Киберразведывательная группа CYFIRMA обнаружила новую кампанию кибершпионажа, проводимую APT36 (также известной как Transparent Tribe). Эта группа, связанная с Пакистаном, уже не первый год атакует индийские государственные и оборонные структуры, но в этот раз изменила тактику, переключившись на Linux-системы, в частности на BOSS Linux - дистрибутив, широко используемый индийскими госучреждениями.
Описание
Атака начинается с фишингового письма, в котором жертве предлагается открыть архив "Cyber-Security-Advisory.zip". Внутри него содержится поддельный .desktop-файл, замаскированный под легитимный ярлык. При его запуске активируется двойной механизм: во-первых, загружается и открывается документ в LibreOffice Impress (HTML-файл с iframe, выдаваемый за презентацию), отвлекая внимание пользователя, а во-вторых, в фоновом режиме скачивается вредоносный ELF-бинарный файл "BOSS.elf" (переименованный в "client.elf"). Этот исполняемый файл написан на Go и работает скрытно, используя команды вроде "nohup" и перенаправляя вывод в "/dev/null", чтобы избежать обнаружения.
После заражения вредоносная программа прописывает себя в системе, размещаясь в директории "/tmp", и устанавливает соединение с командным сервером (C2) по адресу 101.99.92.182:12520. Далее начинается сбор данных: собирается информация о системе (имя хоста, CPU, оперативная память), сканируются диски в поисках важных файлов, а также делаются скриншоты рабочего стола с помощью библиотеки "github.com/kbinani/screenshot". Все это позволяет злоумышленникам не только собрать разведывательные данные, но и адаптировать дальнейшие атаки под конкретную среду.
Особенностью этой кампании является адаптация инструментов APT36 под Linux, что усложняет обнаружение. Например, логирование происходит через "main.junkcalc2", что помогает вредоносу оставаться незаметным в защищенных окружениях. Владельцы серверов на базе BOSS Linux должны серьезно отнестись к угрозе, особенно учитывая, что APT36 уже давно специализируется на целевых атаках против индийской инфраструктуры.
Эволюция APT36 демонстрирует, что государственные хакерские группировки не стоят на месте и активно совершенствуют инструменты, адаптируясь под новые платформы. В условиях растущих киберугроз ключевым фактором безопасности становится не только технологическая защита, но и осведомленность пользователей, а также оперативное обновление защитных механизмов. Оставаться на шаг впереди таких угроз - критически важно для национальной безопасности.
Индикаторы компрометации
IPv4
- 101.99.92.182
- 169.254.169.254
Domains
- modgovin.onthewifi.com
- sorlastore.com
URLs
- http://169.254.169.254/latest/meta-data/ami-id
- https://govin.sorlastore.com/uploads/BOSS.elf
- https://govin.sorlastore.com/uploads/Cyber-Security-Advisory.pptx
SHA256
- 167b387005d6d2a55ad282273c58d1786a2ee0fa3e7e0cb361d4d61d8618ee5f
- 608fff2cd4b727799be762b95d497059a202991eb3401a55438071421b9b5e7a
- ace379265be7f848d512b27d6ca95e43cef46a81dc15d1ad92ec6f494eed42ab
- e528799a29e9048c1e71b78223311cad2699d035a731d1a6664fc8ddd0642064
