Pakistanski APT36, poznat i kao Transparent Tribe, značajno je unaprijedio svoje sposobnosti sajber-špijunaže pokretanjem sofisticirane kampanje usmjerene na indijsko osoblje odbrane, koristeći naoružane ZIP datoteke za kompromitovanje BOSS Linux sistema.
Ovaj razvoj označava značajan pomak u operativnim taktikama grupe, prelazeći sa tradicionalnih napada baziranih na Windows-u na metode prodora fokusirane na Linux, iskorištavajući široku upotrebu BOSS Linuxa u indijskim vladinim agencijama.
Ključne informacije:
1. APT36, pakistanski akter prijetnje, prebacuje se sa napada na Windows na napade specifične za Linux usmjerene na vladine sisteme.
2. Fišing (phishing) imejlovi sadrže .desktop datoteke koje prikazuju lažne prezentacije dok instaliraju BOSS.elf teret.
3. Uključuje izviđanje sistema, snimanje ekrana i stalnu C2 komunikaciju na 101.99.92[.]182:12520.
4. Organizacije moraju poboljšati filtriranje mejlova, onemogućiti izvršavanje .desktop datoteka iz nepovjerenih izvora i implementirati alate za detekciju specifične za Linux.
Fišing tehnika iskorištava Linux desktop datoteke
CYFIRMA izvještava da kampanja napada koristi višefazni proces prodora koji počinje pažljivo kreiranim fišing imejlovima koji sadrže ZIP arhive pod nazivom “Cyber-Security-Advisory.zip”.
Nakon raspakivanja, arhiva otkriva zlonamjernu .desktop datoteku identifikovanu kao “Cyber-Security-Advisory.desktop” sa MD5 hešem 6eb04445cad300c2878e8fbd3cb60b52.
Ova Linux prečica sadrži sofisticirane komandne sekvence dizajnirane da se izvršavaju tiho, bez detekcije od strane korisnika.
Zlonamjerna .desktop datoteka koristi nekoliko ključnih parametara: Type=Application osigurava izvršavanje sistema, Terminal=false sprječava prikazivanje prozora terminala, a Icon=libreoffice-impress maskira datoteku kao legitimnu prezentaciju.
Ugrađene Bash komande mijenjaju radni direktorijum u /tmp i izvršavaju dvostruke curl komande. Prva preuzima “slide.pptx” sa domena kontriranog od strane napadača, sorlastore.com, koji uprkos ekstenziji naziva datoteke, sadrži HTML iframe koji prikazuje lažnu blog stranicu. Istovremeno, druga curl komanda preuzima primarni teret, zlonamjerni ELF binarni fajl nazvan BOSS.elf (MD5: 18cf1e3be0e95be666c11d1dbde4588e), koji se lokalno sprema kao “client.elf” i izvršava pomoću ‘nohup’ komande za trajno pozadinsko djelovanje.
Napredne mogućnosti malvera zasnovanog na Go programskom jeziku
Malver zasnovan na Go programskom jeziku demonstrira napredne mogućnosti u više vektora napada. Statička analiza otkriva opsežne funkcije izviđanja, uključujući identifikaciju mrežnog imena sistema, profiliranje CPU-a i RAM-a, te provjeru nivoa izvršavanja putem ‘systemctl’ komandi. Malver koristi ‘main.junkcalc2’ za logovanje aktivnosti i tehnike izbjegavanja detekcije, dok ‘Main.getDrives’ i ‘os.readDir’ funkcije omogućavaju sveobuhvatno istraživanje fajl sistema i prikupljanje podataka.
Operacije komande i upravljanja (C2) koriste ‘main.loadConfig’ za preuzimanje serverskih detalja, uspostavljajući TCP konekcije na IP adresu 101.99.92[.]182:12520. Malver održava trajne komunikacije putem ‘setKeepAlive’ i ‘setKeepAlivePeriod’ funkcija, automatski pokušavajući ponovno povezivanje svakih 30 sekundi. Sposobnosti prikupljanja podataka uključuju biblioteku “github.com/kbinani/screenshot” za snimanje ekrana radne površine i ‘main.sendResponse’ funkciju za eksfiltraciju raznih tipova podataka, uključujući datoteke, izlaze komandi i sistemske informacije.
Kampanja je u skladu s višestrukim tehnikama MITRE ATT&CK okvira, uključujući T1566 (Fišing), T1543 (Kreiranje ili izmjena sistemskog procesa) i T1071 (Protokol na aplikacijskom sloju), demonstrirajući sofisticiranu operativnu sigurnost. Organizacije koje koriste BOSS Linux sisteme trebale bi odmah implementirati poboljšano filtriranje mejlova, onemogućiti izvršavanje .desktop datoteka iz nepovjerljivih izvora i primijeniti mogućnosti detekcije na krajnjim tačkama, specifično konfigurirane za prijetnje temeljene na Linuxu.
