組織横断的な攻撃フレームワーク「PeckBirdy」の脅威
2023年以降、高度なJScriptベースのコマンド&コントロールフレームワーク「PeckBirdy」が、Living-off-the-Land Binaries(LOLBins)を悪用し、多様な実行環境にモジュール型バックドアを展開していることが明らかになりました。このフレームワークは、「SHADOW-VOID-044」および「SHADOW-EARTH-045」という二つの連携したキャンペーンで観測されており、中国のギャンブル産業、アジア各国の政府機関、民間組織を標的としています。
展開されるマルウェアには、HOLODONUTやMKDOORといった高度なバックドアが含まれています。
多岐にわたる実行環境への適応性
PeckBirdyの最大の特徴は、そのクロスプラットフォーム能力にあります。ブラウザ、MSHTA、WScript, Classic ASP、Node.js、.NET ScriptControlなど、複数の環境での実行が可能です。この汎用性により、脅威アクターは初期侵入(ウォータリングホールサーバー経由)から横方向への移動、永続的なバックドア操作に至るまで、攻撃チェーンの様々な段階でフレームワークを展開できます。
フレームワークは、レガシーシステムとの互換性を確保しつつ、最新環境もサポートするためにJScript(ECMAScript 3)を採用しています。実行時、PeckBirdyはホスト環境を自動で識別し(ブラウザのwindowオブジェクトやNode.jsのprocessオブジェクトなどを検出)、それに応じて通信プロトコルや機能を動的に適応させます。
通信はAES暗号化とBase64エンコーディングを用いて行われ、暗号化キーは設定に埋め込まれた32文字のATTACK_ID値に対応しています。
連携するキャンペーン活動の詳細
- SHADOW-VOID-044(2023年以降): 中国のギャンブルウェブサイトがスクリプトインジェクションによって侵害され、被害者は悪意のあるGoogle Chromeのアップデートページにリダイレクトされ、マルウェアが配信されました。インフラ分析の結果、既知の脅威グループ「UNC3569」との関連が指摘されています。
- SHADOW-EARTH-045(2024年7月): アジアの政府機関や民間組織を標的とし、認証情報窃取のためにログインページにインジェクションが行われました。このキャンペーンでは、Chromeの脆弱性CVE-2020-16040が悪用され、ソーシャルエンジニアリング技術と組み合わせてユーザーにマルウェアを実行させました。フィリピンの教育機関への攻撃では、攻撃者はMSHTAコマンドを実行し、侵害されたGitHubドメインに接続してIISサーバー上でPeckBirdyを起動しました。このキャンペーンは「Earth Baxia」との関連も示唆されていますが、帰属の確度は低いとされています。
HOLODONUTとMKDOORバックドアの機能
HOLODONUT
.NETベースのモジュール型バックドアであり、NEXLOADというカスタムダウンローダーを通じて展開されます。このバックドアは、AMSI(Antimalware Scan Interface)やETW(Event Tracing for Windows)イベントの無効化を含む防御回避技術を多用し、プロセスメモリ内でステルスに.NETアセンブリを実行するためのオープンソースツール「Donut」も活用しています。
HOLODONUTはプラグインハンドラーをサポートしており、脅威アクターは運用要件に基づいて.NETアセンブリを動的にロード、実行、アンロードすることができます。
MKDOOR
ダウンローダーとバックドアコンポーネントの2つのモジュールから成るシステムです。ダウンローダーは、除外ルールを追加することでMicrosoft Defenderをバイパスし、ネットワーク通信を正規のMicrosoftサポートトラフィックに偽装します。コマンド&コントロール(C&C)のURLは、検出を回避するためにWindowsのアクティベーションページを模倣しています。
バックドアモジュールは、C&Cインフラから受信した追加モジュールのインストール、アンインストール、実行、管理をサポートしています。
インフラと関連性
SHADOW-VOID-044のインフラ調査により、過去にUNC3569と関連付けられたサーバー(47.238.219.111)上でGRAYRABBITバックドアが発見されました。また、このキャンペーンでは、韓国のゲーム企業から盗まれたコード署名証明書がCobalt Strikeペイロードの署名に使用されており、これらの証明書は過去にEarth Luscaに関連するBIOPASS RATキャンペーンでも観測されています。
HOLODONUTのサンプルは、TheWizard APTグループが使用し、Earth Minotaurが開発したDarkNimbusバックドアも展開していたC&Cサーバー(mkdmcdn.com)に接続していました。
主な脆弱性
| CVE ID | 脆弱性タイプ | 影響を受けるソフトウェア | CVSSスコア | 悪用状況 |
|---|---|---|---|---|
| CVE-2020-16040 | 不適切なデータ検証 | Google Chrome | 8.8 (High) | 積極的に悪用中 |
推奨される対策
組織は、PeckBirdyキャンペーンに関連する脅威指標を検出・ブロックするために、Trend Micro Vision Oneのようなソリューションを活用すべきです。また、以下の対策が推奨されます。
- LOLBinsを介した疑わしいJScriptの実行を監視する。
- アプリケーションのホワイトリスト化を実施する。
- 未署名または不審な署名のある実行ファイルを厳しく調査する。
- 異常なドメインへの暗号化された通信を監視するためのネットワーク監視を展開する。
動的に生成されるJavaScriptフレームワークの検出は、ランタイムでのコードインジェクションや最小限のファイルアーティファクトのため依然として困難です。そのため、行動分析やメモリベースの検出機能が必要とされます。
PeckBirdyの高度な手法は、APTアクターがクロスプラットフォームフレームワークとLOLBinsを悪用し、従来のセキュリティ制御を回避しながら、多様な標的環境で運用上の柔軟性を維持しているという、進化する脅威の状況を示しています。