Imagen Principal

Este informe detalla dos campañas de amenazas que utilizan el framework JavaScript PeckBirdy, atribuidas a actores de amenazas persistentes avanzadas (APT) alineados con China. Las campañas, denominadas temporalmente SHADOW-VOID-044 y SHADOW-EARTH-045, demuestran la creciente sofisticación y adaptabilidad de estos grupos.

Análisis de la Campaña SHADOW-VOID-044

La campaña SHADOW-VOID-044 ha sido vinculada con el actor de amenazas UNC3569, con una confianza de moderada a alta, basándose en la superposición de TTPs y víctimas.

  • Vínculo con UNC3569: Se observó el uso del backdoor GRAYRABBIT, previamente asociado con UNC3569. El servidor de Comando y Control (C&C) center.myrnicrosoft.com es el mismo utilizado por UNC3569, y el objetivo de la campaña (industria china del juego) coincide con los objetivos conocidos de este actor. La implementación de GRAYRABBIT en esta campaña utiliza una técnica de DLL sideloading combinada con la función UuidFromStringA de PowerShell.
  • Vínculo con TheWizard: La campaña también desplegó el backdoor HOLODONUT. Algunas muestras de HOLODONUT se conectaron al mismo servidor C&C (mkdmcdn.com) utilizado por el grupo APT TheWizard. TheWizard también ha utilizado el backdoor DarkNimbus, asociado al actor Earth Minotaur.
  • Certificado Robado: SHADOW-VOID-044 utilizó una muestra de Cobalt Strike firmada con un certificado robado de una compañía de juegos surcoreana. Este mismo certificado fue utilizado en la campaña BIOPASS RAT, vinculada al actor Earth Lusca.
  • Técnica de Detección de Infección: Las campañas BIOPASS RAT y MKDOOR emplean una técnica para verificar la infección: abren un servidor HTTP local en un puerto alto para que un script de ataque de “watering hole” pueda escanear y confirmar la presencia del backdoor en el host.

Análisis de la Campaña SHADOW-EARTH-045

Esta campaña se centró en una institución educativa filipina en julio de 2024.

  • TTPs: El actor de amenazas ejecutó un comando MSHTA para conectarse a github.githubassets.net y lanzar PeckBirdy en un servidor IIS comprometido. Simultáneamente, se descargaron archivos de la dirección IP 47.238.184.9, previamente vinculada a Earth Baxia (aunque la atribución a Earth Baxia es de baja confianza).
  • Vínculo Global: El mismo dominio de PeckBirdy y la dirección IP utilizada también fueron reportados en ataques contra una organización gubernamental de TI africana.

Conclusiones y Desafíos de Detección

El framework PeckBirdy es un ejemplo de la evolución de las técnicas de ataque. Utiliza TTPs de “living-off-the-land binaries” (LOLBins) para eludir las defensas tradicionales de endpoints y desplegar backdoors modulares como MKDOOR y HOLODONUT.

La detección de frameworks JavaScript maliciosos como PeckBirdy representa un desafío significativo debido a:

  • Generación dinámica de código.
  • Inyección de código en tiempo de ejecución.
  • Ausencia de artefactos de archivos persistentes.

Referencias

  • Actores de Amenazas: SHADOW-VOID-044, SHADOW-EARTH-045, UNC3569, TheWizard, Earth Minotaur, Earth Lusca, Earth Baxia.
  • Backdoors y Frameworks: PeckBirdy, GRAYRABBIT, HOLODONUT, MKDOOR, BIOPASS RAT, Cobalt Strike.
  • Indicadores de Compromiso (IoCs):
    • center.myrnicrosoft.com (C&C UNC3569)
    • mkdmcdn.com (C&C TheWizard)
    • IP: 47.238.184.9 (Earth Baxia)
    • Dominio: oss-cdn.com (servidor SHADOW-VOID-044)
    • Certificado (SHA1): bbd2b9b87f968ed88210d4261a1fe30711e8365b (robado, usado en BIOPASS RAT)
    • HASH (SHA256): 162cc325ab7b6e70edb6f4d0bc0e52130c56903f (muestra Cobalt Strike)

Comfidentia

Qué haríamos en estos casos?

Ciberseguridad de Cumplimiento | ISO 27001, PCI DSS y Auditorías - Comfidentia

Servicios de cumplimiento normativo: auditorías de compliance, certificación ISO 27001, PCI DSS, capacitación, gobernanza digital y cumplimiento regulatorio. Asegura la confianza de tus clientes y mantén una reputación impecable.

Documentación Clara y Seguridad Mejorada

Generamos procesos detallados y comprensibles para tu organización, eliminando la dependencia de personal específico y garantizando la eficiencia. Además, con nuestra Capacitación Integral en Seguridad, aprenderás a proteger tu infraestructura y sensibilizar a tu equipo sobre la importancia de la ciberseguridad. ¡Optimiza tu empresa y fortalece tus defensas digitales hoy!

Auditorías Expertas para una Infraestructura Segura

Ofrecemos diferentes servicios de auditoría, como análisis exhaustivo de todos los riesgos y vulnerabilidades en tu arquitectura o infraestructura, y priorización de soluciones sin afectar tu negocio. Además, identificamos cualquier cambio de configuración realizado, ya sea autorizado o no autorizado. Con nuestro servicio de Reconocimiento Arquitectónico, revisamos cada punto de conexión, servicio, API y elemento de comunicaciones para generar diagramas precisos que te permitirán tener una vista clara de tu arquitectura crítica. Y si necesitas más, también creamos diagramas topológicos de toda tu red. ¡No pongas tu negocio en riesgo, confía en nosotros!

Cumple con Estándares ISO y Fortalece tu Seguridad

Te acompañamos en todo el proceso de certificación ISO 27001, desde el análisis inicial hasta el mantenimiento post-certificación, asegurando el cumplimiento continuo. Cumple con los estándares internacionales y fortalece la seguridad de tu organización.

Cumplimiento PCI DSS

Si tu empresa procesa, almacena o transmite datos de tarjetas de pago, te ayudamos a cumplir con los estándares PCI DSS y mantener la certificación.

Capacitación y Entrenamiento

Capacitamos a tu equipo en seguridad y cumplimiento mediante programas de entrenamiento especializados y simulacros prácticos.

Gobernanza Digital

Establecemos marcos de gobernanza para la seguridad de la información, alineados con tus objetivos de negocio y requisitos de cumplimiento.