巴基斯坦的 APT36 網路間諜組織正針對印度政府和國防單位發動新一波攻擊,採用濫用 Linux .desktop 檔案的創新惡意程式載入技術。
根據資安業者 CYFIRMA 和 CloudSEK 的研究報告,這些攻擊活動旨在竊取敏感資料並建立長期的間諜滲透管道。值得注意的是,APT36 過去就曾在南亞地區的目標性間諜行動中使用 .desktop 檔案植入惡意程式。此波攻擊最早於 2025 年 8 月 1 日被發現,而根據最新證據顯示,攻擊活動至今仍在持續進行中。
攻擊手法分析
雖然兩份研究報告描述的攻擊使用了不同的基礎設施和樣本,但它們共享相同的技術、戰術和程序(TTPs)、攻擊鏈及目標對象。攻擊流程如下:
- 初始入侵:受害者收到含有釣魚郵件的 ZIP 壓縮檔,內含偽裝成 PDF 的惡意 .desktop 檔案
- 執行觸發:當使用者誤以為是 PDF 而開啟 .desktop 檔案時,隱藏在 'Exec=' 欄位中的 bash 指令開始執行
- 載荷部署:系統在 '/tmp/' 目錄建立臨時檔案,並寫入從攻擊者伺服器或 Google 雲端硬碟取得的十六進制編碼惡意載荷
- 權限提升:執行 'chmod +x' 命令使檔案成為可執行檔,並在背景中啟動
為了降低受害者的懷疑,攻擊腳本還會自動啟動 Firefox 瀏覽器,顯示儲存在 Google 雲端硬碟上的良性誘餌 PDF 檔案,讓整個攻擊過程看起來就像正常開啟 PDF 文件一樣。
攻擊者甚至精心設計了多重持久性機制,包含:
- 隱蔽執行:添加 'Terminal=false' 欄位來隱藏終端機視窗
- 自動啟動:設定 'X-GNOME-Autostart-enabled=true' 使檔案在每次登入時自動執行
- 多重備援:透過 cron 排程任務和 systemd 服務建立獨立的持久性駐留機制
技術特點與威脅分析
被惡意構造的 .desktop 檔案所釋放的有效載荷是一個基於 Go 語言的 ELF 執行檔,具備完整的資料竊取和間諜功能。雖然打包和混淆技術增加了分析難度,但研究人員發現該惡意程式具有以下特點:
- 可設定為隱藏狀態運行
- 支援多種持久性駐留方式
- 透過雙向 WebSocket 頻道與指揮控制中心(C2)通訊
- 能夠執行遠端指令並竊取敏感資料
Linux 上的 .desktop 檔案本質上是純文字的應用程式啟動器,包含決定桌面環境如何顯示和執行應用程式的設定選項。APT36 巧妙地濫用這個啟動機制,將其轉變為惡意程式投遞器和持久性植入系統,類似於 Windows 環境中對 'LNK' 捷徑檔案的濫用手法。
除了攻擊過程高度隱蔽,受害者很難察覺異常外,這種攻擊手法特別危險的原因在於
.desktop 檔案通常是文字檔而非二進制檔案,不容易被傳統防毒軟體偵測;且這種濫用方式在資安文獻中較少記載,防護工具不太可能將其視為潛在威脅。
威脅評估與防護建議
CYFIRMA 和 CloudSEK 兩家資安公司都認為,這次最新的攻擊行動顯示 APT36 的戰術正在不斷演進,變得更具隱匿性和複雜性。企業與組織應該加強對 Linux 環境的監控,特別是對 .desktop 檔案的異常活動保持警惕,並建立相應的防護機制來應對這種新興威脅。
本文轉載自 BleepingComputer。