Výzkumníci v oblasti kybernetické bezpečnosti objevili C2 framework (command-and-control) založený na JScriptu s názvem PeckBirdy, který od roku 2023 využívají hackerské skupiny napojené na Čínu k útokům na různá prostředí.
Tento flexibilní framework byl použit proti čínským hazardním společnostem a při škodlivých aktivitách zaměřených na asijské vládní instituce a soukromé organizace.
„PeckBirdy je framework založený na skriptech, který, přestože disponuje pokročilými schopnostmi, je implementován pomocí JScriptu, starého skriptovacího jazyka,“ uvedli výzkumníci Ted Lee a Joseph C Chen. „Důvodem je zajistit, aby mohl být framework spuštěn v různých prostředích prostřednictvím LOLBinů (living-off-the-land binaries).“
Společnost zabývající se kybernetickou bezpečností uvedla, že framework PeckBirdy identifikovala v roce 2023 poté, co zaznamenala injektování škodlivých skriptů do několika čínských hazardních webových stránek. Tyto skripty jsou navrženy tak, aby stahovaly a spouštěly primární payload za účelem usnadnění vzdáleného doručení a spuštění JavaScriptu.
Konečným cílem této rutiny je zobrazovat falešné webové stránky s aktualizacemi softwaru pro Google Chrome, aby uživatele nalákaly ke stažení a spuštění falešných aktualizačních souborů, čímž dojde k infikování počítačů malwarem. Tento cluster aktivit je sledován jako SHADOW-VOID-044.
SHADOW-VOID-044 je jednou ze dvou dočasných intruzních sad detekovaných při použití PeckBirdy. Druhá kampaň, poprvé pozorovaná v červenci 2024 a označovaná jako SHADOW-EARTH-045, zahrnuje cílení na asijské vládní instituce a soukromé organizace – včetně filipínské vzdělávací instituce – injektování odkazů PeckBirdy do vládních webových stránek s cílem pravděpodobně poskytovat skripty pro sběr přihlašovacích údajů.
Co dělá PeckBirdy pozoruhodným, je jeho flexibilita, která mu umožňuje běžet s různými schopnostmi napříč webovými prohlížeči, MSHTA, WScript, Classic ASP, Node JS a .NET (ScriptControl). Server frameworku je nakonfigurován tak, aby podporoval více API, která umožňují klientům získávat úvodní skripty pro různá prostředí prostřednictvím HTTP(S) dotazu.
Cesty API zahrnují hodnotu „ATTACK ID“ – náhodný, ale předem definovaný řetězec s 32 znaky (např. o246jgpi6k2wjke000aaimwбe7571uh7) – který určuje, který skript PeckBirdy má být získán z domény. Po spuštění PeckBirdy určí aktuální kontext spuštění a poté pokračuje ve vytvoření jedinečného ID oběti a jeho uchování pro následná spuštění.
Po inicializačním kroku se framework pokouší zjistit, jaké komunikační metody jsou v prostředí podporovány. PeckBirdy ve výchozím nastavení používá protokol WebSocket ke komunikaci se serverem. Může však také využít objekty Adobe Flash ActiveX nebo Comet jako záložní mechanismus.
Po navázání spojení se vzdáleným serverem, předání hodnot ATTACK ID a victim ID, server odpoví skriptem druhé fáze, z nichž jeden je schopen krást cookies webových stránek.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
