PeckBirdy le cadre JScript qui fonctionne sur les navigateurs et ouvre des portes sans trace

Les chercheurs en sécurité ont identifié un cadre de commandement et de contrôle fondé sur JScript qui est exploité par des acteurs alignés avec la Chine depuis 2023. La partie centrale de cette campagne est un ensemble de scripts connu sous le nom de PeckBirdy, une plate-forme légère mais polyvalente qui profite des anciennes technologies de script pour ouvrir des canaux distants sans laisser une trace persistante sur le disque.

La chose frappante à propos de PeckBirdy n'est pas tant sa sophistication cryptique, mais sa capacité d'adaptation : peut être exécuté sur les navigateurs web, à travers MSHTA, WScript, Classic ASP, Node.js et même à partir de . NET via ScriptControl. Cette capacité multiplateforme vous permet de vous intégrer à ce que l'on appelle les « binaires vivant hors terre », une tactique qui complique grandement la détection traditionnelle. Trend Micro a publié une analyse détaillée expliquant le fonctionnement et l'évolution de cette menace, et c'est une lecture recommandée pour quiconque veut approfondir: Trend Micro rapport sur PeckBirdy.

Le mécanisme de livraison observé dans l'une des premières vagues a été l'injection de scripts dans les sites de paris chinois. Ces scripts agissent comme chargeurs distants : ils consultent un serveur de contrôle avec un identifiant associé à la campagne (un ID ATTACK 32 caractères) et à partir de là, ils téléchargent le lien suivant, qui peut varier selon l'environnement en cours d'exécution. Un autre destinataire reçoit un « script d'atterrissage » adapté à son contexte, qui permet à la fois les opérations de vol d'identification et l'installation de portes arrière plus complexes.

La communication avec le serveur est généralement basée sur WebSockets, mais PeckBird a des alternatives: il utilise des objets ActiveX (par exemple Adobe Flash dans de vieux scénarios) ou des techniques Comet lorsque WebSocket n'est pas disponible. Après l'initialisation, le script génère un identifiant unique pour la victime, persiste et l'utilise dans les communications subséquentes, facilitant la gestion à distance de plusieurs cibles à partir de l'infrastructure de commande et de contrôle.

Parmi les artefacts trouvés sur les serveurs associés à la campagne, les chercheurs ont trouvé des profits pour voler des cookies aux scripts qui tentent d'exploiter les vulnérabilités dans les moteurs de navigateur. En particulier, une explosion est apparue visant à une panne dans le moteur V8 de Google Chrome (appelé CVE-2020-16040), qui avait été corrigé en 2020. Ils ont également détecté des pop-ups d'ingénierie sociale qui simulent des mises à jour légitimes Chrome pour inciter l'utilisateur à télécharger des exécutables malveillants.

L'infrastructure offensive a également donné lieu à deux portes arrière modulaires que les attaquants utilisent pour maintenir l'accès: HOLODONAT, une porte arrière .NET qui est déployée par un téléchargement appelé NEXLOAD et qui prend en charge les plugins; et MKDOOR, une autre porte arrière modulaire avec la capacité de charger, exécuter ou supprimer des modules. Ces outils permettent à l'opération d'évoluer de l'intrusion initiale à la poursuite de l'espionnage ou des mouvements latéraux à l'intérieur de réseaux compromis.

Trend Micro a identifié au moins deux ensembles d'intrusion temporaires utilisant PeckBirdy. L'un, tracé comme SHADOW-VOID-044, a principalement affecté les sites de paris en Chine et a servi de vecteur pour la distribution de charges utiles et d'exploitations. L'autre, appelé SHADOW-EARTH-045, observé depuis juillet 2024, a ciblé des institutions gouvernementales et des organisations privées en Asie, y compris une entité éducative aux Philippines, où des liens malveillants ont été injectés sur les pages de connexion pour saisir des références.

