Новая кампания APT36: использование .desktop-файлов Linux для кибершпионажа

2025-08-23 1511 комментарии
С 1 августа 2025 года группа APT36 проводит кибератаки против Индии, используя замаскированные под PDF .desktop-файлы Linux. Вредоносное ПО получает доступ к системе, закрепляется через cron и systemd и подключается к C2 через WebSocket для передачи данных и команд

Хакерская группа APT36 начала применять новую технику атак на государственные и оборонные структуры Индии. По данным исследователей CYFIRMA и CloudSEK, злоумышленники используют файлы формата .desktop в Linux для загрузки вредоносного ПО, что позволяет организовать кражу данных и обеспечить устойчивый доступ к системам жертв.

Методика атаки

Атаки были зафиксированы 1 августа 2025 года и продолжаются по сей день. Жертвам направляются ZIP-архивы через фишинговые письма. Внутри архива находится .desktop-файл, замаскированный под PDF-документ.

Файлы .desktop в Linux обычно представляют собой текстовые ярлыки, которые содержат параметры отображения и запуска приложений. В данном случае при открытии пользователь запускает не PDF, а скрытую команду в поле Exec=, которая:

  • создает временный файл в каталоге /tmp/,

  • выгружает туда зашифрованный полезный код с сервера атакующих или из Google Drive,

  • делает его исполняемым с помощью chmod +x,

  • запускает вредонос в фоне.

Для маскировки скрипт дополнительно открывает безобидный PDF в браузере Firefox, чтобы не вызвать подозрений.

Механизмы скрытности

Хакеры модифицируют конфигурацию файла, добавляя строки:

  • Terminal=false — чтобы не показывать терминал,

  • X-GNOME-Autostart-enabled=true — для автозапуска при каждой загрузке системы.

Таким образом, обычный ярлык превращается в инструмент доставки и закрепления вредоносного ПО, аналогично злоупотреблению .LNK-файлами в Windows.

Особенность атаки заключается в том, что .desktop-файлы являются текстовыми и редко рассматриваются средствами безопасности как угроза, что снижает вероятность их обнаружения.

Характеристика вредоносного ПО

Загружаемый файл представляет собой Go-бинарь ELF, выполняющий функции шпионажа. Он способен:

  • скрывать свое присутствие,

  • закрепляться в системе через cron-задания или systemd-сервисы,

  • устанавливать связь с управляющим сервером через двусторонний WebSocket-канал для передачи данных и удаленного выполнения команд.

Исследователи отмечают, что применение упаковки и обфускации затрудняет анализ вредоносного кода.

Выводы специалистов

По оценке CYFIRMA и CloudSEK, новая кампания указывает на эволюцию тактик APT36. Методы становятся более изощренными и ориентированы на обход стандартных средств защиты.

Linux: обзоры и обновления

Релиз KDE Plasma 6.5: Что нового
Производительность AMD Ryzen 9 9950X и 9950X3D на Windows 11 и Ubuntu: результаты тестов
Обновления Linux за неделю: 13 – 19 октября 2025 года
GE-Proton 10-21 для Steam Deck и Linux исправляет проблемы с Blue Protocol, Black Desert, Battle.net и Ubisoft Connect
Proton Experimental получил исправления для Assassin’s Creed Shadows, Age of Empires: Definitive Edition и других игр
Wine 10.17: новый рендерер EGL, Mono 10.3 и исправления Metro 2033

© . По материалам bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте

Новое на сайте Comss.one ×