サイバーニュース.jp

世界のサイバーなニュースを配信

中国関連ハッカーが2023年以降、JavaScript C2フレームワーク「PeckBirdy」を使用

カテゴリ:

イントロダクション: PeckBirdyの脅威

サイバーセキュリティ研究者たちは、2023年以降、中国関連のAPT(高度な持続的脅威)アクターによってJScriptベースのコマンド&コントロール(C2)フレームワーク「PeckBirdy」が使用されていることを発見しました。この柔軟なフレームワークは、中国の賭博産業、アジアの政府機関、および民間組織を標的として悪用されています。Trend Microによると、PeckBirdyは高度な機能を持ちながらも、旧来のスクリプト言語であるJScriptで実装されているため、LOLBins(living-off-the-land binaries)を通じて様々な実行環境で起動できるのが特徴です。

PeckBirdyの技術的特徴

PeckBirdyはその柔軟性において注目に値します。Webブラウザ、MSHTA、WScript、Classic ASP、Node JS、.NET (ScriptControl)といった多様な環境で異なる機能を発揮しながら実行可能です。このフレームワークのサーバーは、クライアントがHTTP(S)クエリを介して異なる環境向けのランディングスクリプトを取得できる複数のAPIをサポートするように構成されています。APIパスには、「ATTACK ID」と呼ばれるランダムかつ事前に定義された32文字の文字列が含まれ、これによって取得するPeckBirdyスクリプトが決定されます。

起動後、PeckBirdyは現在の実行コンテキストを判断し、一意の被害者IDを生成して以降の実行のために永続化します。初期化ステップの後、フレームワークは環境でサポートされている通信方法を特定しようとします。PeckBirdyはデフォルトでWebSocketプロトコルを使用してサーバーと通信しますが、フォールバックメカニズムとしてAdobe Flash ActiveXオブジェクトまたはCometを使用することもできます。リモートサーバーとの接続が確立されると、サーバーはセカンドステージスクリプトを応答し、その中にはウェブサイトのクッキーを窃取できる機能を持つものもあります。

観測された攻撃キャンペーン

PeckBirdyを使用した主要な2つのキャンペーンが確認されています。

  • SHADOW-VOID-044: 2023年に中国の複数の賭博ウェブサイトがマルウェアスクリプトを注入されているのが観測されました。これらのスクリプトは、プライマリペイロードをダウンロード・実行し、Google Chromeの偽のソフトウェアアップデートページを装ってユーザーに偽のアップデートファイルをダウンロード・実行させ、マルウェア感染を誘発します。
  • SHADOW-EARTH-045: 2024年7月に初めて観測されたこのキャンペーンは、アジアの政府機関や民間組織(フィリピンの教育機関を含む)を標的としています。攻撃者は政府ウェブサイトにPeckBirdyリンクを注入し、認証情報の窃取を試みました。あるケースでは政府システムのログインページに注入され、別のインシデントではMSHTAを使用してPeckBirdyをラテラルムーブメントのためのリモートアクセスチャネルとして実行し、プライベート組織に侵入しました。また、攻撃者はScriptControlでPeckBirdyを起動するための.NET実行ファイルも開発しています。

関連するバックドアと攻撃者グループ

SHADOW-VOID-044キャンペーンに関連するPeckBirdyサーバーからは、追加の悪用スクリプトがホストされていることが判明しました。これには、Google ChromeのV8エンジンにおける脆弱性(CVE-2020-16040)を悪用するスクリプト、ソーシャルエンジニアリングポップアップスクリプト、Electron JS経由で実行されるバックドア配信スクリプト、TCPソケット経由のリバースシェル確立スクリプトが含まれます。

さらに、インフラ分析により以下の2つのバックドアが特定されました。

  • HOLODONUT: NEXLOADというシンプルなダウンローダーを使用して起動される、.NETベースのモジュール式バックドア。サーバーから受信した異なるプラグインをロード、実行、または削除する機能を持っています。
  • MKDOOR: サーバーから受信した異なるモジュールをロード、実行、またはアンインストールできるモジュール式バックドアです。

SHADOW-VOID-044とSHADOW-EARTH-045は、異なる中国関連国家グループに関連している疑いがあります。この評価は、以下のような手がかりに基づいています。

  • SHADOW-VOID-044が運営するサーバーで、以前UNC3569によってN-dayのセキュリティ脆弱性悪用後に展開されたバックドアGRAYRABBITが確認されたこと。
  • HOLODONUTがバックドアWizardNetと関連があること(WizardNetはTheWizardsに帰属)。
  • SHADOW-VOID-044サーバーでホストされていたCobalt Strikeのアーティファクトの証明書が、2021年のオンライン賭博会社を標的としたBIOPASS RATキャンペーンで使用されたものと一致すること。
  • BIOPASS RATとMKDOORが、どちらもローカルホストの高いポートでHTTPサーバーを起動してリッスンするという類似点を持つこと(BIOPASS RATはEarth Lusca、別名Aquatic PandaまたはRedHotelとして知られる脅威アクターに帰属)。
  • SHADOW-EARTH-045がダウンロードファイルに利用したIPアドレス(47.238.184[.]9)が、以前Earth BaxiaおよびAPT41に関連していたこと。

検出の課題

Trend Microは、「これらのキャンペーンは、ダイナミックなJavaScriptフレームワークであるPeckBirdyを悪用してLOLBinsを濫用し、MKDOORやHOLODONUTのようなモジュール式バックドアを配信しています。」と結論付けています。動的に生成され、ランタイムで注入されるコード、および永続的なファイル成果物が存在しないため、悪意のあるJavaScriptフレームワークの検出は、従来のエン点セキュリティ対策にとって依然として重大な課題となっています。

元記事: https://thehackernews.com/2026/01/china-linked-hackers-have-used.html

投稿をさらに読み込む