Прозрачное племя Пакистана атакует индийскую оборону вредоносным ПО для Linux

Сложная операция по кибершпионажу, предположительно проводимая группой, известной как APT36 (также известной как Transparent Tribe ), теперь нацелена на индийских военных и оборонные организации. Эта базирующаяся в Пакистане группа нацелена на системы, работающие под управлением BOSS Linux (Bharat Operating System Solutions), индийского дистрибутива Linux на основе Debian, который обычно используется индийскими правительственными агентствами.

Это показывает новый шаг в их атаках, поскольку теперь они используют вредоносное ПО, разработанное специально для сред Linux. Об этой угрозе сообщила фирма по кибербезопасности Cyfirma, а результаты были предоставлены Hackread.com.

Исследователи Cyfirma впервые заметили эту новую атаку 7 июня 2025 года. Согласно их исследованию , злоумышленники используют хитрые фишинговые письма, чтобы обмануть свои цели. Эти письма приходят со сжатым файлом, обычно архивированным ZIP-файлом «Cyber-Security-Advisory.zip», который содержит вредоносный файл «.desktop» — по сути, ярлык, используемый в системах Linux.

Когда жертва открывает этот ярлык, происходят две вещи одновременно. Во-первых, для создания диверсии появляется обычный на вид файл PowerPoint, по-видимому, чтобы отвлечь пользователя и сделать атаку законной. Это достигается тем, что файл .desktop тайно загружает и затем открывает файл PowerPoint.

Во-вторых, в фоновом режиме тайно загружается и запускается другая вредоносная программа (с именем BOSS.elf , сохраненная локально как client.elf ). Эта скрытая программа представляет собой двоичный файл Executable and Linkable Format (ELF), который является стандартным форматом файла для исполняемых программ в Linux, как и файл .exe в Windows. Он написан на языке программирования Go и служит основной полезной нагрузкой, предназначенной для компрометации хост-системы и облегчения несанкционированного доступа.

Вредоносная программа также пытается подключиться к серверу управления по IP-адресу 101.99.92.182 на port 12520 Важно отметить, что домен sorlastore.com был идентифицирован исследователями безопасности как вредоносная инфраструктура, активно используемая APT36, особенно против персонала и систем в индийском оборонном секторе.

Эта многошаговая атака разработана для того, чтобы обойти проверки безопасности и остаться незамеченными, что позволяет злоумышленникам сохранить доступ к чувствительным компьютерным системам. Использование вредоносного ПО, специально созданного для Linux, показывает, что возможности APT36 растут, представляя большую опасность для важных правительственных и оборонных компьютерных сетей.

Hackread.com тщательно следил за деятельностью Transparent Tribe с момента его появления. Они приобрели известность после операции C-Major в марте 2016 года, в ходе которой использовался целевой фишинг и уязвимость Adobe Reader для распространения шпионского ПО среди индийских военных и кражи данных для входа у индийских военных чиновников с помощью вредоносного приложения Android под названием SmeshApp.

Совсем недавно, в июле 2024 года, группа была замечена в маскировке шпионского ПО Android CapraRAT под популярные мобильные приложения, такие как «Crazy Games» и «TikTok», для кражи данных. Эта последняя кампания указывает на расширение их целей за пределы только военнослужащих, а также подчеркивает их постоянную преданность индийским целям и их адаптивный подход к эксплуатации различных платформ.

Поэтому организациям, особенно в государственном секторе, использующим системы на базе Linux, настоятельно рекомендуется отнестись к этой угрозе очень серьезно. Для защиты от этих развивающихся атак решающее значение имеют серьезные меры кибербезопасности и инструменты обнаружения угроз.

« Даже презентация PowerPoint может помочь в автоматизации, но делать это следует только в том случае, если вы уверены в ее легитимности » , — подчеркнул Джейсон Сороко , старший научный сотрудник компании Sectigo, поставщика услуг по комплексному управлению жизненным циклом сертификатов (CLM) из Скоттсдейла, штат Аризона.

« Профилактика улучшается, когда образы BOSS Linux отключают автоматическое выполнение ярлыков рабочего стола и применяют списки разрешенных приложений, которые ограничивают то, что запускается за пределами подписанных репозиториев » , « Просмотрщики PowerPoint должны открываться в режиме только для чтения, а загрузки из ненадежных сетей должны попадать в монтирование без выполнения. Сегментация с нулевым доверием изолирует скомпрометированную рабочую станцию ​​от секретных анклавов » , — посоветовал Джейсон.