高度なJScriptベースのコマンド&コントロール(C&C)フレームワーク「PeckBirdy」は、2023年以降、リビング・オフ・ザ・ランド・バイナリ(LOLBins)を悪用して、多様な実行環境にわたりモジュール式バックドアを配布している。
このフレームワークは、SHADOW-VOID-044およびSHADOW-EARTH-045という2つの連携キャンペーンで確認されており、中国のギャンブル業界、アジアの政府機関、民間組織を標的に、HOLODONUTやMKDOORのバックドアを含む高度なマルウェアを用いて攻撃している。
PeckBirdyは、ブラウザ、MSHTA、WScript、Classic ASP、Node.js、.NET ScriptControlなど、複数の環境で実行できる能力によって際立っている。
このクロスプラットフォーム機能により、脅威アクターは、ウォータリングホールサーバーを介した初期侵害から、ラテラルムーブメント、永続的なバックドア運用に至るまで、攻撃チェーンのさまざまな段階で本フレームワークを展開できる。
このフレームワークは、レガシーシステムとの互換性を確保しつつ、最新環境もサポートするためにJScript(ECMAScript 3)を実装している。
実行時にPeckBirdyは、ブラウザ環境におけるwindowオブジェクトや、Node.js環境におけるprocessオブジェクトなどの固有オブジェクトを検出することで、ホスト環境を識別する。
この環境認識により、フレームワークは通信プロトコルと機能を動的に適応させることができる。
PeckBirdyは複数の通信方式をサポートし、最新環境ではWebSocketを優先する一方、より広い互換性のために、Flash ActiveXのTCPソケット、またはHTTPとAJAXに基づくComet/LocalCometプロトコルへフォールバックする。
すべての通信はBase64エンコードを伴うAESで暗号化され、暗号鍵は設定に埋め込まれた事前定義の32文字のATTACK_ID値に対応する。
連携キャンペーンの活動
SHADOW-VOID-044は、2023年に初めて特定され、中国のギャンブル関連ウェブサイトをスクリプト注入によって侵害し、被害者を偽のGoogle Chrome更新ページへリダイレクトして悪意あるバックドアを配布した。
インフラ分析により、ギャンブル分野を標的とする既知の脅威グループUNC3569との関連が明らかになり、中〜高の確度で帰属が示された。
2024年7月に観測されたSHADOW-EARTH-045は、認証情報の窃取を目的として注入されたログインページを通じ、アジアの政府機関および民間組織を標的にした。
このキャンペーンは、CVE-2020-16040というChromeの脆弱性を、ソーシャルエンジニアリング手法と併用して、ユーザーを欺きマルウェアを実行させた。
フィリピンの教育機関に影響したある事案では、攻撃者が侵害されたGitHubドメインに接続するMSHTAコマンドを実行し、Internet Information Servicesサーバー上でPeckBirdyを起動した。
このキャンペーンはEarth Baxiaとの潜在的な関連を示すが、帰属の確度は低いままである。
HOLODONUTは、NEXLOADとして追跡されているカスタムダウンローダーを介して展開される、.NETベースのモジュール式バックドアである。
このバックドアは、AMSIおよびETWイベントの無効化を含む防御回避手法に加え、プロセスメモリ内で.NETアセンブリをステルス実行するためのオープンソースツールDonutを使用する。
HOLODONUTは、運用要件に応じて脅威アクターが.NETアセンブリを動的にロード、実行、アンロードできるプラグインハンドラーをサポートする。
MKDOORは、ダウンローダーとバックドアコンポーネントからなる2モジュールのバックドアシステムとして動作する。
ダウンローダーは、除外ルールを追加することでMicrosoft Defender を回避し、ネットワーク通信を正規のMicrosoftサポートトラフィックに偽装する。
C&CのURLは検知回避のためWindowsのアクティベーションページを模倣する。バックドアモジュールは、C&Cインフラから受信した追加モジュールのインストール、アンインストール、実行、管理のためのコマンドをサポートする。
SHADOW-VOID-044のインフラ調査により、UNC3569と以前関連付けられていたサーバー47.238.219.111上でGRAYRABBITバックドアが発見された。
このキャンペーンでは、韓国のゲーム企業から盗まれたコード署名証明書も使用され、Cobalt Strikeのペイロードに署名していた。これらの証明書は、Earth Luscaに関連するBIOPASS RATキャンペーンでも以前観測されている。
HOLODONUTのサンプルは、TheWizard APTグループが使用していた同一のC&Cサーバー(mkdmcdn.com)に接続しており、同グループはEarth Minotaurが開発したDarkNimbusバックドアも展開していた。
| CVE ID | 脆弱性の種類 | 影響を受けるソフトウェア | CVSSスコア | 悪用状況 |
|---|---|---|---|---|
| CVE-2020-16040 | データ検証の不備 | Google Chrome | 8.8(高) | 積極的に悪用 |
緩和策
Trend Micro Vision Oneは、PeckBirdyキャンペーンに関連する侵害指標(IoC)を検知・ブロックし、脅威ハンティング用クエリとインテリジェンスレポートを提供する。
組織は、LOLBinsを介した不審なJScript実行を監視し、アプリケーションの許可リスト(allowlisting)を実装し、未署名または不審に署名された実行ファイルを精査し、異常なドメインへの暗号化通信に対するネットワーク監視を展開すべきである。
動的に生成されるJavaScriptフレームワークの検知は、実行時コード注入と最小限のファイル痕跡により依然として困難であり、行動分析とメモリベースの検知能力が求められる。
PeckBirdyの高度さは、APTアクターがクロスプラットフォームのフレームワークとLOLBinsを活用して従来のセキュリティ制御を回避しつつ、多様な標的環境にわたって運用上の柔軟性を維持するという、進化する脅威情勢を示している。
翻訳元: https://gbhackers.com/peckbirdy-hackers/
