Trend Microの専門家は、中国の国家機関に関連する集団によって運用される悪意あるJavaScriptフレームワーク「PeckBirdy」が広範に展開されていることを特定しました。このツールは少なくとも2023年から稼働しており、中国国内のギャンブル系ポータル、政府機関、そしてアジア全域の民間企業など、多様な標的に対する攻撃で利用されています。
PeckBirdyは、その汎用性と、異なる実行環境をまたいで動作できる適性によって際立っています。これは、レガシーでありながら広く普及しているスクリプト言語であるJScriptの利用によって得られた利点です。この実装により、ネイティブのWindowsユーティリティを介してフレームワークを実行でき、従来のセキュリティ機構を回避できます。PeckBirdyに対する初期の精査は、中国のギャンブルサイト上で有害なスクリプトが発見されたことを契機に行われました。これらのスクリプトは先兵として機能し、後続のJavaScriptコンポーネントをリモート配布するために設計された主要な悪性ペイロードを配信していました。
これらの侵入の主要な目的の一つは、偽のGoogle Chrome更新通知を拡散することです。被害者は偽の更新ファイルをダウンロードするよう誘導され、その結果マルウェアがインストールされます。このキャンペーンはコードネームSHADOW-VOID-044として追跡されています。この作戦の中で、ブラウザの脆弱性を悪用し、リバースTCP接続を確立し、ソーシャルエンジニアリング用のオーバーレイを展開し、Electron JS経由でバックドアを配信するよう設計された追加スクリプトも発見されました。
PeckBirdyを利用する第二の攻撃(SHADOW-EARTH-045と命名)は、2024年夏に開始されました。このキャンペーンでは、攻撃者がアジアの政府系Webポータルのページ構造に、悪意あるスクリプトへのリンクを直接埋め込みました。ある事例では政府の認可ページが侵害され、別の事例では民間企業内でリモートアクセスの導管としてフレームワークを呼び出すためにMSHTAが悪用されました。さらに、実行犯は.NET実行ファイルを用い、ScriptControlを介してスクリプト実行をオーケストレーションしていました。
PeckBirdyの特徴は、WebブラウザやMSHTAからNode.js、レガシーなASP環境に至るまで、多数の実行形態をサポートしている点です。攻撃者のコマンド&コントロール serverは、一意の攻撃識別子と被害者IDを用いて、被害者の特定の環境に合わせた適切なスクリプトを配信します。いったん接続が確立されると、このフレームワークは、ブラウザCookieの流出(窃取)に特化したコンポーネントなど、第二段階のモジュールを展開できます。
関連インフラのフォレンジック分析により、HOLODONUTとMKDOORという2つの高度なモジュールが明らかになりました。前者はプラグインモジュールを管理できる.NETバックドアで、後者は同様の管理タスクに用いられる多用途ツールとして機能します。調査では、これらの攻撃と他の悪名高い主体との関連も確認されました。SHADOW-VOID-044に関連するサーバーからは、以前UNC3569集団に関連付けられていたGRAYRABBITマルウェアが見つかりました。さらに痕跡を追うと、TheWizardsおよびEarth Lusca(Aquatic Pandaとしても知られる)組織へとつながります。
PeckBirdyのコンポーネントは非常に適応性が高く、動的に生成されるコードへの依存と、永続的なファイル痕跡が存在しないことから、ほとんどの防御ソリューションをすり抜けて捕捉されにくい状態にあります。このような一過性のアーキテクチャにより、これらのJavaScriptフレームワークの検知は極めて困難になります。
