منذ عام 2023، برز إطار برمجيات خبيثة خطير يُعرف باسم PeckBirdy كسلاح أساسي تستخدمه مجموعات قرصنة صينية. يعمل هذا الإطار، وهو قائم على جافاسكريبت، كمنصة للتحكم والسيطرة، مصمم للعمل عبر بيئات أنظمة متعددة، مما يمنح المهاجمين مرونة ملحوظة في نشر هجماتهم. يستهدف الإطار الضحايا في صناعة القمار والمؤسسات الحكومية في جميع أنحاء آسيا، ويمثل تطوراً هاماً في كيفية عمل مجموعات الهجوم الحديثة.
تعمل PeckBirdy عن طريق حقن رموز برمجية ضارة في المواقع التي يزورها الضحايا بانتظام. عندما يصل المستخدمون إلى صفحات مخترقة، تقوم البرامج النصية المخفية بتنزيل وتفعيل إطار PeckBirdy بصمت في الخلفية. ثم تقوم البرامج الضارة بخداع الضحايا لخداعهم لإعتقاد أن متصفح الويب الخاص بهم يحتاج إلى تحديث عاجل، مع عرض صفحات تحديث مزيفة مقنعة لمتصفح جوجل كروم.
يقوم المستخدمون غير المدركين بتنزيل ما يبدو أنه تصحيح برمجي شرعي، ولكنه في الواقع برنامج باب خلفي متطور مصمم لمنح المهاجمين سيطرة كاملة على أنظمتهم. تتكشف الهجمات عبر حملتين متميزتين تم تتبعهما تحت اسمي SHADOW-VOID-044 وSHADOW-EARTH-045.
آليات هجوم PeckBirdy المتقدمة
حدّد محللو Trend Micro البرمجيات الخبيثة بعد اكتشاف أدلة على نشرها على مواقع قمار صينية مخترقة في عام 2023. أدى ذلك بالمحققين إلى الكشف عن النطاق الكامل لقدرات إطار العمل وتتبع بنيته التحتية التشغيلية عبر مراحل هجوم متعددة، مما يسلط الضوء على التطورات المستمرة في التهديدات السيبرانية.
يكمن التعقيد التقني لـ PeckBirdy في كيفية مزجها للغات برمجة نصية قديمة وغير محدثة مع تقنيات هجوم حديثة. من أجل تجنب أدوات الأمان الحديثة التي تركز على اكتشاف التهديدات الأحدث، قام المطورون ببناء الإطار باستخدام JScript، وهي لغة برمجة نصية قديمة من مايكروسوفت، وذلك تحديدًا لأنها تسمح بتشغيل الرمز على كل نظام ويندوز تقريبًا دون إثارة الشبهات.
استراتيجيات التبليغ والوصول المستمر
بمجرد التثبيت، تنشئ PeckBirdy معرفًا فريدًا لكل جهاز كمبيوتر مصاب عن طريق استخلاص معلومات الأجهزة من اللوحة الأم لمحرك الأقراص الثابتة للضحية، ثم تحويل هذه البيانات إلى معرف مشفر. يقوم البرنامج الضار بحفظ هذا المعرف في ملف مخفي على النظام، مما يسمح للمهاجمين بالتعرف على نفس الضحية أثناء الإصابات المستقبلية.
للحفاظ على الوصول المستمر، تتواصل PeckBirdy مع خوادم القيادة باستخدام بروتوكول مشفر، وتقوم بالتحقق باستمرار من وجود تعليمات جديدة مع الحفاظ على عدم الظهور لبرامج الأمان التي تراقب حركة مرور الشبكة المريبة.
ما يجعل هذا الإطار خطيرًا بشكل خاص هو أنه يوفر أبوابًا خلفية ثانوية مثل HOLODONUT وMKDOOR، التي توسع قدرات المهاجمين إلى ما وراء الوصول الأولي. يمكن لهذه الوحدات تنفيذ أوامر عشوائية، وسرقة بيانات الاعتماد، وإنشاء اتصالات عكسية توفر للمهاجمين وصولاً كاملاً عن بعد إلى الشبكات المصابة.
يجب على المؤسسات تنفيذ مراقبة قوية للشبكات وتثقيف الموظفين حول تكتيكات الهندسة الاجتماعية للدفاع ضد هذه التهديدات المستمرة.