Новая кампания APT36: использование .desktop-файлов Linux для кибершпионажа

2025-08-23 1589 комментарии
С 1 августа 2025 года группа APT36 проводит кибератаки против Индии, используя замаскированные под PDF .desktop-файлы Linux. Вредоносное ПО получает доступ к системе, закрепляется через cron и systemd и подключается к C2 через WebSocket для передачи данных и команд

Хакерская группа APT36 начала применять новую технику атак на государственные и оборонные структуры Индии. По данным исследователей CYFIRMA и CloudSEK, злоумышленники используют файлы формата .desktop в Linux для загрузки вредоносного ПО, что позволяет организовать кражу данных и обеспечить устойчивый доступ к системам жертв.

Методика атаки

Атаки были зафиксированы 1 августа 2025 года и продолжаются по сей день. Жертвам направляются ZIP-архивы через фишинговые письма. Внутри архива находится .desktop-файл, замаскированный под PDF-документ.

Файлы .desktop в Linux обычно представляют собой текстовые ярлыки, которые содержат параметры отображения и запуска приложений. В данном случае при открытии пользователь запускает не PDF, а скрытую команду в поле Exec=, которая:

  • создает временный файл в каталоге /tmp/,

  • выгружает туда зашифрованный полезный код с сервера атакующих или из Google Drive,

  • делает его исполняемым с помощью chmod +x,

  • запускает вредонос в фоне.

Для маскировки скрипт дополнительно открывает безобидный PDF в браузере Firefox, чтобы не вызвать подозрений.

Механизмы скрытности

Хакеры модифицируют конфигурацию файла, добавляя строки:

  • Terminal=false — чтобы не показывать терминал,

  • X-GNOME-Autostart-enabled=true — для автозапуска при каждой загрузке системы.

Таким образом, обычный ярлык превращается в инструмент доставки и закрепления вредоносного ПО, аналогично злоупотреблению .LNK-файлами в Windows.

Особенность атаки заключается в том, что .desktop-файлы являются текстовыми и редко рассматриваются средствами безопасности как угроза, что снижает вероятность их обнаружения.

Характеристика вредоносного ПО

Загружаемый файл представляет собой Go-бинарь ELF, выполняющий функции шпионажа. Он способен:

  • скрывать свое присутствие,

  • закрепляться в системе через cron-задания или systemd-сервисы,

  • устанавливать связь с управляющим сервером через двусторонний WebSocket-канал для передачи данных и удаленного выполнения команд.

Исследователи отмечают, что применение упаковки и обфускации затрудняет анализ вредоносного кода.

Выводы специалистов

По оценке CYFIRMA и CloudSEK, новая кампания указывает на эволюцию тактик APT36. Методы становятся более изощренными и ориентированы на обход стандартных средств защиты.

Linux: обзоры и обновления

Proton Experimental получил исправления для ARC Raiders, The Finals и других игр
Релиз рабочего окружения KDE Plasma 6.5.4: исправление ошибок KWin и улучшение работы с Flatpak
Мнение: MX Linux Fluxbox — лучший выбор для слабых компьютеров
GE-Proton 10-26: новое обновление с интеграцией FEX, улучшениями DLSS и исправлениями игр для Linux и Steam Deck
Рейтинг рабочих окружений Arch Linux 2025: доля KDE Plasma превысила 38%, а GNOME теряет позиции
Трансформация безопасности Linux: от мифа о неуязвимости к необходимости защиты

© . По материалам bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте

Новое на сайте Comss.one ×