Les analystes n'attribuent pas une seule organisation derrière tout, mais ils voient des indices qui indiquent la participation de différents groupes, mais avec un soutien ou des tactiques similaires. Parmi ces signes figure la présence de la porte arrière GRAYRABBIT sur les serveurs liés à SHADOW-VOID-044 ( Analyse GRAYRABIT), les coïncidences dans les certificats utilisés pour signer des charges techniques et les similitudes avec les campagnes passées attribuées à des acteurs tels que Earth Lusca ou APT41. Ces connexions ne sont pas concluantes par elles-mêmes, mais contribuent à dresser un tableau des acteurs qui partagent les infrastructures et les méthodes.

Du point de vue de la défense, PeckBirdy illustre deux problèmes récurrents : D'une part, l'abus de binaires légitimes du système pour exécuter le code malveillant complique la signature et la détection dans les paramètres; d'autre part, les scripts dynamiques injectés dans la mémoire ou servis en temps réel ne laissent pas les artefacts faciles à analyser avec des solutions traditionnelles. La détection et l'atténuation de ces menaces exigent la combinaison de contrôles à différents niveaux : durcissement des applications web, surveillance des performances des paramètres et analyse du trafic réseau, y compris les connexions anormales de WebSocket.

Pour réduire la surface d'attaque, il est approprié de tenir à jour les navigateurs JavaScript et les moteurs, de revoir et de limiter l'utilisation d'outils tels que MSHTA et WScript dans les environnements où ils ne sont pas nécessaires, et d'appliquer des politiques de contenu (CSP) et d'intégrité des sous-ressources (SRI) dans les sites qui servent de contenu public. Il est également utile de vérifier régulièrement les pages critiques pour les injections et d'avoir des solutions de livraison sûres qui peuvent détecter des changements inattendus dans les ressources Web. Des ressources telles que le projet LOLBAS offrent un guide sur les binaires système qui sont souvent utilisés à mauvais escient et peuvent servir à prioriser les contrôles : LOLBAS. Pour comprendre comment les attaquants exploitent les binaires légitimes du point de vue des techniques et des tactiques, la matrice MITRE ATT & CK est une référence pratique : T1218 - Vivre hors des terres binaires et T1505.03 - Shell Web.

La détection précoce peut également être basée sur des signaux réseau: Des sessions WebSocket vers des domaines inhabituels, des téléchargements de scripts à partir de ressources tierces ou des réponses qui délivrent le code JavaScript désuet devraient déclencher des alertes. Dans les environnements d'entreprise, la segmentation du réseau et la surveillance des processus qui commencent les connexions sortantes à partir de serveurs Web peuvent arrêter l'abus d'infrastructure légitime pour les mouvements latéraux.

PeckBirdy ne présente pas une nouvelle technique au sens strict, mais montre comment les ennemis avec des ressources combinent des outils anciens et fiables, des scripts dynamiques et une infrastructure flexible pour fonctionner avec Sigyl. Cela rappelle que la sécurité n'est pas seulement de fournir des vulnérabilités isolées, mais de concevoir des couches qui compensent la capacité des attaquants à adapter leurs charges à l'environnement de fonctionnement.

Si vous gérez un web d'entreprise ou si vous gérez des systèmes critiques, examinez les contrôles d'intégrité des ressources Web, limitez le binaire avec la capacité d'interpréter des scripts et renforcez la télémétrie réseau sont des mesures pratiques qui réduisent grandement le risque d'engagements similaires. Pour ceux qui veulent approfondir la description technique et les échantillons analysés, le rapport Trend Micro fournit des informations détaillées et des techniques de détection: rapport complet sur PeckBirdy.

En fin de compte, ces campagnes rappellent que les attaquants profitent de l'hétérogénéité des environnements et des technologies : les défenses les plus efficaces seront celles qui unissent les bonnes pratiques dans le développement du web, la gestion des patchs, la visibilité du réseau et les politiques propres dans l'utilisation des outils système.