Sicherheitsforscher haben einen Kommando- und Kontrollrahmen auf der Grundlage von JScript die von Akteuren, die seit 2023 mit China fluchten, ausgenutzt wird. Der zentrale Teil dieser Kampagne ist eine Reihe von Skripten, die als PeckBirdy bekannt sind, eine leichte aber vielseitige Plattform, die alte Scripting-Technologien nutzt, um Remote-Kanäle zu öffnen, ohne eine persistente Spur auf Festplatte zu hinterlassen.
Die auffällige Sache an PeckBirdy ist nicht so sehr seine kryptische Raffinesse, sondern seine Anpassungsfähigkeit: über MSHTA, WScript, Classic ASP, Node.js und sogar von . NET über ScriptControl. Diese Multiplatform-Kapazität ermöglicht es Ihnen, in die sogenannten "Living-off-the-land binaries", eine Taktik zu integrieren, die die traditionelle Erkennung stark erschwert. Trend Micro veröffentlichte eine detaillierte Analyse, die die Funktionsweise und Entwicklung dieser Bedrohung erklärt, und es ist eine empfohlene Lesung für jeden, der sich vertiefen möchte: Trend Micro Bericht über PeckBirdy.
Der Liefermechanismus, der in einem der ersten Wellen beobachtet wurde, war die Injektion von Skripten in chinesische Wett-Websites. Diese Skripte fungieren als Fernladegeräte: Sie konsultieren einen Steuerserver mit einer Kampagnen-assoziierten Kennung (eine 32-Kennzeichen ATTACK ID) und laden von dort den folgenden Link herunter, der je nach Laufumgebung variieren kann. Ein anderer Empfänger erhält ein an seinen Kontext angepasstes "landing script", die sowohl Anmelde-Diebstahl-Operationen als auch die Installation komplexerer Hintertüren ermöglicht.
Die Kommunikation mit dem Server basiert in der Regel auf WebSockets, aber PeckBird hat Alternativen: es verwendet ActiveX-Objekte (z.B. Adobe Flash in alten Szenarien) oder Comet-Techniken, wenn WebSocket nicht verfügbar ist. Nach der Initialisierung erzeugt das Skript eine eindeutige Kennung für das Opfer, setzt fort und nutzt es in späteren Kommunikationen, erleichtert das Remote-Management von mehreren Zielen aus der Befehls- und Kontrollinfrastruktur.
Unter den Artefakten, die auf Servern im Zusammenhang mit der Kampagne gefunden wurden, fanden Forscher von Gewinnen, um Cookies zu Skripten zu stehlen, die versuchen, Schwachstellen in Browser-Engines auszunutzen. Insbesondere erschien eine Explosion auf einen Ausfall in Google Chrome V8-Engine (als CVE-2020-16040), die im Jahr 2020 gepatcht worden war. Sie erkannten auch Social Engineering-Pop-ups, die legitime Chrome-Updates simulieren, um den Benutzer zu schädlichen ausführbaren herunterladen.
Die Offensive-Infrastruktur führte auch zu zwei modularen Hintertüren, die die Angreifer nutzen, um den Zugriff aufrechtzuerhalten: HOLODONAT, eine .NET Hintertür, die durch einen Download namens NEXLOAD bereitgestellt wird und die Plugins unterstützt; und MKDOOR, eine weitere modulare Hintertür mit der Fähigkeit, Module zu laden, auszuführen oder zu entfernen. Diese Werkzeuge ermöglichen es, dass sich der Betrieb von der anfänglichen Intrusion bis hin zu fortschreitenden Spionage- oder Querbewegungen innerhalb kompromittierter Netze entwickelt.
Trend Micro hat mindestens zwei temporäre Intrusionssets mit PeckBirdy identifiziert. Ein, als SHADOW-VOID-044 zurückverfolgt, hat vor allem Wett-Sites in China betroffen und hat als Vektor für die Verteilung von Nutzlasten und Exploits dient. Der andere, genannt SHADOW-EARTH-045, seit Juli 2024 beobachtet, hat Regierungseinrichtungen und private Organisationen in Asien gezielt, einschließlich einer Bildungseinrichtung auf den Philippinen, wo bösartige Links auf Anmeldeseiten injiziert wurden, um Anmeldeinformationen zu erfassen.
