Siber güvenlik araştırmacıları JScript tabanlı bir komuta ve kontrol (C2) çerçevesi keşfettiler. PeckBirdy Bu, 2023’ten beri Çin’e bağlı APT aktörleri tarafından birden fazla ortamı hedeflemek için kullanılıyor.
Trend Micro’ya göre esnek çerçeve, Çin kumar endüstrilerine ve Asya devlet kurumlarını ve özel kuruluşlarını hedef alan kötü niyetli faaliyetlere karşı kullanılmaya başlandı.
Araştırmacılar Ted Lee ve Joseph C Chen, “PeckBirdy, gelişmiş yeteneklere sahip olmasına rağmen eski bir yazı dili olan JScript kullanılarak uygulanan, komut dosyası tabanlı bir çerçevedir” dedi. “Bunun amacı, çerçevenin LOLBins (toprağın dışında yaşayan ikili dosyalar) aracılığıyla farklı yürütme ortamlarında başlatılabilmesini sağlamak.”
Siber güvenlik şirketi, PeckBirdy komut dosyası çerçevesini 2023 yılında, birden fazla Çin kumar web sitesine, JavaScript’in uzaktan dağıtımını ve yürütülmesini kolaylaştırmak için birincil yükü indirip yürütmek üzere tasarlanmış kötü amaçlı komut dosyalarının enjekte edildiğini gözlemledikten sonra tanımladığını söyledi.
Bu rutinin nihai hedefi, Google Chrome için sahte yazılım güncelleme web sayfaları sunarak kullanıcıları sahte güncelleme dosyalarını indirmeleri ve çalıştırmaları için kandırmak, böylece makinelere kötü amaçlı yazılım bulaştırmaktır. Bu etkinlik kümesi SHADOW-VOID-044 olarak izleniyor.
SHADOW-VOID-044, PeckBirdy kullanılarak tespit edilen iki geçici izinsiz giriş setinden biridir. İlk olarak Temmuz 2024’te gözlemlenen ve SHADOW-EARTH-045 olarak anılan ikinci kampanya, Asya devlet kurumlarını ve Filipinli bir eğitim kurumu da dahil olmak üzere özel kuruluşları hedef almayı ve muhtemelen web sitesinde kimlik bilgisi toplamaya yönelik komut dosyaları sunmak üzere PeckBirdy bağlantılarını hükümet web sitelerine yerleştirmeyi içeriyor.
Trend Micro, “Bir vakada enjeksiyon bir hükümet sisteminin giriş sayfasına yapıldı, diğer bir vakada ise saldırganın MSHTA’yı kullanarak PeckBirdy’yi özel bir kuruluşta yanal hareket için uzaktan erişim kanalı olarak çalıştırdığını fark ettik” dedi. “Saldırıların arkasındaki tehdit aktörü, PeckBirdy’yi ScriptControl ile başlatmak için bir .NET çalıştırılabilir dosyası da geliştirdi. Bu bulgular, PeckBirdy’nin tasarımının çok yönlülüğünü gösteriyor ve bu da onun birden fazla amaca hizmet etmesini sağlıyor.”
PeckBirdy’yi dikkate değer kılan şey, web tarayıcıları, MSHTA, WScript, Classic ASP, Node JS ve .NET (ScriptControl) üzerinde çeşitli yeteneklerle çalışmasına olanak tanıyan esnekliğidir. Çerçevenin sunucusu, istemcilerin bir HTTP(S) sorgusu yoluyla farklı ortamlar için açılış komut dosyaları almasını mümkün kılan birden fazla API’yi destekleyecek şekilde yapılandırılmıştır.
API yolları, etki alanından alınacak PeckBirdy betiğini belirleyen, rastgele fakat önceden tanımlanmış 32 karakterli bir dize (örneğin, o246jgpi6k2wjke000aaimwбe7571uh7) olan bir “ATTACK ID” değeri içerir. PeckBirdy başlatıldığında mevcut yürütme bağlamını belirler ve ardından benzersiz bir kurban kimliği oluşturmaya ve bunu sonraki yürütmeler için sürdürmeye devam eder.
