết. "Tác nhân đe dọa đằng sau các cuộc tấn công cũng đã phát triển một tệp thực thi .NET để khởi chạy PeckBirdy bằng ScriptControl. Những phát hiện này chứng minh tính linh hoạt trong thiết kế của PeckBirdy, cho phép nó phục vụ nhiều mục đích."
Chi tiết về Framework PeckBirdy
Điều khiến PeckBirdy trở nên đáng chú ý là tính linh hoạt của nó, cho phép nó chạy với các khả năng khác nhau trên các trình duyệt web, MSHTA, WScript, Classic ASP, Node JS và .NET (ScriptControl). Máy chủ của framework được cấu hình để hỗ trợ nhiều API giúp client có thể lấy các script đích cho các môi trường khác nhau thông qua một truy vấn HTTP(S).
Các đường dẫn API bao gồm một giá trị "ATTACK ID" – một chuỗi ngẫu nhiên nhưng được xác định trước với 32 ký tự (ví dụ: o246jgpi6k2wjke000aaimwбe7571uh7) – để xác định script PeckBirdy sẽ được truy xuất từ miền. Sau khi khởi chạy, PeckBirdy xác định ngữ cảnh thực thi hiện tại và sau đó tiến hành tạo một ID nạn nhân duy nhất và duy trì nó cho các lần thực thi tiếp theo.
Bước khởi tạo được tiếp nối bằng việc framework cố gắng tìm ra các phương thức giao tiếp được hỗ trợ trong môi trường. PeckBirdy sử dụng giao thức WebSocket để giao tiếp với máy chủ theo mặc định. Tuy nhiên, nó cũng có thể sử dụng các đối tượng Adobe Flash ActiveX hoặc Comet như một cơ chế dự phòng.
Sau khi kết nối được khởi tạo với máy chủ từ xa, truyền các giá trị ATTACK ID và ID nạn nhân, máy chủ phản hồi bằng một script giai đoạn hai, một trong số đó có khả năng đánh cắp cookie của trang web. Một trong các máy chủ của PeckBirdy liên quan đến chiến dịch SHADOW-VOID-044 đã được tìm thấy để lưu trữ các script bổ sung -
- Một script khai thác lỗ hổng Google Chrome trong engine V8 (CVE-2020-16040, CVSS score: 6.5) đã được vá vào tháng 12 năm 2020
- Các script cho các cửa sổ pop-up social engineering được thiết kế để lừa nạn nhân tải xuống và thực thi các tệp độc hại
- Các script để phân phối backdoors được thực thi qua Electron JS
- Các script để thiết lập reverse shells qua TCP sockets
Các Backdoor HOLODONUT và MKDOOR
Phân tích cơ sở hạ tầng sâu hơn đã dẫn đến việc xác định hai backdoors có tên HOLODONUT và MKDOOR -
- HOLODONUT, một backdoor mô-đun dựa trên .NET được khởi chạy bằng một downloader đơn giản có tên NEXLOAD và có khả năng tải, chạy hoặc gỡ bỏ các plugins khác nhau nhận được từ máy chủ
- MKDOOR, một backdoor mô-đun có khả năng tải, chạy hoặc gỡ cài đặt các modules khác nhau nhận được từ máy chủ
Liên kết với các nhóm APT Trung Quốc
Có nghi ngờ rằng SHADOW-VOID-044 và SHADOW-EARTH-045 có thể liên quan đến các tác nhân nhà nước khác nhau liên kết với Trung Quốc. Đánh giá này dựa trên các manh mối sau -
- Sự hiện diện của GRAYRABBIT, một backdoor trước đây được triển khai bởi UNC3569 cùng với DRAFTGRAPH và Crosswalk sau khi khai thác các lỗ hổng bảo mật N-day, trên một máy chủ do SHADOW-VOID-044 vận hành
- HOLODONUT được cho là có liên kết với một backdoor khác, WizardNet, được gán cho TheWizards
- Một Cobalt Strike artifact được lưu trữ trên máy chủ SHADOW-VOID-044 được ký bằng một chứng chỉ cũng được sử dụng trong một chiến dịch BIOPASS RAT năm 2021 nhằm vào các công ty cờ bạc trực tuyến ở Trung Quốc thông qua một cuộc tấn công watering hole
- Sự tương đồng giữa BIOPASS RAT và MKDOOR, cả hai đều mở một máy chủ HTTP trên một cổng có số hiệu cao trên local host để lắng nghe (BIOPASS RAT được gán cho một tác nhân đe dọa được biết đến là Earth Lusca, hay còn gọi là Aquatic Panda hoặc RedHotel)
- Việc SHADOW-EARTH-045 sử dụng 47.238.184[.]9 – một địa chỉ IP trước đây liên kết với Earth Baxia và APT41 – để tải xuống các tệp
“Các chiến dịch này sử dụng một framework JavaScript động, PickBirdy, để lạm dụng living-off-the-land binaries và phân phối các backdoors mô-đun như MKDOOR và HOLODONUT,” Trend Micro kết luận. “Việc phát hiện các framework JavaScript độc hại vẫn là một thách thức đáng kể do chúng sử dụng mã được tạo động, được tiêm vào thời gian chạy và không có các tạo phẩm tệp tồn tại vĩnh viễn, cho phép chúng trốn tránh các kiểm soát bảo mật endpoint truyền thống.”
