كشف خبراء الأمن السيبراني عن نشاط مكثف لقراصنة مدعومين من الصين يستخدمون إطار عمل خبيث يُدعى PeckBirdy لاستهداف المؤسسات الحكومية والخاصة في آسيا منذ عام 2023.
ما هو إطار عمل PeckBirdy الخبيث؟
يتميز إطار العمل هذا بمرونته العالية، حيث تم استخدامه بشكل مكثف ضد صناعات المقامرة الصينية وأنشطة خبيثة استهدفت هيئات حكومية آسيوية ومنظمات خاصة.
وبحسب تقارير أمنية تابعها فريق تيكبامين، فإن PeckBirdy هو إطار عمل يعتمد على لغة JScript القديمة. الغرض من استخدام هذه التقنية القديمة هو ضمان إمكانية تشغيل الإطار عبر بيئات تنفيذ مختلفة باستخدام ملفات النظام الثنائية الموجودة بالفعل (LOLBins)، مما يجعل اكتشافه أكثر صعوبة على برامج الحماية الحديثة.
كيف تتم عملية الاختراق؟
رصدت شركات الأمن السيبراني هذا الإطار لأول مرة في عام 2023 بعد ملاحظة حقن مواقع مقامرة صينية بنصوص برمجية خبيثة. تم تصميم هذه النصوص لتنفيذ سلسلة من العمليات المعقدة:
- تحميل الحمولة الأساسية (Payload) من خوادم القيادة والسيطرة.
- تسهيل التسليم والتنفيذ عن بعد لنصوص JavaScript الخبيثة.
- عرض صفحات ويب مزيفة لتحديث متصفح Google Chrome لخداع الضحايا.
الهدف النهائي لهذه العملية هو إيهام المستخدمين بضرورة تنزيل وتشغيل ملفات تحديث وهمية، مما يؤدي فوراً إلى إصابة أجهزتهم بالبرمجيات الخبيثة. يتم تتبع مجموعة النشاط هذه تقنياً تحت اسم SHADOW-VOID-044.
استهداف الحكومات وسرقة البيانات
إلى جانب استهداف قطاع المقامرة، تم رصد حملة ثانية تُعرف باسم SHADOW-EARTH-045 بدأت في يوليو 2024. تستهدف هذه الحملة كيانات حكومية آسيوية ومنظمات خاصة، بما في ذلك مؤسسات تعليمية في الفلبين.
تعتمد الهجمات على حقن روابط PeckBirdy داخل المواقع الحكومية لخدمة أغراض متعددة، أبرزها:
- سرقة بيانات الاعتماد (Credentials) الحساسة من صفحات تسجيل الدخول.
- استخدام أداة MSHTA لتنفيذ التعليمات البرمجية كقناة وصول عن بعد.
- التحرك الجانبي (Lateral Movement) داخل الشبكات الخاصة للمنظمات المخترقة.
لماذا يعتبر PeckBirdy تهديداً خطيراً؟
تكمن خطورة هذا الإطار في مرونته العالية التي تسمح له بالعمل بقدرات متفاوتة عبر منصات وتقنيات متعددة. وقد أوضح تيكبامين أن المهاجمين طوروا ملفات تنفيذية بصيغة .NET لإطلاق البرمجية الخبيثة، مما يظهر تنوع التصميم وقدرته على التكيف.
يدعم خادم الإطار واجهات برمجة تطبيقات (APIs) متعددة تسمح للعملاء بالحصول على نصوص برمجية تتناسب مع بيئات مختلفة عبر استعلامات HTTP(S). تشمل البيئات المدعومة ما يلي:
- متصفحات الويب (Web Browsers)
- أداة MSHTA
- محرك WScript
- بيئة Classic ASP
- منصة Node JS
- إطار عمل .NET (ScriptControl)
تتضمن مسارات API قيمة "ATTACK ID" وهي سلسلة عشوائية محددة مسبقاً مكونة من 32 حرفاً تحدد النص البرمجي الذي سيتم استرجاعه من النطاق، مما يجعل كل هجمة فريدة من نوعها ويصعب تتبعها بالطرق التقليدية.
