Главная страница » Индикаторы компрометации
0
3 дня
Индикаторы компрометации

Китайские APT-группы используют скриптовый фреймворк PeckBirdy для многоэтапных атак

APT

Аналитики компании Trend Micro обнаружили и детально исследовали новый инструментарий, используемый китайскими APT-акторами. Фреймворк PeckBirdy, написанный на устаревшем языке JScript, демонстрирует высокую гибкость и применяется злоумышленниками с 2023 года в различных средах исполнения.

Описание

Исследование выявило как минимум две отдельные кампании, получившие названия SHADOW-VOID-044 и SHADOW-EARTH-045. Первая из них нацелена на китайскую гемблинг-индустрию, вторая - на государственные и частные организации в Азии. PeckBirdy служит для злоумышленников многофункциональным инструментом командования и управления (C&C, Command-and-Control). В зависимости от этапа киберубийственной цепочки (kill chain) он может работать как сервер для атак типа «водопой» (watering hole), как канал обратной связи (reverse shell) для перемещения внутри сети или как сервер управления бэкдорами.

Главной особенностью фреймворка является его кроссплатформенность. PeckBirdy может запускаться в браузере, через утилиты MSHTA и WScript, в среде Classic ASP, Node JS и .NET. Это достигается за счет использования «живых» системных двоичных файлов (Living off the Land Binaries). Для определения текущего окружения скрипт ищет уникальные объекты, например, "window" в браузере или "process" в NodeJS. После инициализации фреймворк генерирует идентификатор жертвы, используя либо хеш от данных оборудования, либо случайную строку. Этот ID сохраняется в cookie браузера или в файле во временной папке Windows для обеспечения устойчивости (persistence).

Коммуникация с сервером управления осуществляется по нескольким протоколам. Предпочтительным является WebSocket. Если он недоступен, фреймворк пытается использовать устаревший Adobe Flash для создания TCP-сокета. В крайнем случае задействуются методы Comet и LocalComet на основе HTTPS и AJAX, которые обладают широкой совместимостью. Обмен данными с сервером шифруется с помощью AES, а ключом служит уникальный ATTACK_ID, внедренный в конфигурацию скрипта.

Аналитикам удалось обнаружить дополнительные скрипты, доставляемые через PeckBirdy в рамках кампании SHADOW-VOID-044. Среди них - эксплойт для уязвимости CVE-2020-16040 в Google Chrome, скрипты для социальной инженерии, имитирующие обновление ПО, а также скрипты для установки бэкдоров и создания обратных оболочек. Помимо базового функционала фреймворка, в атаках используются два модульных бэкдора: HOLODONUT и MKDOOR.

HOLODONUT - это бэкдор на основе .NET. Для его доставки применяется специальный загрузчик NEXLOAD, который извлекает и расшифровывает основной вредоносный код (payload) с сервера. Для скрытного выполнения в памяти процесса используется открытый инструмент Donut. Бэкдор поддерживает модульную архитектуру, позволяя операторам удаленно загружать, исполнять и выгружать дополнительные плагины в виде сборок .NET.

Бэкдор MKDOOR состоит из двух частей: загрузчика и основного модуля. Загрузчик подключается к серверу и скачивает основной компонент. Для обхода защитных механизмов, в частности Microsoft Defender, вредоносная программа добавляет себя в список исключений антивируса. Кроме того, её сетевые запросы маскируются под обращения к страницам технической поддержки Microsoft. Функционал MKDOOR также зависит от модулей, получаемых с сервера, и включает команды для установки, удаления и выполнения этих модулей.

Атрибуция кампаний указывает на связь с несколькими известными китайскими APT-группами. Кампания SHADOW-VOID-044 с высокой долей уверенности приписана группе UNC3569. Это подтверждается использованием общего сервера с бэкдором GRAYRABBIT, ранее ассоциированным с этой группой, а также совпадением целевого сектора - китайской гемблинг-индустрии. Обнаружены и перекрестные связи с другими угрозными акторами, такими как TheWizard и Earth Lusca, через общую инфраструктуру и похожие техники.

Кампания SHADOW-EARTH-045, по предварительным данным с низким уровнем уверенности, может быть связана с группой Earth Baxia. В ходе этой кампании злоумышленники скомпрометировали сервер IIS и использовали команду MSHTA для запуска PeckBirdy, одновременно загружая файлы с IP-адреса, ранее встречавшегося в операциях Earth Baxia.

