中国と連携する高度持続的脅威(APT)アクターは、2023年以降、JScriptベースのC&Cフレームワーク「PeckBirdy」を展開し、ギャンブルサイトやアジア各国政府を標的にしている。
この汎用性の高いツールは、盗難証明書の悪用を伴うCobalt Strikeペイロードを含め、複数環境にまたがる攻撃を可能にする。
Trend Microの研究者は2023年、メインローダーを取得する注入スクリプトを介して中国のギャンブルサイトを標的とするPeckBirdyを初めて確認した。
被害者には偽のChrome更新ページが表示され、悪意あるダウンロードを促される。これはSHADOW-VOID-044として追跡されている。
第2の活動であるSHADOW-EARTH-045(2024年7月〜)は、認証情報の窃取、またはMSHTAによるラテラルムーブメントを目的としたWebサイトへのインジェクションにより、アジアの政府機関や企業を攻撃した。
PeckBirdyは、初期段階ではウォータリングホールのコントローラーとして、中盤ではリバースシェルとして、後半では完全なC&Cとして機能する。
PeckBirdyは幅広い互換性のために旧式のJScriptを使用し、ブラウザでは「window」、Node.jsでは「process」といった固有オブジェクトを用いて環境を自動判別する。
設定には攻撃ID(32文字のランダム文字列)ごとの情報が埋め込まれ、ホスト、ポート、リトライ、ハートビートなどを規定する。
SHADOW-VOID-044のインフラは、HOLODONUT(.NETのモジュール型バックドア)とMKDOORをホストしていた。HOLODONUTはNEXLOADダウンローダー経由で読み込まれ、AMSI/ETWを回避し、Donutを用いてメモリ上でシェルコードを実行する。
MKDOORのダウンローダーはコアを取得し、Defenderの除外設定を追加し、/en-us/howtotell/default.aspx のようなMicrosoftのURLを模倣する。
コアはC2に /en-us/windows/activate-windows… を使用し、モジュールのインストール/実行をサポートする。
SHADOW-VOID-044はUNC3569(ギャンブルに注力、GRAYRABBITとの重複)およびTheWizard(HOLODONUTのC2再利用)に関連付けられている。
あるCobalt Strikeペイロードは、盗まれた韓国のゲーム関連証明書(サムプリント:bbd2b9b87f968ed88210d4261a1fe30711e8365b)を使用しており、BIOPASS RAT/Earth Luscaの戦術を想起させる。
SHADOW-EARTH-045はEarth Baxia(フィリピンの教育機関を標的、IP 47.238.184.9 の重複)を示唆している。
翻訳元: https://cyberpress.org/china-backed-peckbirdy-cert-theft/