近日,网络安全公司 CYFIRMA 披露了一项新的网络攻击活动,显示出巴基斯坦背景的APT组织APT36(又名Transparent Tribe)在攻击手法上的重大升级——首次将攻击目标转向基于Linux的系统。此次攻击明确针对印度政府内部广泛部署的BOSS Linux操作系统,揭示出该组织不断进化的网络间谍策略。
“APT36对Linux平台投放专属恶意代码,标志着其攻击能力迈入新阶段,同时也反映出政府及关键基础设施所面临的网络间谍风险正不断上升。”报告指出。
攻击以一封伪装成网络安全通告的钓鱼邮件开始,邮件附带的压缩包文件名为“Cyber-Security-Advisory.zip”,内部包含一个看似无害的“.desktop”快捷方式文件。
但点击执行后,这个文件实际上会:
-
打开一个伪装的PowerPoint诱饵文件(slide.pptx),通过LibreOffice Impress展示,增强可信度;
-
同时在后台静默下载并运行一个名为BOSS.elf的恶意ELF二进制程序。
“这一双重策略操作流程设计缜密,既迷惑受害者保持信任感,又可在无察觉的情况下完成恶意代码投放和执行。”CYFIRMA强调。
该恶意程序由Go语言编写,本地落地为client.elf文件,使用nohup命令执行,确保在用户退出后依旧持续运行,并将所有执行输出重定向至/dev/null以实现完全静默运行。
BOSS.elf主要具备以下核心功能:
-
信息收集(Reconnaissance):获取系统主机名、CPU信息、内存配置、运行级别、启动脚本等;
-
持久化与规避检测:借助
main.junkcalc2模块记录日志,避免被杀软发现; -
数据探测与外传:利用
os.readDir遍历文件系统,并通过main.sendResponse上传敏感数据; -
屏幕监控:调用Go语言库
github.com/kbinani/screenshot,截取用户桌面图像。
恶意程序会连接至C2服务器:101.99.92[.]182:12520,每隔30秒自动重连,确保通信稳定性与长期驻留。
本次行动还使用了已知APT36基础设施域名sorlastore.com,该域名此前被用于向Windows系统投放带有恶意宏的PowerPoint插件文件(PPAM)。
“这些攻击延续了APT36以钓鱼邮件为载体的战术,常通过冒充网络安全或国防通告,投递伪装文件诱导受害者执行。”CYFIRMA补充道。
这项最新行动释放出明确信号:以Linux为核心环境的政府机构和国防单位,正面临来自APT组织更具针对性与持续性的高危威胁。建议所有使用Linux系统的公共部门单位,立即将该威胁提升为优先处理事项,强化检测与防御机制。”报告最后警告道。
发表评论
您还未登录,请先登录。
登录