Pakistan-bazirani akter prijetnje APT36, poznat i kao Transparent Tribe, značajno je unaprijedio svoje sposobnosti sajber-špijunaže pokretanjem sofisticirane kampanje usmjerene specifično na indijsko osoblje odbrane putem ZIP datoteka koje su oružane i dizajnirane da kompromituju BOSS Linux sisteme.
Ovaj razvoj predstavlja značajan pomak u operativnim taktikama grupe, odmičući se od tradicionalnih napada zasnovanih na Windows-u ka metodama infiltracije fokusiranim na Linux, koje iskorištavaju široku upotrebu BOSS Linuxa unutar indijskih vladinih agencija.
**Ključni zaključci**
* APT36, akter prijetnje baziran u Pakistanu, prelazi sa napada na Windows sisteme na napade specifične za Linux usmjerene na vladine sisteme.
* Phishing emailovi sadrže .desktop datoteke koje prikazuju lažne prezentacije dok instaliraju BOSS.elf payload.
* Uključuje izviđanje sistema, snimanje ekrana i upornu C2 komunikaciju na 101.99.92[.]182:12520.
* Organizacije moraju poboljšati filtriranje e-pošte, onemogućiti izvršavanje .desktop datoteka koje nisu pouzdane i implementirati alate za detekciju specifične za Linux.
**Phishing tehnika iskorištava Linux Desktop datoteke**
CYFIRMA izvještava da kampanja napada koristi višefazni proces infiltracije koji započinje pažljivo izrađenim phishing e-mailovima sa ZIP attachmentima nazvanim “Cyber-Security-Advisory.zip”.
Nakon ekstrakcije, arhiva otkriva zlonamjernu .desktop datoteku identifikovanu kao “Cyber-Security-Advisory.desktop” sa MD5 hash-om 6eb04445cad300c2878e8fbd3cb60b52.
Ova Linux prečica sadrži sofisticirane komandne sekvence dizajnirane da se izvršavaju nečujno, bez detekcije od strane korisnika.
Zlonamjerna .desktop datoteka koristi nekoliko ključnih parametara: Type=Application osigurava sistemsko izvršavanje, Terminal=false sprečava pojavljivanje vidljivih terminalskih prozora, a Icon=libreoffice-impress maskira datoteku kao legitimnu prezentaciju.
Ugrađene Bash komande mijenjaju radni direktorijum na /tmp i izvršavaju dvostruke curl komande.
Prva preuzima “slide.pptx” sa domene sorlastore.com pod kontrolom napadača, koji uprkos ekstenziji naziva datoteke, sadrži HTML iframe koji prikazuje lažnu blog stranicu.
Istovremeno, druga curl komanda preuzima primarni payload, zlonamjerni ELF binarni kod nazvan BOSS.elf (MD5: 18cf1e3be0e95be666c11d1dbde4588e), koji se lokalno sprema kao “client.elf” i izvršava pomoću nohup-a za trajni rad u pozadini.
**Napredne mogućnosti malvera zasnovanog na Go jeziku**
Malver zasnovan na Go jeziku demonstrira napredne mogućnosti kroz više vektora napada.
Statička analiza otkriva opsežne funkcije izviđanja, uključujući identifikaciju sistemskog hostname-a, profilisanje CPU-a i RAM-a, te inspekciju runlevela putem systemctl komandi.
Malver koristi main.junkcalc2 za logovanje aktivnosti i tehnike izbjegavanja, dok main.getDrives i os.readDir funkcije omogućavaju sveobuhvatno otkrivanje fajl sistema i prikupljanje podataka.
Operacije komande i upravljanja koriste main.loadConfig za preuzimanje serverskih detalja, uspostavljajući TCP konekcije na IP adresu 101.99.92[.]182:12520.
Malver održava upornu komunikaciju putem setKeepAlive i setKeepAlivePeriod funkcija, automatski pokušavajući ponovno povezivanje svakih 30 sekundi.
Mogućnosti prikupljanja podataka uključuju biblioteku “github.com/kbinani/screenshot” za snimanje ekrana i main.sendResponse funkciju za eksfiltraciju različitih tipova podataka, uključujući datoteke, izlazne komande i sistemske informacije.
Kampanja je u skladu sa višestrukim tehnikama MITRE ATT&CK framework-a, uključujući T1566 (Phishing), T1543 (Create or Modify System Process) i T1071 (Application Layer Protocol), pokazujući sofisticiranu operativnu bezbjednost.
Organizacije koje koriste BOSS Linux sisteme trebale bi odmah implementirati poboljšano filtriranje e-pošte, onemogućiti izvršavanje .desktop datoteka iz nepouzdanih izvora i implementirati mogućnosti detekcije na krajnjim tačkama, specifično konfigurirane za prijetnje zasnovane na Linuxu.
