Des chercheurs en cybersécurité ont découvert un framework de commande et de contrôle (C2) basé sur JScript appelé Picorer Birdy qui est utilisé par les acteurs APT alignés sur la Chine depuis 2023 pour cibler plusieurs environnements.
Selon Trend Micro, ce cadre flexible a été utilisé contre les industries chinoises du jeu et contre des activités malveillantes ciblant des entités gouvernementales et des organisations privées asiatiques.
“PeckBirdy est un framework basé sur des scripts qui, tout en possédant des capacités avancées, est implémenté à l'aide de JScript, un ancien langage de script”, ont déclaré les chercheurs Ted Lee et Joseph C Chen. “Il s'agit de garantir que le framework peut être lancé dans différents environnements d'exécution via LOLBins (Living Off Earth Binaries).”
La société de cybersécurité a déclaré avoir identifié le cadre de script PeckBirdy en 2023 après avoir observé que plusieurs sites de jeux d'argent chinois avaient reçu des scripts malveillants, conçus pour télécharger et exécuter la charge utile principale afin de faciliter la livraison et l'exécution à distance de JavaScript.
Le but ultime de cette routine est de publier de fausses pages Web de mises à jour logicielles pour Google Chrome afin d'inciter les utilisateurs à télécharger et à exécuter de faux fichiers de mise à jour, infectant ainsi les machines avec des logiciels malveillants. Ce groupe d'activités est suivi sous le nom de SHADOW-VOID-044.
SHADOW-VOID-044 est l'un des deux ensembles d'intrusions temporaires détectés à l'aide de PeckBirdy. La deuxième campagne, observée pour la première fois en juillet 2024 et baptisée SHADOW-EARTH-045, consiste à cibler des entités gouvernementales asiatiques et des organisations privées, y compris un établissement d'enseignement philippin, en injectant des liens PeckBirdy dans des sites Web gouvernementaux pour servir probablement des scripts de collecte d'informations d'identification sur le site Web.
“Dans un cas, l'injection s'est produite sur une page de connexion d'un système gouvernemental, tandis que dans un autre incident, nous avons noté que l'attaquant avait utilisé MSHTA pour exécuter PeckBirdy comme canal d'accès à distance pour les mouvements latéraux dans une organisation privée”, a déclaré Trend Micro. “L'acteur malveillant à l'origine des attaques a également développé un exécutable .NET pour lancer PeckBirdy avec ScriptControl. Ces résultats démontrent la polyvalence de la conception de PeckBirdy, lui permettant de servir à plusieurs fins.”
Ce qui rend PeckBirdy remarquable, c'est sa flexibilité, lui permettant de fonctionner avec différentes capacités sur tous les navigateurs Web, MSHTA, WScript, Classic ASP, Node JS et .NET (ScriptControl). Le serveur framework est configuré pour prendre en charge plusieurs API qui permettent aux clients d'obtenir des scripts d'atterrissage pour différents environnements via une requête HTTP(S).
Les routes API incluent une valeur « ATTACK ID », une chaîne aléatoire mais prédéfinie de 32 caractères (par exemple, o246jgpi6k2wjke000aaimwбe7571uh7), qui détermine quel script PeckBirdy sera récupéré du domaine. Une fois démarré, PeckBirdy détermine le contexte d'exécution actuel, puis génère un identifiant de victime unique et le conserve pour les exécutions ultérieures.
L'étape d'initialisation est suivie par le framework qui tente de découvrir quelles méthodes de communication sont prises en charge par l'environnement. PeckBirdy utilise le protocole WebSocket pour communiquer avec le serveur par défaut. Cependant, vous pouvez également utiliser des objets Adobe Flash ActiveX ou Comet comme mécanisme alternatif.
Une fois la connexion au serveur distant établie, en transmettant l'ID d'attaque et les valeurs de la victime, le serveur répond avec un script de deuxième étape, dont l'un est capable de voler les cookies des sites Web. Il a été découvert que l'un des serveurs PeckBirdy associés à la campagne SHADOW-VOID-044 héberge des scripts supplémentaires :
- Un script d'exploitation pour une faille du moteur Google Chrome V8 (CVE-2020-16040, score CVSS : 6,5) qui a été corrigé en décembre 2020
- Scripts contextuels d'ingénierie sociale conçus pour inciter les victimes à télécharger et à exécuter des fichiers malveillants.
- Scripts pour fournir des portes dérobées fonctionnant via Electron JS
- Scripts pour établir des shells inversés sur les sockets TCP
Une analyse plus approfondie de l'infrastructure a conduit à l'identification de deux portes dérobées nommées HOLODONUT et MKDOOR :
- HOLODONUT, une porte dérobée modulaire basée sur .NET qui est lancée à l'aide d'un simple téléchargeur appelé NEXLOAD et est capable de charger, d'exécuter ou de supprimer différents plugins reçus du serveur.
- MKDOOR, une porte dérobée modulaire capable de charger, exécuter ou désinstaller différents modules reçus du serveur
On soupçonne que SHADOW-VOID-044 et SHADOW-EARTH-045 pourraient être liés à différents acteurs étatiques alignés sur la Chine. Cette évaluation s’appuie sur les indices suivants :
- La présence de GRAYRABBIT, une porte dérobée précédemment déployée par UNC3569 aux côtés de DRAFTGRAPH et Crosswalk suite à l'exploitation de failles de sécurité N-day, sur un serveur opéré par SHADOW-VOID-044
- HOLODONUT partagerait des liens vers une autre porte dérobée, WizardNet, attribuée à TheWizards.
- Un artefact Cobalt Strike hébergé sur le serveur SHADOW-VOID-044 qui est signé avec un certificat qui a également été utilisé dans une campagne BIOPASS RAT 2021 ciblant les sociétés de jeux en ligne en Chine via une attaque de point d'eau.
- Similitudes entre BIOPASS RAT et MKDOOR, qui ouvrent tous deux un serveur HTTP sur un port à numéro élevé sur l'hôte local pour écouter (BIOPASS RAT est attribué à un acteur menaçant connu sous le nom de Earth Lusca, également connu sous le nom d'Aquatic Panda ou RedHotel)
- Utilisation de SHADOW-EARTH-045 de 47 238 184[.]9 – une adresse IP préalablement liée à Earth Baxia et APT41 – aux fichiers téléchargés
“Ces campagnes utilisent un framework JavaScript dynamique, PickBirdy, pour abuser des binaires extérieurs et proposer des portes dérobées modulaires comme MKDOOR et HOLODONUT”, a conclu Trend Micro. « La détection des frameworks JavaScript malveillants reste un défi important en raison de leur utilisation de code d'exécution généré dynamiquement et de l'absence d'artefacts de fichiers persistants, leur permettant d'échapper aux contrôles de sécurité traditionnels des points finaux.