Analysten verschreiben nicht eine einzige Organisation hinter allem, aber sie sehen Hinweise, die auf die Teilnahme von verschiedenen Gruppen, aber mit ähnlichen Unterstützung oder Taktik. Unter diesen Zeichen ist die Anwesenheit der Hintertür GRAYRABBIT auf Servern, die mit SHADOW-VOID-044 verbunden sind ( GRAYRABBIT Analyse), Übereinstimmungen in Zertifikaten, die zur Unterzeichnung technischer Gebühren und Ähnlichkeiten mit früheren Kampagnen verwendet wurden, die Schauspielern wie Earth Lusca oder APT41 zugeschrieben wurden. Diese Verbindungen sind nicht allein, sondern helfen, ein Bild von Akteuren aufzubauen, die Infrastruktur und Methoden teilen.
Aus der Sicht der Verteidigung erläutert PeckBirdy zwei wiederkehrende Probleme: Zum einen erschwert der Missbrauch von legitimen Binaren des Systems zur Ausführung von schädlichem Code die Signatur und Detektion in Endpunkten; zum anderen lassen dynamische Skripte in Speicher eingespritzt oder in Echtzeit bedient Artefakte nicht einfach mit traditionellen Lösungen zu analysieren. Das Erkennen und Abmildern solcher Bedrohungen erfordert die Kombination von Steuerungen auf verschiedenen Ebenen: Web Application Härtung, Endpoints Performance Monitoring und Netzwerk-Verkehrsanalyse, einschließlich anomaler WebSocket-Verbindungen.
Um die Angriffsfläche zu reduzieren, ist es angebracht, aktuelle JavaScript-Browser und -Engines zu halten, die Verwendung von Werkzeugen wie MSHTA und WScript in Umgebungen zu überprüfen und einzuschränken, in denen sie nicht benötigt werden, und die Content Policy (CSP) und Subresource Integrity (SRI) in Websites anzuwenden, die öffentliche Inhalte bedienen. Es ist auch nützlich, regelmäßig kritische Seiten für Injektionen zu prüfen und sichere Lieferlösungen zu haben, die unerwartete Änderungen der Webressourcen erkennen können. Ressourcen wie das LOLBAS-Projekt bieten einen Leitfaden für Systembindungen, die oft missbraucht werden und zur Priorisierung von Kontrollen dienen können: LOLBEN. Um zu verstehen, wie Angreifer legitime Binäre aus der Perspektive der Techniken und Taktik ausnutzen, ist die MITRE ATT & CK-Matrix eine praktische Referenz: T1218 - Leben aus den Landkreisen und T1505.003 - Web Shell.
Früherkennung kann auch auf Netzwerksignalen basieren: WebSocket-Sitzungen auf ungewöhnliche Domänen, Downloads von Skripten aus Drittanbieter-Ressourcen oder Antworten, die die Lieferung von gebräuchlichen JavaScript-Code sollte Feueralarme. In Unternehmensumgebungen kann die Netzwerksegmentierung und Überwachung von Prozessen, die ausgehende Verbindungen von Webservern starten, den Missbrauch einer legitimen Infrastruktur für die laterale Bewegung stoppen.
PeckBirdy führt keine neue Technik in einem strengen Sinne ein, zeigt aber, wie Feinde mit Ressourcen alte und zuverlässige Werkzeuge, dynamische Skripte und eine flexible Infrastruktur kombinieren, um mit Sigyl zu arbeiten. Dies erinnert daran, dass die Sicherheit nicht nur isolierte Sicherheitslücken bietet, sondern Schichten zu entwerfen, die die Fähigkeit der Angreifer, ihre Lasten an die laufende Umgebung anzupassen, kompensieren.
Wenn Sie ein Corporate Web verwalten oder kritische Systeme verwalten, überprüfen Sie die Integritätskontrollen von Web-Ressourcen, begrenzen Sie die binäre mit der Fähigkeit, Skripte zu interpretieren und Netzwerk-Telemetrie zu stärken sind praktische Maßnahmen, die das Risiko ähnlicher Verpflichtungen stark reduzieren. Für diejenigen, die die technische Beschreibung und die analysierten Proben vertiefen möchten, bietet der Trend Micro-Bericht detaillierte Informationen und Nachweistechniken: Vollständiger Bericht über PeckBirdy.
Letztendlich dienen diese Kampagnen als Erinnerung daran, dass Angreifer die Heterogenität von Umgebungen und Technologien nutzen: Die effektivsten Abwehrmaßnahmen werden diejenigen sein, die gute Praktiken in der Web-Entwicklung, Patch-Management, Netzwerksicht und saubere Politik bei der Verwendung von Systemtools vereinen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...