APT36 (Pakistan-linked) нацелилась на Linux-системы: вредоносный .desktop-файл используется как дроппер

Специализированная кибергруппа APT36, известная также как Transparent Tribe, развивает свои инструменты кибершпионажа и теперь активно атакует системы на базе Linux — особенно дистрибутив BOSS Linux, популярный среди государственных учреждений Индии .

Суть новой угрозы

APT36 рассылает фишинговые письма с ZIP-архивами, содержащими вредоносный .desktop файл — обычное для Linux текстовое приложение-запускатель (аналог ярлыков в Windows). Пользователь, приняв файл за PDF-документ, запускает его — и в фоновом режиме происходит:

1. Загрузка и запуск вредоносного ELF-бинарника, написанного на Go;

2. Открытие поддельного PDF (PowerPoint) в браузере для отвлечения внимания;

3. Установка устойчивого присутствия — с помощью cron или systemd, автозапуск .desktop при входе (через X-GNOME-Autostart), выполнение в скрытом режиме при помощи атрибута Terminal=false .

Технические особенности

Текст .desktop файла умышленно раздут — инженеры обнаружили файлы размером более 1 МБ, заполненные миллионами символов #, чтобы обойти антивирусные фильтры . Сам вредоносный ELF-файл обеспечивает:

• Сетевое взаимодействие через WebSocket (для управления и кражи данных);

• Возможную регистрацию через cron или systemd;

• Постоянный скрытый запуск и скрытую командно-управляющую связь .

Почему это опасно

• .desktop файлы обычно текстовые, а не исполняемые, поэтому системы защиты Linux часто их не отслеживают как угрозу;

• централизованное использование BOSS Linux создает идеальную поверхность атаки именно для госструктур Индии;

• использование Google Drive и других легитимных сервисов осложняет детекцию фишинга и C2 трафика .

Рекомендации по защите

Киберспециалисты рекомендуют:

• Усилить фильтрацию входящей почты и запретить автоматический запуск .desktop файлов;

• Обучать сотрудников распознавать подозрительные аттачи, особенно с .desktop расширением;

• Ограничить выполнение файлов из общедоступных директорий (/tmp) с опцией noexec;

• Внедрить мониторинг поведения с EDR/IDS, отслеживающий необычные команды (curl, chmod, cron и т.д.);

• Интегрировать индикаторы компрометации (IOCs) от CYFIRMA и CloudSEK в SIEM / IDS/IPS системы .