Новая кампания APT36: использование .desktop-файлов Linux для кибершпионажа

2025-08-23 503 комментарии
С 1 августа 2025 года группа APT36 проводит кибератаки против Индии, используя замаскированные под PDF .desktop-файлы Linux. Вредоносное ПО получает доступ к системе, закрепляется через cron и systemd и подключается к C2 через WebSocket для передачи данных и команд

Хакерская группа APT36 начала применять новую технику атак на государственные и оборонные структуры Индии. По данным исследователей CYFIRMA и CloudSEK, злоумышленники используют файлы формата .desktop в Linux для загрузки вредоносного ПО, что позволяет организовать кражу данных и обеспечить устойчивый доступ к системам жертв.

Методика атаки

Атаки были зафиксированы 1 августа 2025 года и продолжаются по сей день. Жертвам направляются ZIP-архивы через фишинговые письма. Внутри архива находится .desktop-файл, замаскированный под PDF-документ.

Файлы .desktop в Linux обычно представляют собой текстовые ярлыки, которые содержат параметры отображения и запуска приложений. В данном случае при открытии пользователь запускает не PDF, а скрытую команду в поле Exec=, которая:

  • создает временный файл в каталоге /tmp/,

  • выгружает туда зашифрованный полезный код с сервера атакующих или из Google Drive,

  • делает его исполняемым с помощью chmod +x,

  • запускает вредонос в фоне.

Для маскировки скрипт дополнительно открывает безобидный PDF в браузере Firefox, чтобы не вызвать подозрений.

Механизмы скрытности

Хакеры модифицируют конфигурацию файла, добавляя строки:

  • Terminal=false — чтобы не показывать терминал,

  • X-GNOME-Autostart-enabled=true — для автозапуска при каждой загрузке системы.

Таким образом, обычный ярлык превращается в инструмент доставки и закрепления вредоносного ПО, аналогично злоупотреблению .LNK-файлами в Windows.

Особенность атаки заключается в том, что .desktop-файлы являются текстовыми и редко рассматриваются средствами безопасности как угроза, что снижает вероятность их обнаружения.

Характеристика вредоносного ПО

Загружаемый файл представляет собой Go-бинарь ELF, выполняющий функции шпионажа. Он способен:

  • скрывать свое присутствие,

  • закрепляться в системе через cron-задания или systemd-сервисы,

  • устанавливать связь с управляющим сервером через двусторонний WebSocket-канал для передачи данных и удаленного выполнения команд.

Исследователи отмечают, что применение упаковки и обфускации затрудняет анализ вредоносного кода.

Выводы специалистов

По оценке CYFIRMA и CloudSEK, новая кампания указывает на эволюцию тактик APT36. Методы становятся более изощренными и ориентированы на обход стандартных средств защиты.

Linux: обзоры и обновления

KDE Plasma 6.5 получит мастер первоначальной настройки и улучшения интерфейса
Новая кампания APT36: использование .desktop-файлов Linux для кибершпионажа
Тест AMD Ryzen AI 5 340: сравнение проивзодительности Windows 11 и Ubuntu 25.04
Релиз отечественного дистрибутива Simply Linux 11: Что нового
Доступен Simply Linux 11.0: поддержка видеокарт NVIDIA 2010–2025 года, PortProton для Windows-игр и новые инструменты безопасности
Proton от Valve: спустя 7 лет — настоящий прорыв в Linux-гейминге

© . По материалам bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте

Новое на сайте Comss.one ×