Başlatma adımını, ortamda hangi iletişim yöntemlerinin desteklendiğini bulmaya çalışan çerçeve takip eder. PeckBirdy, varsayılan olarak sunucuyla iletişim kurmak için WebSocket protokolünü kullanır. Ancak, bir geri dönüş mekanizması olarak Adobe Flash ActiveX nesnelerini veya Comet’i de kullanabilir.
ATTACK ID ve kurban ID değerlerini ileterek uzak sunucuyla bir bağlantı başlatıldıktan sonra sunucu, biri web sitesi çerezlerini çalabilen ikinci aşama bir komut dosyasıyla yanıt verir. PeckBirdy’nin SHADOW-VOID-044 kampanyasıyla ilişkili sunucularından birinin ek komut dosyalarını barındırdığı tespit edildi –
- V8 motorundaki (CVE-2020-16040, CVSS puanı: 6,5) Aralık 2020’de yamalı bir Google Chrome kusuruna yönelik bir yararlanma komut dosyası
- Kurbanları kötü amaçlı dosyaları indirmeleri ve yürütmeleri için kandırmak üzere tasarlanmış sosyal mühendislik açılır pencerelerine yönelik komut dosyaları
- Electron JS aracılığıyla yürütülen arka kapıları teslim etmeye yönelik komut dosyaları
- TCP yuvaları aracılığıyla ters kabuklar oluşturmaya yönelik komut dosyaları
Daha ileri altyapı analizleri HOLODONUT ve MKDOOR olarak adlandırılan iki arka kapının tanımlanmasına yol açtı.
- HOLODONUT, NEXLOAD adlı basit bir indirici kullanılarak başlatılan ve sunucudan alınan farklı eklentileri yükleme, çalıştırma veya kaldırma yeteneğine sahip, .NET tabanlı modüler bir arka kapıdır.
- Sunucudan alınan farklı modülleri yükleme, çalıştırma veya kaldırma kapasitesine sahip modüler bir arka kapı olan MKDOOR
SHADOW-VOID-044 ve SHADOW-EARTH-045’in Çin uyumlu farklı ulus devlet aktörleriyle bağlantılı olabileceğinden şüpheleniliyor. Bu değerlendirme aşağıdaki ipuçlarına dayanmaktadır:
- SHADOW-VOID-044 tarafından işletilen bir sunucuda, N günlük güvenlik kusurlarından yararlanılmasının ardından DRAFTGRAPH ve Crosswalk ile birlikte daha önce UNC3569 tarafından konuşlandırılan bir arka kapı olan GRAYRABBIT’in varlığı
- HOLODONUT’un TheWizards’a atfedilen başka bir arka kapı olan WizardNet’in bağlantılarını paylaştığı söyleniyor
- SHADOW-VOID-044 sunucusunda barındırılan ve aynı zamanda bir sulama deliği saldırısı aracılığıyla Çin’deki çevrimiçi kumar şirketlerini hedef alan 2021 BIOPASS RAT kampanyasında da kullanılan bir sertifika kullanılarak imzalanan bir Cobalt Strike eseri
- BIOPASS RAT ve MKDOOR arasındaki benzerlikler; her ikisi de yerel ana bilgisayardaki yüksek numaralı bir bağlantı noktasındaki HTTP sunucusunu dinlemek için açar (BIOPASS RAT, Aquatic Panda veya RedHotel olarak da bilinen Earth Lusca olarak bilinen bir tehdit aktörüne atfedilir)
- SHADOW-EARTH-045’in 47.238.184 kullanımı[.]9 – indirilen dosyalara önceden Earth Baxia ve APT41’e bağlanmış bir IP adresi
Trend Micro, “Bu kampanyalar, arazide yaşayan ikili dosyaları kötüye kullanmak ve MKDOOR ve HOLODONUT gibi modüler arka kapılar sunmak için dinamik bir JavaScript çerçevesi olan PickBirdy’yi kullanıyor” diye tamamladı. “Kötü amaçlı JavaScript çerçevelerinin tespit edilmesi, dinamik olarak oluşturulmuş, çalışma zamanı enjekte edilmiş kod kullanmaları ve kalıcı dosya yapılarının bulunmaması nedeniyle, geleneksel uç nokta güvenlik kontrollerinden kaçmalarına olanak tanıyan önemli bir zorluk olmaya devam ediyor.”