Pakistanska grupa APT36, poznata i kao Transparent Tribe, značajno je unaprijedila svoje sposobnosti sajber-špijunaže pokretanjem sofisticirane kampanje usmjerene na indijsko vojno osoblje, koristeći maliciozne ZIP arhive dizajnirane za kompromitovanje BOSS Linux sistema. Ova promjena predstavlja značajan pomak u taktici grupe, sa ranijih napada usmjerenih na Windows na nove metode infiltracije fokusirane na Linux, iskoristivši široku upotrebu BOSS Linuxa u indijskim vladinim agencijama.
Ključni zaključci ističu prelazak APT36 sa napada na Windows na ciljane Linux sisteme unutar vladinih struktura. Napadi počinju phishing imejlovima koji sadrže .desktop datoteke, koje prikazuju lažne prezentacije dok istovremeno instaliraju BOSS.elf maliciozni softver. Ovaj malver uključuje funkcije za prikupljanje sistemskih podataka, snimanje ekrana i uspostavljanje trajne komunikacije sa komandnim i kontrolnim serverom na IP adresi 101.99.92[.]182:12520. Kao odgovor, organizacije treba da ojačaju filtriranje imejlova, onemoguće izvršavanje neprovjerenih .desktop datoteka i implementiraju alate za detekciju specifične za Linux.
Metoda phishinga koristi Linux desktop datoteke. Napadna kampanja, prema izvještaju CYFIRMA-e, odvija se u više faza, počevši sa pažljivo sastavljenim phishing imejlovima koji sadrže ZIP datoteku nazvanu “Cyber-Security-Advisory.zip”. Nakon raspakivanja, arhiva otkriva malicioznu .desktop datoteku, “Cyber-Security-Advisory.desktop”, sa MD5 hešom 6eb04445cad300c2878e8fbd3cb60b52. Ova Linux prečica sadrži komande dizajnirane za tiho izvršavanje bez znanja korisnika.
Maliciozna .desktop datoteka koristi parametre poput Type=Application za pokretanje sistemskog izvršavanja, Terminal=false kako bi se spriječilo pojavljivanje prozora terminala, te Icon=libreoffice-impress za maskiranje kao legitimna prezentacija. Ugrađene Bash komande mijenjaju radni direktorijum na /tmp i izvršavaju dva curl komandna poziva. Prvi preuzima datoteku “slide.pptx” sa domena sorlastore.com koji kontrolišu napadači, a koja, uprkos ekstenziji, sadrži HTML iframe koji prikazuje lažnu blog stranicu. Istovremeno, drugi curl poziv preuzima primarni maliciozni softver, ELF binarni fajl nazvan BOSS.elf (MD5: 18cf1e3be0e95be666c11d1dbde4588e), koji se lokalno pohranjuje kao “client.elf” i izvršava pomoću komande `nohup` za dugotrajno pokretanje u pozadini.
Napredne mogućnosti malvera zasnovanog na Go jeziku. Malver napisan u Go jeziku pokazuje napredne sposobnosti kroz više vektora napada. Statistička analiza otkriva opsežne funkcije za prikupljanje informacija, uključujući identifikaciju sistemskog imena hosta, analizu CPU-a i RAM-a, te provjeru nivoa pokretanja putem `systemctl` komandi. Malver koristi “main.junkcalc2” za logovanje aktivnosti i izbjegavanje detekcije, dok funkcije “Main.getDrives” i “os.readDir” omogućavaju sveobuhvatno istraživanje fajl sistema i prikupljanje podataka.
Operacije komande i kontrole koriste funkciju “main.loadConfig” za preuzimanje serverskih detalja, uspostavljajući TCP konekcije sa IP adresom 101.99.92[.]182:12520. Malver održava postojanu komunikaciju putem funkcija “setKeepAlive” i “setKeepAlivePeriod”, automatski pokušavajući ponovno uspostaviti vezu svakih 30 sekundi. Sposobnosti prikupljanja podataka uključuju biblioteku “github.com/kbinani/screenshot” za snimanje ekrana i funkciju “main.sendResponse” za ekfiltraciju različitih tipova podataka, uključujući fajlove, izlaze komandi i sistemske informacije. Kampanja se usklađuje sa više tehnika iz MITRE ATT&CK frameworka, uključujući T1566 (Phishing), T1543 (Create or Modify System Process), i T1071 (Application Layer Protocol), pokazujući sofisticirano operativno osiguranje. Organizacije koje koriste BOSS Linux sisteme trebalo bi odmah da implementiraju pojačano filtriranje imejlova, onemoguće izvršavanje .desktop datoteka iz nepovjerenih izvora i rasporede mogućnosti detekcije krajnjih tačaka, specifično konfigurisanih za prijetnje zasnovane na Linuxu.