Обнаружение подобных скриптовых фреймворков представляет серьезную проблему для традиционных систем безопасности. Динамически генерируемый код, исполняемый в памяти без создания постоянных файловых артефактов, эффективно обходит многие средства защиты на конечных точках. Эксперты Trend Micro отмечают, что их платформа Trend Micro Vision One детектирует и блокирует указанные индикаторы компрометации (IOCs, Indicators of Compromise), а также предоставляет клиентам специальные запросы для поиска угроз, аналитическую информацию и отчеты разведки. Противодействие таким адаптивным угрозам требует непрерывного совершенствования защитных стратегий и интеграции продвинутых решений для мониторинга и ответа.

Индикаторы компрометации

IPv4

  • 43.135.35.84
  • 43.154.202.197
  • 43.156.94.185
  • 47.238.184.9
  • 47.238.219.111
  • 47.86.190.245
  • 8.218.124.102
  • 8.218.50.207
  • 8.222.143.246

Domains

  • a1icdn.com
  • ads.microsoft-ads.com
  • ai.microsoftgpt.net
  • app.css-alicdn.com
  • aq.crackflyvpn.org
  • as-cdn.net
  • cdn.js-cdn.xyz
  • cloudflare.hcaphcha.com
  • dayday.is-cdn.com
  • efficaciousserver9527.org
  • github.githubassets.net
  • js.cache-cdn.org
  • kyo-cdn.com
  • linux.mso-cdn.com
  • m.as-cdn.org
  • m.mod-js.org
  • mkdmcdn.com
  • os-js.com
  • ppcn-cdn.xyz
  • static.img-cache.com
  • static.img-caches.com
  • static-alicdn.com
  • static-resource.org
  • study.mso-cdn.com
  • tt.oss-cdn.com
  • update.microsoft-edges.com
  • update.myrnicrosoft.com
  • updates.oss-cdn.com
  • www.githubgressaccess.info
  • www.jsunpkg.com

SHA256

  • 0a0b25e9565bd41bdadcaab88f0c8c425582c248bdbc4d981ee3ad57a58c6476
  • 336a0be2dfa60e6beee133cff185bc258b480fb231d5d7eacaca6dfde0db3f81
  • 5992b0d8bd342ff4a298402830b68c4e4565bf1fd5717a404d8a3ab7a5760204
  • 5dc7b4a618076662b5993b392eb0e402b9f6c27f88b6561791475dc1069c318e
  • 612e534e695269ac6408bf1f5f62372756bb354bd01bea6073e9fe1d9b548597
  • 691d3a5ea614b5bf371001941635788e680ad938f06ee4dfd25768422eaedd6f
  • 74a73e1461dffcf445f195cede0204f44afef8c4b6f37391a0c314e20ed8f7b7
  • 776b4fb58d76105a60bccfbc09abad82330b8ee5138b93b826deaa7689030bbf
  • 7e396dda39d3497097b82d98920fa174f883b04d03295493dd3b13676d5ac321
  • 7e989948c2b9bb4cd9f7031882e5400171d574610f0dfd06a8d60b860f6e984a
  • 81ceb679d9bc51a451393a2ed9edcd588c2760e39c9758303c5929c7412112f0
  • bb67fa07897b73aca77311e4d23bbbbe496e8570338f36305704e487034fd0ad
  • ecafb4ad14c96007f2873e5e4d0e173d27340427f512448515f64e4f58268741
  • ef67e340d31cbc7bd0d5f77581801142b25b0bc636bb97c04e4ed3c757532227
  • fb69135d10c087f72c7cf82a1441e6de3e3d2abfde8546c9012b15c63d5c50e5
Комментарии: 0
Похожие записи
0
19.12.2022
Индикаторы компрометации

Agenda Ransomware IOCs

ransomware
В этом году такие группировки, как BlackCat, Hive и RansomExx, разработали версии своих программ на языке Rust - кроссплатформенном языке, который облегчает адаптацию вредоносного ПО к различным операционным системам, таким как Windows и Linux.
0
21.04.2025
Индикаторы компрометации

FOG Ransomware распространяется киберпреступниками, утверждающими, что они связаны с DOGE

ransomware
Исследователи Trend Micro обнаружили, что вымогательское ПО FOG распространяется через электронную почту и фишинговые атаки, притворяясь инициативой Департамента эффективности правительства (DOGE).
0
22.09.2022
Индикаторы компрометации

Уязвимость CVE-2022-26134 в Atlassian Confluence используется для майнинга криптовалюты и других вредоносных программ

vulnerability
Компания TrendMicro наблюдала активную эксплуатацию CVE-2022-26134, уязвимости удаленного выполнения кода (RCE) без аутентификации с рейтингом критичности 9,8 в инструменте для совместной работы Atlassian Confluence.