Los investigadores de ciberseguridad han descubierto un JScript marco de comando y control (C2) basado en el nombre Peck Birdy que los actores de APT alineados con China han utilizado desde 2023 para atacar múltiples entornos.

El marco flexible se ha utilizado contra las industrias del juego chinas y contra las actividades maliciosas dirigidas a entidades gubernamentales y organizaciones privadas asiáticas, según Trend Micro.

«PeckBirdy es un marco basado en scripts que, si bien posee capacidades avanzadas, se implementa mediante JScript, un lenguaje de escritura antiguo», dicen los investigadores Ted Lee y Joseph C. Chen dijo . «Esto es para garantizar que el marco pueda lanzarse en diferentes entornos de ejecución a través de LOLBins (archivos binarios que viven de la tierra)».

La empresa de ciberseguridad dijo que identificó el marco de scripts de PeckBirdy en 2023 después de observar que varios sitios web de juegos de azar chinos estaban siendo inyectados con scripts maliciosos, que están diseñados para descargar y ejecutar la carga útil principal a fin de facilitar la entrega y ejecución remotas de JavaScript.

El objetivo final de esta rutina es ofrecer páginas web falsas de actualización de software para Google Chrome con el fin de engañar a los usuarios para que descarguen y ejecuten archivos de actualización falsos, infectando así las máquinas con malware en el proceso. Este grupo de actividades se está rastreando como SHADOW-VOID-044.

SHADOW-VOID-044 es uno de los dos conjuntos de intrusiones temporales detectados con PeckBirdy. La segunda campaña, que se llevó a cabo por primera vez en julio de 2024 y se denominó SHADOW-EARTH-045, tiene como objetivo a entidades gubernamentales y organizaciones privadas asiáticas (incluida una institución educativa filipina) e inyectar enlaces de PeckBirdy en sitios web gubernamentales para que, probablemente, publiquen guiones para recopilar credenciales en el sitio web.

«En un caso, la inyección se produjo en una página de inicio de sesión de un sistema gubernamental, mientras que en otro incidente, nos dimos cuenta de que el atacante utilizaba MSHTA para ejecutar a PeckBirdy como canal de acceso remoto para el movimiento lateral en una organización privada», afirma Trend Micro. «El responsable de los ataques también desarrolló un ejecutable de.NET para lanzar PeckBirdy con ScriptControl. Estos hallazgos demuestran la versatilidad del diseño de PeckBirdy, que le permite cumplir múltiples propósitos».

Lo que hace que PeckBirdy sea notable es su flexibilidad, que le permite funcionar con diferentes capacidades en los navegadores web, MSHTA, WScript, Classic ASP, Node JS y.NET (ScriptControl). El servidor del marco está configurado para admitir varias API que permiten a los clientes obtener scripts de inicio para diferentes entornos mediante una consulta HTTP (S).

Las rutas de la API incluyen un valor de «ATTACK ID», una cadena aleatoria pero predefinida de 32 caracteres (por ejemplo, o246jgpi6k2wjke000aaimwхe7571uh7), que determina el script de PeckBirdy que se va a recuperar del dominio. Una vez lanzado, el PeckBirdy determina el contexto de ejecución actual y, a continuación, genera un identificador de víctima único y lo conserva para las ejecuciones posteriores.

Al paso de inicialización le sigue el marco que intenta averiguar qué métodos de comunicación son compatibles en el entorno. De forma predeterminada, PeckBirdy usa el protocolo WebSocket para comunicarse con el servidor. Sin embargo, también puede emplear objetos ActiveX de Adobe Flash o Comet como mecanismo alternativo.

Una vez iniciada la conexión con el servidor remoto, pasando los valores ATTACK ID e ID de víctima, el servidor responde con un script de segunda etapa, uno de los cuales es capaz de robar las cookies del sitio web. Se ha descubierto que uno de los servidores de PeckBirdy asociados a la campaña SHADOW-VOID-044 aloja guiones adicionales:

  • Un script de explotación para una falla de Google Chrome en el motor V8 ( CVE2020-16040 , puntuación CVSS: 6,5) que se parcheó en diciembre de 2020
  • Secuencias de comandos para ventanas emergentes de ingeniería social diseñadas para engañar a las víctimas para que descarguen y ejecuten archivos maliciosos
  • Secuencias de comandos para entregar puertas traseras que se ejecutan a través de Electron JS
  • Secuencias de comandos para establecer shells inversos a través de sockets TCP

Un análisis más detallado de la infraestructura ha llevado a la identificación de dos puertas traseras denominadas HOLODONUT y MKDOOR -

  • HOLODONUT, una puerta trasera modular basada en .NET que se lanza con un sencillo descargador llamado NEXLOAD y es capaz de cargar, ejecutar o eliminar diferentes complementos recibidos del servidor
  • MKDOOR, una puerta trasera modular que es capaz de cargar, ejecutar o desinstalar diferentes módulos recibidos del servidor

Se sospecha que SHADOW-VOID-044 y SHADOW-EARTH-045 podrían estar vinculados a diferentes actores estatales alineados con China. Esta evaluación se basa en las siguientes pistas:

  • La presencia de CONEJO GRIS , una puerta trasera previamente desplegada por UNC3569 junto con DRAFTGRAPH y Cruce peatonal tras la explotación de fallos de seguridad de N días, en un servidor operado por SHADOW-VOID-044
  • Se dice que HOLODONUT comparte enlaces a otra puerta trasera, WizardNet , que se atribuye a TheWizards
  • Un artefacto de Cobalt Strike alojado en el servidor SHADOW-VOID-044 que se firma con un certificado que también se usó en un Campaña BIOPASS RAT 2021 dirigido a empresas de juegos de azar online en China mediante un ataque a un abrevadero
  • Similitudes entre BIOPASS RAT y MKDOOR, los cuales abren un servidor HTTP en un puerto con números altos del host local para escuchar. El BIOPASS RAT se atribuye a un actor de amenazas conocido como Tierra Lusca (también conocido como Aquatic Panda o RedHotel)
  • Uso por parte de SHADOW-EARTH-045 de 47.238.184 [.] 9: una dirección IP previamente vinculada a Tierra Baxia y APARTAMENTO 41 — a los archivos descargados

«Estas campañas utilizan un marco dinámico de JavaScript, PickBirdy, para abusar de los binarios más populares y ofrecer puertas traseras modulares, como MKDOOR y HOLODONUT», concluyó Trend Micro. «La detección de los marcos de JavaScript maliciosos sigue siendo un desafío importante debido a que utilizan código generado dinámicamente e inyectado en tiempo de ejecución y a la ausencia de artefactos persistentes en los archivos, lo que les permite eludir los controles de seguridad tradicionales de los terminales».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.