Los investigadores de ciberseguridad han descubierto un marco de comando y control (C2) basado en JScript llamado PeckBirdy. Este marco ha sido utilizado por actores de la APT alineados con China para apuntar a múltiples entornos desde 2023.
Según Trend Micro, este marco flexible se está utilizando contra actividades maliciosas dirigidas a la industria del juego de China, así como a organizaciones gubernamentales y privadas en Asia.
«PeckBirdy es un marco basado en secuencias de comandos que tiene una funcionalidad avanzada pero se implementa utilizando JScript, un lenguaje de secuencias de comandos más antiguo», dijeron los investigadores Ted Lee y Joseph C Chen. «Esto es para permitir que el marco se lance en diferentes entornos de ejecución a través de LOLBins (binarios que viven fuera de la tierra)».
La empresa de ciberseguridad anunció en 2023 que había identificado el marco de secuencias de comandos PeckBirdy después de observar la inyección de secuencias de comandos maliciosas en varios sitios web de juegos de apuestas chinos. Este script está diseñado para descargar y ejecutar la carga útil principal para facilitar la entrega y ejecución remota de JavaScript.
El objetivo final de esta rutina es proporcionar una página web falsa de actualización del software Google Chrome para engañar a los usuarios para que descarguen y ejecuten un archivo de actualización falso, infectando sus máquinas con malware en el proceso. Este grupo de actividades tiene un seguimiento como SHADOW-VOID-044.
SHADOW-VOID-044 es uno de los dos conjuntos de intrusión transitoria detectados mediante PeckBirdy. Una segunda campaña, observada por primera vez en julio de 2024 y denominada SHADOW-EARTH-045, se dirige a organizaciones gubernamentales y privadas en Asia, incluidas instituciones educativas en Filipinas, insertando enlaces de PeckBirdy en sitios web gubernamentales y potencialmente proporcionando scripts para recopilar credenciales en los sitios web.
«En un caso, la inyección se realizó en una página de inicio de sesión del sistema gubernamental, mientras que en otro incidente, observamos que los atacantes usaban MSHTA para ejecutar PeckBirdy como canal de acceso remoto para el movimiento lateral dentro de organizaciones civiles», dijo Trend Micro. «Los atacantes detrás del ataque también desarrollaron un ejecutable .NET para iniciar PeckBirdy usando ScriptControl. Estos hallazgos demuestran que el diseño de PeckBirdy es versátil, lo que le permite lograr múltiples objetivos».
Lo destacable de PeckBirdy es su flexibilidad, que le permite ejecutar una variedad de funciones en navegadores web, MSHTA, WScript, Classic ASP, Node JS y .NET (ScriptControl). El servidor del marco está configurado para admitir múltiples API que permiten a los clientes recuperar scripts de aterrizaje para diferentes entornos a través de consultas HTTP(S).
La ruta API incluye un valor «ATTACK ID» (una cadena aleatoria pero predefinida de 32 caracteres (por ejemplo, o246jgpi6k2wjke000aaimwбe7571uh7)) que determina qué script de PeckBirdy recuperar del dominio. Cuando se inicia PeckBirdy, identifica el contexto de ejecución actual, genera una ID de víctima única y la conserva para ejecuciones posteriores.
Después del paso de inicialización, el marco intenta descubrir qué métodos de comunicación son compatibles con el entorno. PeckBirdy utiliza el protocolo WebSocket de forma predeterminada para comunicarse con el servidor. Sin embargo, también puede utilizar objetos Adobe Flash ActiveX o Comet como mecanismo alternativo.
Una vez que se inicia la conexión con el servidor remoto y se pasan los valores de ID de ataque y ID de víctima, el servidor responde con un script de segunda etapa. Uno de ellos puede robar cookies de sitios web. SHADOW-VOID-044 Se descubrió que uno de los servidores de PeckBirdy asociado con la campaña albergaba scripts adicionales:
Script de explotación para la falla de Google Chrome en el motor V8 (CVE-2020-16040, puntuación CVSS: 6.5), parcheado en diciembre de 2020 Script emergente de ingeniería social diseñado para engañar a las víctimas para que descarguen y ejecuten un archivo malicioso Script que entrega una puerta trasera ejecutada a través de Electron JS Script que establece un shell inverso a través del socket TCP
Un análisis más detallado de la infraestructura identificó dos puertas traseras llamadas HOLODONUT y MKDOOR.
HOLODONUT: una puerta trasera modular basada en .NET que se inicia mediante un descargador simple llamado NEXLOAD y puede cargar, ejecutar o eliminar diferentes complementos recibidos del servidor. MKDOOR: Un backdoor modular que puede cargar, ejecutar o desinstalar diferentes módulos recibidos del servidor.
Se sospecha que SHADOW-VOID-044 y SHADOW-EARTH-045 están asociados con varios actores-estado-nación afiliados a China. Esta calificación se basa en las siguientes pistas:
Se dice que GRAYRABBIT, una puerta trasera implementada previamente por UNC3569 junto con DRAFTGRAPH y Crosswalk luego de la explotación de fallas de seguridad del día N, reside en servidores operados por SHADOW-VOID-044 HOLODONUT y comparte un enlace a otra puerta trasera, WizardNet. Esta puerta trasera se atribuye a TheWizards. SHADOW-VOID-044 Artefacto Cobalt Strike firmado mediante un certificado alojado en el servidor. Utilizado en la campaña BIOPASS RAT de 2021 dirigida a empresas chinas de juegos de azar en línea mediante ataques de abrevadero. Similitudes entre BIOPASS RAT y MKDOOR. Ambos abren y escuchan en un servidor HTTP en un puerto con un número alto en el host local. Se cree que BIOPASS RAT es causado por el actor de amenazas SHADOW-EARTH-045, también conocido como Earth Lusca (también conocido como Aquatic Panda o RedHotel), que utiliza la dirección IP 47.238.184(.)9, previamente vinculada a Earth Baxia y APT41, para los archivos descargados.
«Estas campañas aprovechan PickBirdy, un marco de JavaScript dinámico, para explotar archivos binarios inexistentes y distribuir puertas traseras modulares como MKDOOR y HOLODONUT», concluyó Trend Micro. «La detección de marcos de JavaScript maliciosos sigue siendo un desafío importante, ya que utilizan código inyectado en tiempo de ejecución generado dinámicamente y carecen de artefactos de archivos persistentes, lo que les permite eludir los controles de seguridad tradicionales de los terminales».
Source link
