Pesquisadores em cibersegurança identificaram um framework de comando e controle (C2) baseado em JScript chamado PeckBirdy, utilizado desde 2023 por grupos APT alinhados à China para atacar diversos setores.
Essa plataforma flexível tem como alvo o setor de jogos de azar na China, além de entidades governamentais e organizações privadas na Ásia.
De acordo com os pesquisadores Ted Lee e Joseph C. Chen, “PeckBirdy é um framework baseado em script que, apesar das capacidades avançadas, é implementado em JScript, uma linguagem antiga.” Essa escolha permite a execução do framework em diferentes ambientes por meio de LOLBins (living-off-the-land binaries), ou seja, utilizando binários legítimos do sistema para evitar detecção.
A Trend Micro detectou PeckBirdy em 2023 ao identificar a injeção de scripts maliciosos em diversos sites chineses de jogos, cujo objetivo era baixar e executar o payload principal para viabilizar o controle remoto via JavaScript.
A tática final dessa rotina consiste em exibir páginas falsas de atualização do Google Chrome para enganar usuários e levá-los a baixar e executar arquivos fraudulentos, instalando malware em suas máquinas.
Esse conjunto de ações é acompanhado sob o codinome SHADOW-VOID-044.
Além desse, foi identificado um segundo conjunto de ataques, denominado SHADOW-EARTH-045, observado inicialmente em julho de 2024.
Essa campanha mira entidades governamentais asiáticas e organizações privadas, incluindo uma instituição educacional das Filipinas.
Os invasores injetam links do PeckBirdy em sites oficiais, provavelmente para roubar credenciais dos usuários.
Em um dos casos, a injeção ocorreu na página de login de um sistema governamental.
Em outro, o atacante usou o MSHTA para executar PeckBirdy como canal de acesso remoto, facilitando movimentos laterais na rede.
Também foi encontrado um executável .NET criado para iniciar PeckBirdy via ScriptControl, demonstrando a versatilidade do framework.
A principal característica do PeckBirdy é sua capacidade de operar em diversos ambientes, como navegadores web, MSHTA, WScript, Classic ASP, Node.js e .NET (ScriptControl).
Seu servidor suporta múltiplas APIs, permitindo que clientes obtenham scripts específicos para cada ambiente por meio de requisições HTTP(S).
Cada chamada inclui um “ATTACK ID” — uma string aleatória pré-definida com 32 caracteres — que determina qual script será recuperado para execução.
Após o lançamento, o framework identifica o ambiente atual, gera um ID único para a vítima e tenta determinar os métodos de comunicação disponíveis.
Por padrão, PeckBirdy utiliza WebSocket para comunicação, mas pode recorrer a objetos ActiveX do Adobe Flash ou Comet como alternativas.
Com a conexão estabelecida, enviando o ATTACK ID e o ID da vítima, o servidor responde com um script de segunda fase, capaz, por exemplo, de roubar cookies de sites.
Em servidores vinculados à campanha SHADOW-VOID-044 foram encontrados scripts adicionais, como:
- Exploit para vulnerabilidade no motor V8 do Google Chrome (
CVE-2020-16040
, CVSS 6.5), corrigida em dezembro de 2020;
- Scripts de engenharia social que exibem pop-ups fraudulentos para induzir vítimas a executar arquivos maliciosos;
- Backdoors entregues via Electron JS;
- Scripts para estabelecer shells reversos por conexões TCP.
A análise da infraestrutura revelou dois backdoors modulares, nomeados HOLODONUT e MKDOOR:
- HOLODONUT: backdoor modular baseado em .NET, acionado por um downloader simples chamado NEXLOAD, capaz de carregar, executar ou remover plugins recebidos do servidor;
- MKDOOR: backdoor modular com funcionalidades semelhantes para gerenciamento de módulos.
Há indícios de que SHADOW-VOID-044 e SHADOW-EARTH-045 estejam ligados a diferentes grupos estatais chineses.
Entre as evidências estão:
- Presença do backdoor GRAYRABBIT, utilizado pelo grupo UNC3569 em ataques com DRAFTGRAPH e Crosswalk explorando vulnerabilidades conhecidas, em um servidor do SHADOW-VOID-044;
- Semelhanças entre HOLODONUT e o backdoor WizardNet, associado ao grupo TheWizards;
- Artefato do Cobalt Strike hospedado no servidor SHADOW-VOID-044, assinado com certificado usado na campanha BIOPASS RAT de 2021, que atacou companhias de jogos de azar na China por meio de watering hole;
- Similaridades entre BIOPASS RAT e MKDOOR, ambos usando servidor HTTP em portas elevadas no localhost para escuta, com o BIOPASS RAT atribuído a Earth Lusca (também conhecido como Aquatic Panda ou RedHotel);
- Uso do IP 47.238.184.9 no SHADOW-EARTH-045, já associado aos grupos Earth Baxia e APT41, para download de arquivos.
Segundo a Trend Micro, “essas campanhas utilizam um framework dinâmico em JavaScript, PeckBirdy, para abusar de living-off-the-land binaries e entregar backdoors modulares como MKDOOR e HOLODONUT.” A empresa ressalta que identificar frameworks maliciosos em JavaScript é um desafio significativo, devido à geração dinâmica e à injeção do código em tempo de execução, além da ausência de artefatos persistentes no sistema, o que dificulta sua detecção por controles tradicionais de endpoint.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...