Новая кампания APT36: использование .desktop-файлов Linux для кибершпионажа

2025-08-23 1665 комментарии
С 1 августа 2025 года группа APT36 проводит кибератаки против Индии, используя замаскированные под PDF .desktop-файлы Linux. Вредоносное ПО получает доступ к системе, закрепляется через cron и systemd и подключается к C2 через WebSocket для передачи данных и команд

Хакерская группа APT36 начала применять новую технику атак на государственные и оборонные структуры Индии. По данным исследователей CYFIRMA и CloudSEK, злоумышленники используют файлы формата .desktop в Linux для загрузки вредоносного ПО, что позволяет организовать кражу данных и обеспечить устойчивый доступ к системам жертв.

Методика атаки

Атаки были зафиксированы 1 августа 2025 года и продолжаются по сей день. Жертвам направляются ZIP-архивы через фишинговые письма. Внутри архива находится .desktop-файл, замаскированный под PDF-документ.

Файлы .desktop в Linux обычно представляют собой текстовые ярлыки, которые содержат параметры отображения и запуска приложений. В данном случае при открытии пользователь запускает не PDF, а скрытую команду в поле Exec=, которая:

  • создает временный файл в каталоге /tmp/,

  • выгружает туда зашифрованный полезный код с сервера атакующих или из Google Drive,

  • делает его исполняемым с помощью chmod +x,

  • запускает вредонос в фоне.

Для маскировки скрипт дополнительно открывает безобидный PDF в браузере Firefox, чтобы не вызвать подозрений.

Механизмы скрытности

Хакеры модифицируют конфигурацию файла, добавляя строки:

  • Terminal=false — чтобы не показывать терминал,

  • X-GNOME-Autostart-enabled=true — для автозапуска при каждой загрузке системы.

Таким образом, обычный ярлык превращается в инструмент доставки и закрепления вредоносного ПО, аналогично злоупотреблению .LNK-файлами в Windows.

Особенность атаки заключается в том, что .desktop-файлы являются текстовыми и редко рассматриваются средствами безопасности как угроза, что снижает вероятность их обнаружения.

Характеристика вредоносного ПО

Загружаемый файл представляет собой Go-бинарь ELF, выполняющий функции шпионажа. Он способен:

  • скрывать свое присутствие,

  • закрепляться в системе через cron-задания или systemd-сервисы,

  • устанавливать связь с управляющим сервером через двусторонний WebSocket-канал для передачи данных и удаленного выполнения команд.

Исследователи отмечают, что применение упаковки и обфускации затрудняет анализ вредоносного кода.

Выводы специалистов

По оценке CYFIRMA и CloudSEK, новая кампания указывает на эволюцию тактик APT36. Методы становятся более изощренными и ориентированы на обход стандартных средств защиты.

Linux: обзоры и обновления

Технические различия между терминами Linux и GNU/Linux и причины устоявшейся терминологии
System76 выпустила COSMIC Desktop 1.0.5 и представила дорожную карту развития Epoch 2 и 3
Valve задерживает выпуск Steam Machine и Steam Frame из-за дефицита комплектующих
Ubuntu 24.04.4 LTS получила HWE-обновление с ядром Linux 6.17 и Mesa 25.2.7
AMD подтвердила выход Steam Machine от Valve в начале 2026 года
Почему архитектура неизменяемых дистрибутивов Linux избыточна для домашних ПК

© . По материалам bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте

Новое на сайте Comss.one ×