中國APT組織自2023年起使用PeckBirdy JavaScript C2框架進行攻擊活動分析

近年來，進階持續性威脅（APT）組織的攻擊活動日益頻繁，且手法不斷演進。根據奇安信威脅情報中心發布的《全球高級持續性威脅（APT）2023年度報告》，至少有80個國家在2023年遭受過APT攻擊，其中中國及周邊地區是主要目標 (奇安信集團, 2024)。本文將聚焦於中國APT組織自2023年起使用的PeckBirdy JavaScript C2框架，分析其特性與攻擊活動。

PeckBirdy JavaScript C2框架分析

PeckBirdy是一個基於JavaScript的命令與控制（C2）框架，其主要特點包括：

跨平台性：由於基於JavaScript，PeckBirdy可以在多種作業系統上運行，增加了攻擊的靈活性。
隱蔽性：JavaScript程式碼可以輕易地嵌入在網頁或文件中，使其更難被偵測。
易於客製化：攻擊者可以根據需求修改和擴展PeckBirdy的功能。

雖然現有資料並未直接提及PeckBirdy框架的具體技術細節，但結合APT組織的常見攻擊手法，我們可以推測其可能的運作方式：

初始入侵：攻擊者可能透過魚叉式網路釣魚、惡意廣告或供應鏈攻擊等方式，將包含惡意JavaScript程式碼的文件或連結傳送給目標。 (奇安信集團, 2024)
程式碼執行：受害者點擊連結或開啟文件後，惡意JavaScript程式碼會在受害者的瀏覽器或系統中執行。
建立C2連線：惡意程式碼會與攻擊者的C2伺服器建立連線，並開始接收指令。
執行惡意行為：攻擊者可以透過C2伺服器，控制受害者的系統，執行資料竊取、橫向移動等惡意行為。

中國APT組織的攻擊活動

奇安信的報告指出，針對中國境內的APT攻擊主要集中在東南沿海地區，受害重災區包括廣東、江蘇、上海、浙江等地 (奇安信集團, 2024)。受攻擊的目標行業主要包括政府機構、科研教育、信息技術、金融商貿和能源行業。這些行業通常掌握大量的敏感資訊，因此成為APT組織的重點目標。

雖然沒有直接證據表明哪些APT組織使用了PeckBirdy，但根據報告中提到的活躍組織，例如APT-Q-27 (金眼狗)、APT-Q-29 (Winnti)、APT-Q-1 (Lazarus)等，這些組織都有能力使用客製化的C2框架進行攻擊 (奇安信集團, 2024)。

偽獵者APT組織也值得關注，該組織曾針對韓國的基金會代表和平昌和平論壇政界人士進行定向攻擊 (ctfiot.com)。攻擊者利用魚叉郵件，誘騙目標下載惡意檔案，這些檔案可能包含惡意的JavaScript程式碼，用於建立C2連線並執行惡意行為。 (ctfiot.com)

防禦建議

面對使用JavaScript C2框架的APT攻擊，企業和個人可以採取以下防禦措施：

加強郵件安全：提高對可疑郵件的警惕，避免點擊不明連結或下載附件。
定期安全掃描：定期使用防毒軟體或安全掃描工具，檢查系統是否存在惡意程式。
限制JavaScript執行：在不影響正常使用的前提下，可以考慮限制JavaScript的執行，例如使用瀏覽器擴充功能或設定安全策略。
加強網路監控：監控網路流量，及時發現異常連線和行為。
實施零信任安全架構： 根據2024年下半年全球APT威脅報告，建議推動零信任架構，持續驗證使用者和設備的身份，限制對內部資源的存取 (tj-un.com)。
及時修補漏洞： 根據2024年下半年全球APT威脅報告，強化邊緣設備防護，及時修補 VPN、防火牆等對外暴露系統的漏洞 (tj-un.com)。