برمجية PeckBirdy الخبيثة الصينية تنشر جناحيها: التجسّس عابر المنصّات يتصدّر المشهد
جيل جديد من البرمجيات الخبيثة المعيارية يستهدف بهدوء مواقع المقامرة وشبكات الحكومات عبر آسيا، مستغلًا ظلال الشيفرة القديمة وتكتيكات متقدمة.
تبدأ القصة بنقرة على ما يبدو تحديثًا اعتياديًا للبرامج - تنبيهًا لتحديث Google Chrome مثلًا. لكن خلف هذه الواجهة يتربّص “PeckBirdy”، وهو طقم أدوات تجسّس سيبراني متخفٍّ يُحدث الآن ضجة في مشهد التهديدات. ومنذ عام 2023 يتتبّعه باحثو Trend Micro، إذ يعيد هذا الإطار المرتبط بالصين كتابة قواعد الهجمات العابرة للمنصّات، جامعًا بين البرمجة النصية على الطريقة القديمة وأبواب خلفية معيارية حديثة للتسلّل بصمت إلى أهداف في القطاعين الخاص والعام.
تكمن قوة PeckBirdy في تعدديته. فهو مكتوب بلغة JScript القديمة من Microsoft، ومصمّم للتخفّي والمرونة، وقادر على تشغيل شيفرة خبيثة عبر بيئات متعددة مع آثار ضئيلة. ويشير خبراء الأمن إلى أن “الشيفرة المُولَّدة ديناميكيًا والمحقونة وقت التشغيل” غالبًا لا تترك أي آثار دائمة، ما يجعله كابوسًا للمدافعين الذين يعتمدون على وسائل حماية نقاط النهاية التقليدية.
ظهر هذا الإطار في حملتين رئيسيتين. بدأت “Shadow-Void-044” في 2023، مستهدفة منصّات المقامرة في الصين عبر حقن نصوص خبيثة تتنكر كتحديثات لـChrome. وقد جرى استدراج مستخدمين غير مرتابين لتنزيل أبواب خلفية مثل MKDoor - وهي برمجية خبيثة لم تكن معروفة سابقًا للباحثين. كما استخدم المهاجمون شهادات مسروقة، وحمولات Cobalt Strike، واستغلّوا ثغرات معروفة في Chrome (مثل CVE-2020-16040) للحفاظ على موطئ قدم.
أما الحملة الثانية، “Shadow-Earth-045”، فقد ظهرت في يوليو 2024 وحوّلت تركيزها إلى مواقع حكومية آسيوية. هنا، حُقنت روابط PeckBirdy في صفحات تسجيل الدخول الرسمية، ما أتاح سرقة بيانات الاعتماد والتحرّك الجانبي باستخدام أداة MSHTA من Microsoft. واللافت أن هذه العملية نزّلت ملفات من بنية تحتية ارتبطت سابقًا بالمجموعة الصينية سيئة السمعة Earth Baxia، رغم أن الإسناد لا يزال غير حاسم. كما نشر المهاجمون بابين خلفيين معياريين: GrayRabbit - المرتبط سابقًا بـUNC3569 - وHoloDonut المكتشف حديثًا، والذي قد يكون ذا صلة بعائلة برمجيات WizardNet الخبيثة.
ما يجعل PeckBirdy خطيرًا على نحو خاص هو استخدامه لثنائيات “العيش على ما هو متاح” (LOLBins) - وهي أدوات نظام شرعية يُعاد توظيفها لأغراض خبيثة. ومن خلال الاندماج في نشاط النظام الطبيعي، تساعد هذه التكتيكات المهاجمين على تفادي الرصد وتعقيد الاستجابة للحوادث. كما أن معيارية الإطار تعني أنه يمكن تكييفه بسرعة لحملات أو أهداف جديدة.
ورغم أن الهويات الدقيقة لجهات التهديد لا تزال ضبابية، فإن كل المؤشرات تشير إلى مجموعات متحالفة مع الدولة الصينية لها تاريخ في التجسّس السيبراني ضد أهداف استراتيجية. ويحثّ الباحثون الأمنيون المؤسسات على التكيّف: “المراقبة المستمرة والصيد الاستباقي للتهديدات أصبحا إلزاميين، لا اختياريين.” وتوصي Trend Micro بأن يدرس المدافعون أحدث تكتيكات المهاجمين وأدواتهم ومؤشراتهم للبقاء متقدمين على PeckBirdy وأمثاله.
ومع انتشار برمجيات خبيثة معيارية عابرة للمنصّات مثل PeckBirdy، يواجه المدافعون لعبة قط وفأر لا تهدأ. ويزداد الخط الفاصل بين سلوك النظام الشرعي والتسلّل الخفي ضبابية، لتصبح اليقظة والقدرة على التكيّف كلمتي السر الجديدتين في حرب الظلال المستمرة للأمن السيبراني.
WIKICROOK
- JScript: JScript هي لغة Microsoft النصية الشبيهة بـJavaScript لأتمتة مهام Windows وتطوير الويب، ويجري أحيانًا استغلالها في الهجمات السيبرانية.
- Backdoor: الباب الخلفي هو طريقة خفية للوصول إلى حاسوب أو خادم مع تجاوز فحوصات الأمان المعتادة، وغالبًا ما يستخدمه المهاجمون للحصول على تحكّم سري.
- Living: “العيش على ما هو متاح” يعني أن المهاجمين يستخدمون أدوات نظام موثوقة (LOLBins) لتنفيذ أفعال خبيثة، ما يجعل نشاطهم متخفيًا وصعب الاكتشاف.
- Command: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا من خادم قيادة وتحكّم (C2)، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
- Credential harvesting: حصاد بيانات الاعتماد هو سرقة تفاصيل تسجيل الدخول مثل أسماء المستخدمين وكلمات المرور، غالبًا عبر مواقع مزيفة أو رسائل بريد إلكتروني خادعة.
