APT36 (Şeffaf Kabile olarak da adlandırılan) olarak bilinen bir grup tarafından yönetildiğine inanılan gelişmiş bir siber casusluk operasyonu, şimdi Hint savunma personelini ve kuruluşlarını hedefliyor. Bu Pakistan merkezli grup, Hindistan hükümet ajansları tarafından yaygın olarak kullanılan Debian’a dayanan bir Hint Linux dağıtım olan Boss Linux (Bharat İşletim Sistemi Çözümleri) çalıştıran sistemleri hedefliyor.
Bu, özellikle Linux ortamları için özel olarak tasarlanmış kötü amaçlı yazılımlar kullandıkları için saldırılarında yeni bir adım gösteriyor. Bu tehdit siber güvenlik firması Cyfirma tarafından bildirildi ve bulgular hackread.com ile paylaşıldı.
Cyfirma araştırmacıları ilk olarak 7 Haziran 2025’e kadar bu yeni saldırıyı gözlemlediler. Araştırmalarına göre, saldırganlar hedeflerini kandırmak için kurnaz kimlik avı e -postaları istihdam ediyorlar. Bu e-postalar, sıkıştırılmış bir dosya, genellikle arşivlenmiş bir zip dosyası “Cyber-Security-Advisory.zip” ile gelir, bu da zararlı bir ‘.desktop’ dosyası-esasen Linux sistemlerinde kullanılan bir kısayol içerir.
Bir kurban bu kısayolu açtığında, aynı anda iki şey olur. Birincisi, bir saptırma oluşturmak için, görünüşte kullanıcıyı rahatsız etmek ve saldırıyı meşru görünmesini sağlamak için normal görünümlü bir PowerPoint dosyası görünür. Bu, .desktop Dosya Gizlice indirme ve ardından PowerPoint dosyasını açın.
İkincisi, arka planda, başka bir kötü amaçlı program ( BOSS.elfyerel olarak kaydedildi client.elf) gizlice indirilir ve çalıştırılır. Bu gizli program, tıpkı bir gibi, Linux’ta yürütülebilir programlar için standart bir dosya biçimi olan yürütülebilir ve bağlantılı bir format (ELF) ikilidir. .exe Windows’ta dosya. Go programlama dilinde yazılmıştır ve ana bilgisayar sistemini tehlikeye atmak ve yetkisiz erişimi kolaylaştırmak için tasarlanmış birincil yük olarak hizmet eder.
Kötü amaçlı yazılım ayrıca IP adresinden bir kontrol sunucusuna bağlanmaya çalışır 101.99.92.182 Açık port 12520. Sorlastore.com alan adının güvenlik araştırmacıları tarafından APT36 tarafından, özellikle Hindistan savunma sektöründeki personel ve sistemlere karşı aktif olarak kullanılan kötü niyetli altyapı olarak tanımlandığını belirtmek önemlidir.
Bu çok aşamalı saldırı, güvenlik kontrollerini aşmak ve fark edilmekten kaçınmak için tasarlanmıştır, bu da saldırganların hassas bilgisayar sistemlerine erişimi sürdürmesini sağlar. Özellikle Linux için inşa edilen kötü amaçlı yazılım kullanımı, APT36’nın yeteneklerinin arttığını ve hayati hükümet ve savunma bilgisayar ağları için daha büyük bir tehlike oluşturduğunu göstermektedir.
Hackread.com, ortaya çıkmasından bu yana şeffaf kabile faaliyetlerini özenle izledi. Mart 2016’da C-Major Operasyonu ile, Spyware’i Hint askeri çalışanlarına dağıtmak ve Smeshapp adlı kötü niyetli bir Android uygulaması aracılığıyla Hint Ordusu yetkililerinden giriş ayrıntılarını çalmak için mızrak aktı ve Adobe Reader güvenlik açığı kullandılar.
Daha yakın zamanlarda, Temmuz 2024’te grup, veri çalmak için Android casus yazılımı Caprarat’ı “Crazy Games” ve “Tiktok” gibi popüler mobil uygulamalar olarak gizliyor. Bu son kampanya, hedeflerinin sadece askeri personelin ötesinde genişlemesini gösteriyor ve ayrıca Hint hedeflerine olan bağlılıklarını ve çeşitli platformlardan yararlanmaya yönelik uyarlanabilir yaklaşımlarını vurguluyor.
Bu nedenle, kuruluşların, özellikle Linux tabanlı sistemleri kullanan kamu sektöründeki kuruluşların bu tehdidi çok ciddiye almaları istenmektedir. Güçlü siber güvenlik önlemleri ve tehdit algılama araçları, bu gelişen saldırılara karşı korunmak için çok önemlidir.
“Bir PowerPoint sunumu bile otomatikleştirmeye yardımcı olma gücüne sahiptir, ancak bunu sadece meşru olduğunu bildiğinizde yapmalıdır,“ Arizona merkezli Kapsamlı Sertifika Yaşam Döngüsü Yönetimi (CLM) sağlayıcısı Scottsdale, Sectigo kıdemli üyesi Jason Soroko’yu vurguladı.
“Boss Linux görüntüleri masaüstü kısayollarının otomatik olarak yürütülmesini devre dışı bıraktığında ve imzalı depoların dışında çalışanları sınırlayan uygulama-izin listelerini zorladığında önleme gelişir.“ “PowerPoint izleyicileri salt okunur modda açmalı ve güvenilmez ağlardan indirmeler, denetlenmeyen bir montaja inmelidir. Sıfır Güven Segmentasyonu, sınıflandırılmış enklavlardan izole edilmiş bir iş istasyonunu korur,“ Jason tavsiye etti.