Поделиться
В киберпространстве идет индо-пакистанская война. Шпионы атакуют системы с помощью текстовых файлов Linux
Текстовые файлы для среды Linux превращаются в дропперы вредоносов. Аналогичным образом хакеры используют файлы .LNK под Windows. Начинается все, однако, с традиционного фишинга.
Связанные одной целью
Пакистанский кластер угроз, отслеживаемый как APT36, активно использует файлы с расширением .desktop (ОС Linux) для подгрузки вредоносного ПО в сети индийских организаций. Основными мишенями являются правительственные и оборонные учреждения, а целью - кража значимых данных на протяжении длительного времени.
Ранее та же группа, которая, как предполагают исследователи, тесно связана со спецслужбами Пакистана, использовала файлы .desktop для кибершпионских атак на другие южноазиатские страны.
Эксперты сразу двух фирм - CYFIRMA и CloudSEK - независимо друг от друга опубликовали исследования атак со стороны APT36. В них фигурируют разные инфраструктуры и разные сэмплы вредоносных программ, однако методики, манера выполнения, используемые комбинации и очевидные цели представляются идентичными.
Жертвы получают фишинговые письма, которые содержат ZIP-архивы с файлами .desktop внутри. Эти файлы представляют собой текстовые загрузчики для среды Linux, которые регулируют, как именно десктоп-оболочка должна выводить и осуществлять запуск того или иного приложения. Естественно, жертвам эти файлы подаются как документы формата PDF.
При попытке открыть такой файл запускается команда bash, скрытая в поле Exec=; она создает временное имя файла в каталоге /tmp/, куда вписывается вредоносная нагрузка в шестнадцатеричной кодировке - она скачивается непосредственно с сервера под контролем операторов кампании или из Google Drive.
Затем запускается команда chmod +x, превращающая этот временный файл в исполняемый, и производится уже его запуск в фоновом режиме.
Одновременно для отвода глаз скрипт запускает браузер Firefox и выводит в нем безобидный PDF-файл, скачиваемый с Google Drive.
Исследователи отмечают, что в коде вредоноса присутствует также поле Terminal=false, которое должно скрывать от пользователя окно терминала (в котором запускаются shell-команды) и X-GNOME-Autostart-enabled=true, которое инструктирует систему перезапускать вредонос при каждом входе пользователя.
Знакомая методика
Операторы APT36 по сути используют ту же методику превращения невинных, на первый взгляд, файлов в дропперы, которая применяется в отношении файлов .LNK в среде Windows.
А поскольку файлы .desktop обычно не содержат ничего, кроме простого текста, и их злонамеренное применение не настолько хорошо задокументировано, как атаки с использованием .LNK, технические инструменты безопасности нередко их игнорируют.
- В то время как развитие атак свидетельствует о высоком уровне технической подготовки, первоначальный вектор - это по-прежнему фишинг, - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Первым «оборонительным рубежом» должны быть именно антифишинговые инструменты и обучение персонала противодействию подобным уловкам. Что касается использования файлов .desktop, то экзотикой такой метод пробудет недолго.
Конечная вредоносная нагрузка, в свою очередь, представляет собой исполняемый файл .ELF, написанный на языке Go. Обфускация кода существенно затруднила его анализ, но исследователям удалось выяснить, что он выполняет шпионские функции, а также что он использует минимум два метода обеспечения скрытности и постоянства присутствия, в том числе, через службы cron и systemd.
Обмен данными с контрольным сервером осуществляется через двусторонний канал WebSocket.
В обоих исследованиях указывается, что атаки APT36 эволюционируют в направлении большей ухищренности и скрытности.
Поскольку файлы .desktop, как правило, содержат обычный текст, а не исполняемый код, и поскольку, в отличие от аналогичного злонамеренного использования файлов LNK под Windows.
Короткая ссылка
