في عالم متزايد التعقيد من التهديدات السيبرانية، تبرز “PeckBirdy” كأداة قوية يستخدمها المهاجمون المدعومون من الصين لتنفيذ هجمات تجسس إلكتروني عبر أنظمة متعددة. في هذا المقال، نستعرض كيف يعمل هذا الإطار وما هي التهديدات التي يمثلها.
الهجمات عبر الأنظمة المتعددة: “PeckBirdy”
لقد استخدم المهاجمون المدعومون من الصين إطار عمل JScript متعدد الوظائف عبر الأنظمة لتنفيذ هجمات التجسس الإلكتروني على مدار السنوات القليلة الماضية، مما زاد من أنشطتهم باستخدام أبواب خلفية معيارية في حملتين منفصلتين تستهدفان مواقع القمار والكيانات الحكومية.
قام الباحثون في شركة تريند مايكرو بتتبع استخدام هذا الإطار، الذي أطلق عليه اسم “PeckBirdy”، منذ عام 2023. ويهدف إطار التحكم والقيادة (C2) المكتوب بلغة JScript القديمة من مايكروسوفت إلى التوزيع المرن من خلال تمكين التنفيذ عبر بيئات متعددة.
يوفر استخدام مثل هذا الإطار للمهاجمين ميزة على المدافعين، حيث إن “الكشف عن أطر JavaScript الخبيثة لا يزال يمثل تحديًا كبيرًا بسبب استخدامها لرموز تم إنشاؤها ديناميكيًا، وحقنها في وقت التشغيل، وغياب آثار الملفات الدائمة”، كما كتب الباحثون في تريند مايكرو. وهذا بدوره يمكّنهم من التهرب من ضوابط الأمان التقليدية على النقاط النهائية.
حملتان منفصلتان تستخدمان “PeckBirdy”
كشف باحثو تريند مايكرو عن حملتين منفصلتين، تم تتبعهما على أنهما Shadow-Void-044 وShadow-Earth-045، تستخدمان “PeckBirdy” عبر عدة متجهات هجوم، والتي يعتقد الباحثون أنها من عمل جهات مدعومة من الصين.
استهدفت الحملة الأولى، التي بدأت في عام 2023، مواقع القمار الصينية باستخدام نصوص خبيثة وروابط إلى خوادم بعيدة تسمح للمهاجمين باستخدام “PeckBirdy” لتسليم وتنفيذ رموز JScript للزوار.
“الهدف الرئيسي من هذه الروتين هو عرض صفحات تحديثات برمجية مزيفة لمتصفح جوجل كروم لجذب الضحايا لتحميل وتنفيذ ملفات تحديث خبيثة، والتي هي أبواب خلفية أعدها المهاجمون”، كما كتب الباحثون. أحد الأبواب الخلفية المستخدمة في الحملة هو MKDoor، وهو برنامج ضار لم يتم توثيقه من قبل.
رصد الدفاعات ضرورة
من غير الواضح أي المهاجمين يستخدمون “PeckBirdy” في هذه الحملات، لكن تريند مايكرو تقول إنهم على الأرجح مرتبطون بأنشطة مدعومة من الدولة الصينية، حيث تقوم العديد من مجموعات التهديد المستمرة بتنفيذ أنشطة التجسس الإلكتروني ضد أهداف مختارة في جميع أنحاء العالم.
في مثل هذا البيئة التهديدية، “يجب أن تكون القدرة على التكيف والتحسين المستمر لاستراتيجيات الدفاع أمرًا أساسيًا للحفاظ على السلامة التشغيلية” حيث يستمر المدافعون في صد التهديدات العدائية المستمرة.
مع استمرار تطور التهديدات السيبرانية، من الضروري أن تظل المؤسسات على اطلاع دائم بأحدث الأدوات والتقنيات المستخدمة من قبل المهاجمين. يجب أن تتبنى استراتيجيات دفاعية مرنة لضمان سلامتها وأمانها.
