Çin Destekli Hackerlar 2023’ten Beri PeckBirdy JavaScript C2 Çerçevesiyle Hedefte

Anasayfa » Çin Destekli Hackerlar 2023’ten Beri PeckBirdy JavaScript C2 Çerçevesiyle Hedefte
APT, Saldırı Analizi, Zafiyetler
Ocak 31, 2026Ocak 31, 2026Tarafından Cybernews.TR
0
Çin Destekli Hackerlar 2023’ten Beri PeckBirdy JavaScript C2 Çerçevesiyle Hedefte

Son analizler, Çin bağlantılı tehdit aktörlerinin 2023 yılından itibaren JScript tabanlı PeckBirdy komut ve kontrol (C2) çerçevesini kullanarak çeşitli sektörlerde siber saldırılar düzenlediğini ortaya koyuyor. Bu çerçeve, özellikle Asya bölgesindeki hükümet kurumları, özel kuruluşlar ve Çin kumar endüstrisi gibi hedeflerde aktif olarak kullanılıyor.

Saldırının Genel Çerçevesi

PeckBirdy, JavaScript ile yazılmış ve farklı yürütme ortamlarında çalışabilen esnek bir C2 çerçevesi olarak öne çıkıyor. Web tarayıcıları, MSHTA, WScript, Classic ASP, Node.js ve .NET ScriptControl gibi çeşitli platformlarda faaliyet gösterebiliyor. Bu sayede saldırganlar, LOLBins (living-off-the-land ikili dosyaları) kullanarak sistemlere sızıyor ve zararlı kodları gizli şekilde çalıştırabiliyor.

2023 yılında Çinli kumar sitelerine yönelik yapılan saldırılarda, PeckBirdy betikleri ana zararlı yükü indirip yürütmek için JavaScript’in uzaktan teslimi ve çalıştırılmasını sağladı. Bu saldırıların amacı, Google Chrome için sahte yazılım güncelleme sayfaları oluşturarak kullanıcıları sahte güncelleme dosyalarını indirmeye ikna etmek ve makineleri kötü amaçlı yazılımlarla enfekte etmekti. Bu faaliyetler SHADOW-VOID-044 kampanyası olarak takip ediliyor.

Hangi Sistemler Risk Altında?

SHADOW-VOID-044 dışında, Temmuz 2024’te ortaya çıkan SHADOW-EARTH-045 kampanyası da PeckBirdy’yi kullanarak Asya’daki hükümet kurumları ve özel kuruluşları hedef aldı. Özellikle Filipinler’deki bir eğitim kurumu bu saldırıların odağında yer aldı. Bu kampanyada, hükümet sitelerine PeckBirdy bağlantıları enjekte edilerek kimlik bilgisi toplama amaçlı zararlı betikler sunuldu.

Her iki kampanyada da saldırganlar, MSHTA ve .NET tabanlı ScriptControl kullanarak uzaktan erişim kanalları oluşturdu. Ayrıca, HOLODONUT ve MKDOOR adlı modüler arka kapılarla sistemlerde kalıcılık sağlandı. HOLODONUT .NET tabanlı olup NEXLOAD indiricisiyle başlatılırken, MKDOOR da farklı modülleri yükleyip çalıştırabilen bir arka kapı olarak işlev görüyor.

Saldırı Zinciri ve Teknik Detaylar

PeckBirdy saldırı zinciri genellikle şu adımlardan oluşuyor:

  • Phishing veya sosyal mühendislik yoluyla kullanıcıların sahte güncelleme sayfalarına yönlendirilmesi.
  • JavaScript betiklerinin uzaktan indirilip yürütülmesi, böylece ana zararlı yükün sisteme yerleşmesi.
  • WebSocket, Adobe Flash ActiveX veya Comet protokolleriyle C2 sunucusuyla iletişim kurulması.
  • İkinci aşama betiklerin indirilmesi; örneğin, Google Chrome V8 motorundaki CVE-2020-16040 (CVSS 6.5) güvenlik açığını istismar eden kodlar.
  • Modüler arka kapılar (HOLODONUT, MKDOOR) aracılığıyla kalıcılık ve yatay hareket.

Bu saldırıların arkasındaki aktörlerin, UNC3569, Earth Baxia, APT41 gibi Çin yanlısı devlet destekli gruplarla bağlantılı olduğu değerlendiriliyor. Ayrıca, GRAYRABBIT ve BIOPASS RAT gibi zararlılarla altyapı paylaşımı ve ortak sertifika kullanımı tespit edildi.

Siber Güvenlik Ekipleri İçin Öneriler

  • JavaScript ve JScript tabanlı betiklerin çalışma ortamlarını ve izinlerini kısıtlayın.
  • WebSocket ve diğer C2 protokollerine yönelik ağ trafiğini EDR ve SIEM çözümleriyle izleyin.
  • MSHTA ve ScriptControl gibi yerleşik Windows araçlarının kötüye kullanımını tespit etmek için davranış tabanlı kurallar oluşturun.
  • Kritik sistemlerde modüler arka kapıların yüklenmesini engellemek için uygulama beyaz listeleme (application whitelisting) kullanın.
  • Güncel yamaları (örneğin CVE-2020-16040) düzenli olarak uygulayın ve bulut ortamlarında ağ segmentasyonu yaparak saldırı yüzeyini daraltın.
  • Phishing saldırılarına karşı e-posta güvenliği çözümlerini güçlendirin ve kullanıcı eğitimleri düzenleyin.
  • Olay müdahale (incident response) planlarını güncelleyerek, dinamik ve çalışma zamanında enjekte edilen kodlara karşı hızlı aksiyon alın.

Kurumsal Ortamlarda Olası Senaryo

Örneğin bir finans kurumunda, çalışanların kullandığı web uygulamalarına PeckBirdy bağlantıları enjekte edilirse, saldırganlar kimlik bilgilerini toplayabilir ve sistemlere uzaktan erişim sağlayabilir. Bu durum, finansal verilerin sızmasına ve operasyonel aksamalara yol açabilir. Bu nedenle, bulut güvenliği ve ağ segmentasyonu stratejileri kritik önem taşır.

PeckBirdy gibi dinamik JavaScript tabanlı C2 çerçevelerinin tespiti, çalışma zamanında oluşturulan ve enjekte edilen kodlar nedeniyle zordur. Bu nedenle, uç nokta güvenlik çözümlerinin yanı sıra davranış analizi ve anomali tespiti yapan sistemlerin kullanılması gerekmektedir.

, , , , , , ,