Indiai BOSS Linux rendszerek kihasználása
A Cyfirma kutatása szerint az APT36 (Transparent Tribe) legújabb kiberkémkedési kampányáról, amely az indiai BOSS Linux rendszereket célozza. Az APT36 célba vette az indiai kormányzati infrastruktúrában széles körben használt BOSS Linux operációs rendszert. A támadás első lépéseiben spear phishing üzenetek révén juttatták be a kártékony komponenseket, amelyek olyan Linuxos .desktop fájlok használtak, melyek ártalmatlan PDF dokumentumnak tűnnek — elfedve azonban alattuk a tényleges kártevőt.
A támadás során a felhasználó azt hiszi, egy PDF-et nyit meg, valójában egy .desktop fájlon keresztül parancsok futnak le, letöltik a hexadecimálisan kódolt payloadot, futtatható állományt készítenek belőle, majd észrevétlenül elindítják. Eközben a Firefox böngésző egy valós PDF-et jelenít meg álcaként, hogy fenntartsa a felhasználó bizalmát.
A ma már széleskörben alkalmazott állandó hozzáférés modul keretében ezek a .desktop fájlok automatikus indítást is beállítanak, így minden bejelentkezéskor újraaktálódnak. A háttérben működő rosszindulatú ELF payload Go nyelven írt, és biztonságosan titkosított csatornán keresztül tart kapcsolatot a C2 szerverrel. Képes parancsokat fogadni, adatokat kiszivárogtatni, képernyőképet készíteni, vagy akár távoli parancsokat végrehajtani.
Az APT36 már nem csak Windows-alapú eszközöket vesz célba, hanem kifejezetten Linux rendszereken is aktívan terjeszkedik. Az egész művelet során a támadók alkalmazkodnak a céleszközök operációs rendszeréhez, és így jelentősen növelik a sikeres behatolás esélyét, miközben a hagyományos védekezési megoldásokat — melyek .desktopfájlokra rendszerint nem fókuszálnak — hatékonyan kijátsszák.
