Перешли на Linux ради безопасности? Поздравляем, APT36 уже там вас ждёт

APT36 Transparent Tribe Google Drive Linux CloudSEK вредоносные ярлыки фишинг
Перешли на Linux ради безопасности? Поздравляем, APT36 уже там вас ждёт
APT36 Transparent Tribe Google Drive Linux CloudSEK вредоносные ярлыки фишинг

Так работает новая атака на Linux, против которой бессилен даже опытный глаз.

image

APT36, также известная как Transparent Tribe, активизировала новую шпионскую кампанию против государственных и оборонных структур Индии. Группа, связанная с Пакистаном, действует как минимум с 2013 года и регулярно применяет фишинговые рассылки и кражу учётных данных для доступа к закрытым системам. На этот раз злоумышленники внедрили новую технику заражения, используя файлы «.desktop» в Linux, замаскированные под документы, которые скачивают вредоносные компоненты с Google Drive и устанавливают скрытый канал управления.

По данным CloudSEK, Атака начинается с рассылки ZIP-архивов, в которых находятся поддельные файлы с иконкой PDF, хотя на деле это исполняемые ярлыки Linux. После запуска такой файл инициирует загрузку зашифрованного полезного содержимого с удалённого сервиса, расшифровывает его и помещает во временный каталог. Затем права доступа изменяются, и загруженный компонент запускается в фоне. Чтобы скрыть следы активности и снизить подозрения, одновременно открывается настоящая подставная PDF-документация в браузере Firefox. Визуально всё выглядит легитимно, хотя в этот момент происходит установка скрытого вредоносного модуля.

Загруженный файл представляет собой статически скомпилированный бинарный модуль на Go, который после активации проверяет среду на наличие отладки или запуска в песочнице, чтобы избежать анализа. Если подозрительных признаков не обнаружено, программа закрепляется в системе и устанавливает автоматический запуск при входе пользователя. После этого она создаёт соединение с управляющим сервером через WebSocket и поддерживает постоянный канал для обмена командами. Такая техника позволяет злоумышленникам незаметно контролировать заражённые устройства и собирать конфиденциальные данные в течение длительного времени.

Для маскировки применяются несколько приёмов, включая использование встроенных иконок, чтобы файл выглядел как обычный документ, а также подмену имени исполняемого элемента на видимый заголовок PDF. Вредоносная активность тщательно скрывается: терминал при запуске не открывается, а системные уведомления не отображаются. Это делает атаку особенно опасной для организаций, которые работают с Linux-средами и предполагают высокий уровень безопасности своих рабочих станций.

Команда, проводившая анализ, указывает, что применение Google Drive в качестве источника доставки полезной нагрузки говорит о развитии инструментов группы и усложнении их обнаружения. Выбор тематики фишинговых писем с упоминанием закупок и военных поставок направлен на сотрудников государственных структур и оборонных ведомств, что повышает вероятность успешного открытия заражённых файлов. В случае компрометации злоумышленники получают возможность длительно контролировать системы, выстраивая цепочку слежки и перехвата данных.

Специалисты рекомендуют блокировать обращение к задействованному домену управления, проверять журналы активности на наличие подозрительных соединений и применять расширенный анализ вложений в почтовых системах. Также важно ужесточить контроль на конечных точках, внедрить мониторинг сетевого трафика и регулярно проводить аудит используемых рабочих станций для выявления признаков вторжений. Масштаб угрозы оценивается как значительный, так как кампания затрагивает критически важные структуры и повышает риск утечек секретной информации.