APT36 атакует Linux-системы индийского правительства через вредоносные ярлыки .desktop

Кампания начинается с целевых фишинговых писем, предназначенных для того, чтобы заставить получателей открыть специально сконструированные файлы ярлыков Linux (.desktop). После выполнения эти файлы в фоновом режиме незаметно загружают и запускают вредоносные компоненты, одновременно показывая пользователю безобидное содержимое. Такой подход обеспечивает скрытный первоначальный доступ и последующую эксплуатацию системы.

Способность APT36 адаптировать методы доставки в зависимости от операционной экосистемы жертвы значительно повышает эффективность их кампаний. Эта стратегия укрепляет перспективы группировки в достижении долгосрочного сохранения присутствия в системе, извлечения данных и постоянного уклонения от стандартных средств защиты в критически важной государственной инфраструктуре. По данным аналитиков, атака направлена на операционную систему BOSS, широко используемую в индийских госучреждениях, что подчеркивает стратегический выбор цели.

Вредоносная цепочка начинается с архивного файла "Analysis_Proc_Report_Gem_2025.zip". При его открытии жертва видит файл .desktop с названием "Analysis_Proc_Report_Gem.desktop". Злоумышленники часто используют такие файлы ярлыков в качестве промежуточного механизма доставки, чтобы скрыть зловредные намерения. В отличие от прямой отправки исполняемого ELF-файла, который легче обнаружить, ярлык выглядит легитимным для пользователя Linux, но при запуске тихо выполняет встроенные команды.

Функционально этот .desktop-файл имитирует ярлык документа, однако в его поле Exec скрыта команда, которая декодирует и выполняет закодированный скрипт. При запуске скрипт сначала загружает файл-приманку в формате PDF, чтобы создать у пользователя ощущение открытия настоящего документа. Параллельно в фоновом режиме происходит загрузка двух основных вредоносных нагрузок с управляемого злоумышленниками сервера: ELF-бинарного файла "swcbc" и скрипта оболочки "swcbc.sh". После подготовки файлов скрипт открывает PDF-приманку, отвлекая внимание пользователя, и запускает вредоносные компоненты.

Инфраструктура атаки включает домен "lionsdenim[.]xyz", зарегистрированный через Namecheap всего 22 дня назад, и IP-адрес 185[.]235[.]137[.]90, расположенный в Германии. Оба ресурса идентифицированы как зловредные и используются для доставки вредоносных нагрузок. Доменная зона .xyz остается популярной среди угрозовых акторов из-за низкой стоимости регистрации и минимальных требований к проверке, что идеально подходит для создания недолговечной инфраструктуры.

Анализ вредоносного скрипта "swcbc.sh" показал, что он использует механизм systemd для установки постоянного присутствия. Скрипт создает сервисный файл, который обеспечивает автоматический запуск основного ELF-вредоноса при загрузке системы, что позволяет программе работать непрерывно без необходимости повышенных привилегий.

Исследование самого ELF-файла подтвердило, что это инструмент удаленного администрирования, скомпилированный из Python-кода с помощью PyInstaller. Программа обладает широким набором возможностей. Она собирает детальную информацию о системе, устанавливает уникальный идентификатор для зараженного хоста и создает скрытые директории для своей работы. Основной функционал включает выполнение произвольных shell-команд и Python-кода, удаленное управление, двустороннюю передачу файлов, создание скриншотов рабочего стола и архивацию данных для последующего извлечения.

Для обеспечения устойчивости вредонос использует разные механизмы для Linux и Windows. На Linux он копирует себя в скрытую папку и настраивает автозапуск через systemd, а на Windows создает соответствующую запись в реестре. Также реализована функция самоуничтожения для удаления следов своей деятельности при необходимости. Постоянный цикл опроса позволяет программе получать команды от оператора, которые могут включать смену директории, загрузку файлов, установку постоянства или завершение работы.

Эта кампания отражает общую тенденцию в операциях государственного шпионажа: переход к адаптивным механизмам доставки, которые незаметно встраиваются в технологический ландшафт цели. Используя целевые фишинговые письма, вредоносные ярлыки и поэтапную загрузку полезной нагрузки, APT36 достигает глубокого и долгосрочного доступа при минимальном следовом отпечатке. Расширение арсенала группировки за счет инструментов для Linux подчеркивает их растущую приверженность сбору разведданных в разнородных средах.

Для защиты от подобных угроз специалисты CYFIRMA рекомендуют усилить безопасность электронной почты, внедрив решения для обнаружения целевого фишинга и блокировки подозрительных вложений. Необходимо проводить регулярное обучение пользователей, уделяя внимание рискам, связанным с файлами .desktop. На уровне операционных систем важно ограничить выполнение файлов из временных каталогов и отключить запуск .desktop-файлов из ненадежных источников. Ключевое значение имеет внедрение решений для обнаружения и реагирования на конечных точках, способных мониторить выполнение неизвестных ELF-файлов и подозрительную сетевую активность. Интеграция предоставленных индикаторов компрометации в системы мониторинга и регулярная охота за угрозами на основе тактик APT36, соотнесенных с матрицей MITRE ATT&CK, значительно повысят способность организаций обнаруживать и предотвращать подобные сложные атаки.

IPv4

• 185.235.137.90

Domains

• lionsdenim.xyz

SHA256

• 40a59422fa486c7ae214d6e816c2fd00bf4d75c081993a49c4bc22bb0165b7fe
• 4f4e795555740038904bc6365c58536a660d7f3206ac1a4e89612a9fdf97f6dd
• 5ff9777aac434cae5995bf26979b892197e3f0e521c73f127c2e2628e84ef509
• defa2e29e45168471ce451196e1617b9659b3553b125e5464b1db032d7eac90a