これまで文書化されていなかったスクリプトベースのコマンド&コントロール(C2)フレームワークが、アジア全域でギャンブル企業、政府機関、民間組織を標的とする複数のサイバーキャンペーンに関連付けられた。
PeckBirdyと名付けられたこのフレームワークは2023年から活動しており、観測されたインフラと戦術に基づき、中国と連携する高度持続的脅威(APT)グループによるものとされている。
PeckBirdyはJScriptを用いて構築されている。JScriptは古いスクリプト言語であり、幅広い実行環境で動作できる。
この設計により、攻撃者はLiving-off-the-Landバイナリ(LOLBins)を用いてフレームワークを展開し、攻撃の各段階に合わせて適応させることができる。研究者は、状況に応じてウォータリングホールのコントローラー、リバースシェル、C2サーバーとして機能することを観測した。
2つの別個のキャンペーン
PeckBirdyを使用する2つのキャンペーンがTrend Microによって特定され、SHADOW-VOID-044およびSHADOW-EARTH-045として追跡されている。
1つ目は主に中国のギャンブルサイトに焦点を当て、偽のGoogle Chrome更新プロンプトを配布するために悪意のあるスクリプトが注入された。更新をダウンロードした被害者は、気付かないうちに攻撃者が制御するバックドアをインストールしてしまった。
2つ目のキャンペーンは2024年7月に観測され、アジアの政府機関および民間組織を標的とした。これらのケースでは、PeckBirdyへのリンクが侵害された政府サイトに埋め込まれるか、MSHTA経由で実行され、認証情報の窃取とラテラルムーブメントを可能にした。
悪意のあるJavaScriptフレームワークについて詳しく読む:脅威アクターはJavaScriptベースのフィッシング攻撃へ移行
モジュール型バックドアが機能を拡張
PeckBirdyの中核機能は、少なくとも2つのモジュール型バックドア(HOLODONUTとMKDOOR)によって補強されており、いずれもSHADOW-VOID-044に関連付けられている。これらのツールにより、攻撃者は初期侵害後に機能を拡張できる。
観測された主な機能は次のとおり:
-
モジュール式プラグインによる追加ペイロードの配信
-
フォレンジック上の可視性を低減するためのメモリ内実行
-
アクセス獲得のためのソーシャルエンジニアリングおよびブラウザエクスプロイトの使用
HOLODONUTは.NETベースのバックドアで、AMSIなどのセキュリティ機能を無効化したうえで、ペイロードをメモリ内で実行する。対照的にMKDOORは、ネットワークトラフィックを正規のMicrosoftサポートまたはアクティベーションページに見せかけ、除外設定を変更することでMicrosoft Defenderの回避を試みる。
インフラの重複とツールの共有は、SHADOW-VOID-044がUNC3569と関連していることを示唆している。UNC3569は、以前にGRAYRABBITバックドアとの関連が指摘されている中国と連携するグループである。
一部のサンプルでは、盗まれたコード署名証明書を使用して、悪意のあるCobalt Strikeペイロードを正当なものに見せかけていた。SHADOW-EARTH-045は、以前にEarth Baxiaに帰属された活動との結び付きが弱いながらも注目すべき関連を示した。
「悪意のあるJavaScriptフレームワークの検出は、動的に生成され実行時に注入されるコードの使用と、永続的なファイルアーティファクトが存在しないことにより、従来のエンドポイントセキュリティ制御を回避できるため、依然として大きな課題である」とTrend Microは記した。
「この環境では、防御戦略の適応と継続的な洗練はもはや任意ではなく、ますます敵対的になるデジタル環境において運用の完全性を維持するための根本要件である。」
翻訳元: https://www.infosecurity-magazine.com/news/peckbirdy-framework-tied-china/
