اكتشف باحثون في الأمن السيبراني إطاراً خبيثاً جديداً يعتمد على لغة JScript تحت اسم PeckBirdy، يستخدم كمنصة للتحكم والسيطرة (C2) من قبل مجموعات تهديد متقدمة مرتبطة بالصين منذ عام 2023. هذا الإطار المرن مكّن المهاجمين من استهداف بيئات متعددة، بدءاً من مواقع المقامرة الصينية وصولاً إلى مؤسسات حكومية وخاصة في آسيا، وفقاً لتقرير صادر عن شركة Trend Micro.
PeckBirdy واستهداف مواقع المقامرة الصينية
ظهر اسم PeckBirdy لأول مرة عام 2023 عندما رصد الباحثون حقن شيفرات خبيثة في مواقع المقامرة الصينية، تهدف إلى تنزيل وتنفيذ حمولة أساسية تتيح التحكم عن بُعد. هذه الهجمات اعتمدت على صفحات تحديث مزيفة لمتصفح Google Chrome، حيث يتم خداع المستخدمين لتنزيل ملفات تبدو كأنها تحديثات رسمية، لكنها في الحقيقة برمجيات خبيثة. وقد أُطلق على هذه الحملة اسم SHADOW-VOID-044، وهي واحدة من مجموعتين رئيسيتين تم رصدهما باستخدام هذا الإطار.
حملات تستهدف الحكومات والمؤسسات التعليمية
في يوليو 2024، ظهرت حملة ثانية تحت اسم SHADOW-EARTH-045، استهدفت مؤسسات حكومية في آسيا، بما في ذلك مؤسسة تعليمية في الفلبين. اعتمد المهاجمون على حقن روابط PeckBirdy في صفحات تسجيل الدخول الحكومية، بهدف سرقة بيانات الاعتماد. كما استخدموا أداة MSHTA لتشغيل PeckBirdy كقناة وصول عن بُعد، ما سمح لهم بالتحرك داخل الشبكات الخاصة. اللافت أن المهاجمين طوروا أيضاً ملفاً تنفيذياً يعتمد على .NET لتشغيل PeckBirdy باستخدام ScriptControl، ما يعكس مرونة التصميم وقدرته على التكيف مع بيئات مختلفة.
قدرات تقنية متقدمة وطرق متعددة للتنفيذ
ما يميز PeckBirdy هو قدرته على العمل عبر منصات متعددة مثل MSHTA وWScript وClassic ASP وNode JS وحتى بيئات .NET. الخادم المرتبط بالإطار مهيأ لدعم واجهات برمجية (APIs) متعددة، تتيح للعملاء الحصول على شيفرات مخصصة لكل بيئة عبر طلبات HTTP(S). يبدأ التنفيذ بإنشاء معرف ضحية فريد، ثم يحدد طرق الاتصال المتاحة، حيث يعتمد بشكل أساسي على بروتوكول WebSocket، مع إمكانية استخدام تقنيات بديلة مثل ActiveX Flash أو Comet.
وقد رُصدت خوادم PeckBirdy وهي تستضيف شيفرات إضافية، منها استغلال ثغرة في محرك V8 الخاص بكروم (CVE-2020-16040)، إضافة إلى نوافذ منبثقة للتلاعب الاجتماعي، وأدوات لتسليم أبواب خلفية عبر Electron JS، فضلاً عن إنشاء قنوات وصول عكسي عبر TCP sockets.
أبواب خلفية جديدة وروابط بمجموعات تهديد معروفة
كشفت التحليلات عن أبواب خلفية جديدة مرتبطة بالحملات، أبرزها HOLODONUT وMKDOOR. الأول يعتمد على .NET ويتيح تحميل وتشغيل أو إزالة إضافات من الخادم، بينما الثاني يتميز بمرونته في إدارة وحدات مختلفة. كما ظهرت دلائل على ارتباط هذه الحملات بمجموعات تهديد صينية معروفة، مثل وجود الباب الخلفي GRAYRABBIT الذي استخدمته مجموعة UNC3569، إضافة إلى روابط بين HOLODONUT وأداة WizardNet. كذلك، تم العثور على أدوات Cobalt Strike موقعة بشهادات سبق استخدامها في حملة BIOPASS RAT عام 2021 ضد شركات المقامرة الصينية.
هذه التشابكات التقنية تعزز فرضية أن الحملتين SHADOW-VOID-044 وSHADOW-EARTH-045 قد تكونان من تنفيذ جهات مختلفة لكنها جميعاً مرتبطة بدولة الصين، مثل مجموعات APT41 وEarth Lusca وEarth Baxia، التي اشتهرت باستغلال الثغرات الأمنية وتطوير أدوات تجسس متقدمة.
