Şeffaf Kabile olarak da bilinen Pakistan merkezli tehdit oyuncusu APT36, patron Linux sistemlerini tehlikeye atmak için tasarlanmış silahlı zip dosyaları aracılığıyla Hint savunma personelini özellikle hedefleyen siber-ihale yeteneklerini önemli ölçüde geliştirdi.
Bu gelişme, geleneksel pencerelere dayalı saldırılardan Hint hükümet ajansları içinde patron linux’un yaygın kullanımından yararlanan Linux odaklı infiltrasyon yöntemlerine geçerek grubun operasyonel taktiklerinde dikkate değer bir değişime işaret ediyor.
Key Takeaways
1. APT36, a Pakistan-based threat actor, shifts from Windows to Linux-specific attacks against government systems.
2. Phishing emails contain .desktop files that show decoy presentations while installing BOSS.elf payload.
3. Features system reconnaissance, screenshot capture, and persistent C2 communication at 101.99.92.182:12520.
4. Organizations must enhance email filtering, disable untrusted .desktop execution, and deploy Linux-specific detection tools.
Kimlik avı tekniği Linux masaüstü dosyalarını istismar ediyor
Cyfirma, saldırı kampanyasının, “Cyber-Security-Advisory.zip” adlı zip dosyası ekleri içeren özenle hazırlanmış kimlik avı e-postalarıyla başlayan çok aşamalı bir sızma işlemi kullandığını bildirdi.
Ekstrakte edildikten sonra, arşiv, MD5 Hash 6EB04445CAD300C2878E8FBD3CB60B52 ile “Cyber-Security-Advisory.desktop” olarak tanımlanan kötü amaçlı bir .desktop dosyasını ortaya çıkarır.
Bu Linux kısayol dosyası, kullanıcı algılaması olmadan sessizce yürütmek üzere tasarlanmış sofistike komut dizileri içerir.
Kötü amaçlı .desktop dosyası birkaç anahtar parametre kullanır: type = uygulama sistem yürütmesini sağlar, Terminal = false görünür terminal pencerelerini önler ve icon = libreOffice-Impress dosyayı meşru bir sunum olarak gizler.
Gömülü BASH komutları çalışma dizini /TMP olarak değiştirilir ve çift kıvırma komutlarını yürütür.
Dosya adı uzantısına rağmen, bir tuzak blog sayfası görüntüleyen bir HTML IFrame içeren saldırgan kontrollü etki alanı sorlastore.com’dan ilk indirimler “Slide.pptx”.
Eşzamanlı olarak, ikinci bir curl komutu, yerel olarak “istemci” olarak kaydedilen ve kalıcı arka plan çalışması için nohup kullanılarak yürütülen birincil yükü olan birincil yükü olan birincil yükü indirir.
Gelişmiş GO tabanlı kötü amaçlı yazılım özellikleri
GO dil tabanlı kötü amaçlı yazılım, birden fazla saldırı vektöründe gelişmiş yetenekler gösterir.
Statik analiz, SystemCtl komutları aracılığıyla sistem ana bilgisayar adı tanımlama, CPU ve RAM profilleme ve RunEvel Muayenesi dahil olmak üzere kapsamlı keşif işlevlerini ortaya koymaktadır.
Kötü amaçlı yazılım, aktivite günlüğü ve kaçırma teknikleri için main.junkcalc2 kullanırken, main.getdrives ve os.readdir işlevleri kapsamlı dosya sistemi keşfi ve veri toplamayı etkinleştirir.
Komut ve Kontrol İşlemleri, IP Adresi 101.99.92’ye TCP bağlantıları kurarak sunucu ayrıntılarını almak için Main.loadConfig kullanın[.]182: 12520.
Kötü amaçlı yazılım, SetKeeptalive ve SetKeeptalivEperiod işlevleri aracılığıyla sürekli iletişimi sürdürür ve otomatik olarak her 30 saniyede bir yeniden bağlanmaya çalışır.
Veri toplama özellikleri, masaüstü yakalama için “github.com/kbinani/screenshot” kitaplığı ve Main.sendResponse işlevi, dosyalar, komut çıktıları ve sistem bilgileri dahil olmak üzere çeşitli veri türlerini ekspiltrasyon için içerir.
Kampanya, t1566 (kimlik avı), T1543 (sistem işlemi oluşturma veya değiştirme) ve T1071 (uygulama katmanı protokolü) dahil olmak üzere çoklu MITER ATT & CK çerçeve teknikleriyle uyumludur.
Boss Linux sistemlerini kullanan kuruluşlar derhal geliştirilmiş e-posta filtreleme uygulamalı, güvenilmeyen kaynaklardan desktop dosya yürütme ve Linux tabanlı tehditler için özel olarak yapılandırılmış uç nokta algılama özelliklerini dağıtmalıdır.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi