Новая кампания APT36: использование .desktop-файлов Linux для кибершпионажа

2025-08-23 1703 комментарии
С 1 августа 2025 года группа APT36 проводит кибератаки против Индии, используя замаскированные под PDF .desktop-файлы Linux. Вредоносное ПО получает доступ к системе, закрепляется через cron и systemd и подключается к C2 через WebSocket для передачи данных и команд

Хакерская группа APT36 начала применять новую технику атак на государственные и оборонные структуры Индии. По данным исследователей CYFIRMA и CloudSEK, злоумышленники используют файлы формата .desktop в Linux для загрузки вредоносного ПО, что позволяет организовать кражу данных и обеспечить устойчивый доступ к системам жертв.

Методика атаки

Атаки были зафиксированы 1 августа 2025 года и продолжаются по сей день. Жертвам направляются ZIP-архивы через фишинговые письма. Внутри архива находится .desktop-файл, замаскированный под PDF-документ.

Файлы .desktop в Linux обычно представляют собой текстовые ярлыки, которые содержат параметры отображения и запуска приложений. В данном случае при открытии пользователь запускает не PDF, а скрытую команду в поле Exec=, которая:

  • создает временный файл в каталоге /tmp/,

  • выгружает туда зашифрованный полезный код с сервера атакующих или из Google Drive,

  • делает его исполняемым с помощью chmod +x,

  • запускает вредонос в фоне.

Для маскировки скрипт дополнительно открывает безобидный PDF в браузере Firefox, чтобы не вызвать подозрений.

Механизмы скрытности

Хакеры модифицируют конфигурацию файла, добавляя строки:

  • Terminal=false — чтобы не показывать терминал,

  • X-GNOME-Autostart-enabled=true — для автозапуска при каждой загрузке системы.

Таким образом, обычный ярлык превращается в инструмент доставки и закрепления вредоносного ПО, аналогично злоупотреблению .LNK-файлами в Windows.

Особенность атаки заключается в том, что .desktop-файлы являются текстовыми и редко рассматриваются средствами безопасности как угроза, что снижает вероятность их обнаружения.

Характеристика вредоносного ПО

Загружаемый файл представляет собой Go-бинарь ELF, выполняющий функции шпионажа. Он способен:

  • скрывать свое присутствие,

  • закрепляться в системе через cron-задания или systemd-сервисы,

  • устанавливать связь с управляющим сервером через двусторонний WebSocket-канал для передачи данных и удаленного выполнения команд.

Исследователи отмечают, что применение упаковки и обфускации затрудняет анализ вредоносного кода.

Выводы специалистов

По оценке CYFIRMA и CloudSEK, новая кампания указывает на эволюцию тактик APT36. Методы становятся более изощренными и ориентированы на обход стандартных средств защиты.

Linux: обзоры и обновления

В Ubuntu добавят локальный ИИ через snap и агентные сценарии
Сравнение Ubuntu 26.04 и Windows 11: ОЗУ, загрузка процессора и время старта
Обновления Linux за неделю (20 – 26 апреля 2026 года): релизы дистрибутивов, драйверы и приложения
Релиз CachyOS 260426: замена Octopi на Shelly, добавили DoH и kyber для NVMe
Microsoft возможно переведёт Azure Linux на основу Fedora
Новости разработки KDE Plasma за 19–25 апреля 2026: меньше расход батареи

© . По материалам bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте

Новое на сайте Comss.one ×