Это не баг, это JScript. Почему ваш антивирус бесполезен против новых китайских закладок
NewsMakerПуть к данным государственной важности оказался гораздо короче, чем предполагали аналитики.
Специалисты компании Trend Micro выявили активное использование вредоносного JavaScript-фреймворка PeckBirdy, который применяют группы, связанные с китайскими государственными структурами. Этот инструмент задействован как минимум с 2023 года и используется в атаках против различных целей, включая сайты азартных игр в Китае, государственные учреждения и частные организации в странах Азии.
PeckBirdy отличается гибкостью и способностью работать в разных средах исполнения благодаря использованию устаревшего, но универсального языка JScript. Такая реализация позволяет запускать фреймворк через встроенные средства Windows, обходя стандартные механизмы защиты. Впервые специалисты обратили внимание на PeckBirdy после обнаружения зловредных скриптов на китайских сайтах, связанных с азартными играми. Эти скрипты загружали основной вредоносный код, который в дальнейшем использовался для удалённой доставки других JavaScript-компонентов.
Одной из целей подобных атак становится распространение поддельных страниц обновлений для браузера Google Chrome. Жертвам предлагается загрузить фальшивые файлы обновлений, что приводит к установке вредоносного ПО. Эта кампания отслеживается под кодовым названием SHADOW-VOID-044. В её рамках были обнаружены дополнительные скрипты, направленные на эксплуатацию уязвимостей браузера, организацию обратных соединений через TCP, распространение вредоносных окон с социальным инжинирингом и загрузку бэкдоров через Electron JS.
Вторая активная кампания с использованием PeckBirdy началась летом 2024 года и получила название SHADOW-EARTH-045. В ходе этой активности злоумышленники внедряли ссылки на вредоносные скрипты прямо в страницы азиатских правительственных сайтов. В одном случае была скомпрометирована страница авторизации правительственного ресурса, в другом — использовался MSHTA для запуска фреймворка как канала удалённого доступа внутри частной организации. Кроме того, злоумышленники задействовали исполняемый файл на платформе .NET, чтобы запускать скрипты через ScriptControl.
Специалисты компании Trend Micro выявили активное использование вредоносного JavaScript-фреймворка PeckBirdy, который применяют группы, связанные с китайскими государственными структурами. Этот инструмент задействован как минимум с 2023 года и используется в атаках против различных целей, включая сайты азартных игр в Китае, государственные учреждения и частные организации в странах Азии.
PeckBirdy отличается гибкостью и способностью работать в разных средах исполнения благодаря использованию устаревшего, но универсального языка JScript. Такая реализация позволяет запускать фреймворк через встроенные средства Windows, обходя стандартные механизмы защиты. Впервые специалисты обратили внимание на PeckBirdy после обнаружения зловредных скриптов на китайских сайтах, связанных с азартными играми. Эти скрипты загружали основной вредоносный код, который в дальнейшем использовался для удалённой доставки других JavaScript-компонентов.
Одной из целей подобных атак становится распространение поддельных страниц обновлений для браузера Google Chrome. Жертвам предлагается загрузить фальшивые файлы обновлений, что приводит к установке вредоносного ПО. Эта кампания отслеживается под кодовым названием SHADOW-VOID-044. В её рамках были обнаружены дополнительные скрипты, направленные на эксплуатацию уязвимостей браузера, организацию обратных соединений через TCP, распространение вредоносных окон с социальным инжинирингом и загрузку бэкдоров через Electron JS.
Вторая активная кампания с использованием PeckBirdy началась летом 2024 года и получила название SHADOW-EARTH-045. В ходе этой активности злоумышленники внедряли ссылки на вредоносные скрипты прямо в страницы азиатских правительственных сайтов. В одном случае была скомпрометирована страница авторизации правительственного ресурса, в другом — использовался MSHTA для запуска фреймворка как канала удалённого доступа внутри частной организации. Кроме того, злоумышленники задействовали исполняемый файл на платформе .NET, чтобы запускать скрипты через ScriptControl.