Η APT36 επιτίθεται σε συστήματα BOSS Linux μέσω αρχείων ZIP
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η APT36 επιτίθεται σε συστήματα BOSS Linux μέσω αρχείων ZIP
https://www.secnews.gr/653123/apt36-%CE%B5epitithetai-sistimata-boss-linux-meso-arxeion-zip/
Jul 7th 2025, 13:11
by Absenta Mia
Η ομάδα κυβερνοκατασκοπείας APT36, γνωστή και ως Transparent Tribe, με έδρα το Πακιστάν, έχει αναβαθμίσει σημαντικά τις δυνατότητές της, ξεκινώντας μια εξελιγμένη εκστρατεία που στοχεύει ειδικά προσωπικό της ινδικής άμυνας, αξιοποιώντας κακόβουλα αρχεία ZIP με σκοπό τη διάβρωση συστημάτων BOSS Linux.
Δείτε επίσης: Ευπάθειες του Sudo επιτρέπουν πρόσβαση root σε Linux διανομές
Η εξέλιξη αυτή σηματοδοτεί μια σημαντική αλλαγή στην τακτική λειτουργίας της ομάδας, καθώς μεταβαίνει από παραδοσιακές επιθέσεις σε συστήματα Windows σε μεθόδους διείσδυσης προσανατολισμένες σε Linux, εκμεταλλευόμενη την ευρεία χρήση του BOSS Linux από τις ινδικές κρατικές υπηρεσίες.
Σύμφωνα με την CYFIRMA, η εκστρατεία περιλαμβάνει μια πολύ-σταδιακή διαδικασία διείσδυσης, που ξεκινά με επιμελώς σχεδιασμένα phishing emails τα οποία περιέχουν επισυναπτόμενα αρχεία ZIP με το όνομα "Cyber-Security-Advisory.zip".
Μετά την αποσυμπίεση, το αρχείο αποκαλύπτει ένα κακόβουλο αρχείο τύπου .desktop με την ονομασία "Cyber-Security-Advisory.desktop" και MD5 hash: 6eb04445cad300c2878e8fbd3cb60b52.
Δείτε ακόμα: Η CISA πρόσθεσε ευπάθεια του Linux kernel στον Κατάλογο KEV
Αυτό το αρχείο συντόμευσης για Linux περιέχει εξελιγμένες ακολουθίες εντολών, σχεδιασμένες ώστε να εκτελούνται αθόρυβα, χωρίς να γίνονται αντιληπτές από τον χρήστη. Το κακόβουλο αρχείο τύπου .desktop αξιοποιεί βασικές παραμέτρους:
• Type=Application, που εξασφαλίζει την εκτέλεση από το σύστημα,
• Terminal=false, ώστε να μην εμφανίζεται παράθυρο τερματικού,
• και Icon=libreoffice-impress, που το μεταμφιέζει ως έγκυρη παρουσίαση.
Η APT36 επιτίθεται σε συστήματα BOSS Linux μέσω αρχείων ZIP
Οι ενσωματωμένες εντολές Bash αλλάζουν τον φάκελο εργασίας σε /tmp και εκτελούν δύο εντολές curl.
Η πρώτη εντολή κατεβάζει το αρχείο "slide.pptx" από τον τομέα sorlastore.com, ο οποίος ελέγχεται από τους επιτιθέμενους. Παρότι η κατάληξη υποδηλώνει παρουσίαση, το αρχείο περιέχει ένα iframe HTML που εμφανίζει μια παραπλανητική σελίδα blog.
Ταυτόχρονα, η δεύτερη εντολή curl κατεβάζει το κύριο κακόβουλο φορτίο —ένα εκτελέσιμο ELF αρχείο με όνομα "BOSS.elf" (MD5: 18cf1e3be0e95be666c11d1dbde4588e)— το οποίο αποθηκεύεται τοπικά ως "client.elf" και εκτελείται στο παρασκήνιο με χρήση της εντολής nohup, για συνεχή και επίμονη λειτουργία.
Δείτε επίσης: Νέες παραλλαγές του Chaos RAT επιτίθενται σε συστήματα Windows και Linux
Βάσει των παραπάνω, αυτό που διαφαίνεται είναι η αυξανόμενη στροφή απειλητικών ομάδων, όπως η APT36, προς πιο εξειδικευμένες και λιγότερο παραδοσιακές επιθέσεις. Η στόχευση συστημάτων BOSS Linux μέσω αρχείων ZIP, ενός λειτουργικού βασισμένου σε Debian που χρησιμοποιείται ευρέως από τις ινδικές κυβερνητικές υπηρεσίες, δείχνει ότι οι κυβερνοκατάσκοποι προσαρμόζονται στις τεχνολογικές υποδομές του εκάστοτε στόχου.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η APT36 επιτίθεται σε συστήματα BOSS Linux μέσω αρχείων ZIP
https://www.secnews.gr/653123/apt36-%CE%B5epitithetai-sistimata-boss-linux-meso-arxeion-zip/
Jul 7th 2025, 13:11
by Absenta Mia
Η ομάδα κυβερνοκατασκοπείας APT36, γνωστή και ως Transparent Tribe, με έδρα το Πακιστάν, έχει αναβαθμίσει σημαντικά τις δυνατότητές της, ξεκινώντας μια εξελιγμένη εκστρατεία που στοχεύει ειδικά προσωπικό της ινδικής άμυνας, αξιοποιώντας κακόβουλα αρχεία ZIP με σκοπό τη διάβρωση συστημάτων BOSS Linux.
Δείτε επίσης: Ευπάθειες του Sudo επιτρέπουν πρόσβαση root σε Linux διανομές
Η εξέλιξη αυτή σηματοδοτεί μια σημαντική αλλαγή στην τακτική λειτουργίας της ομάδας, καθώς μεταβαίνει από παραδοσιακές επιθέσεις σε συστήματα Windows σε μεθόδους διείσδυσης προσανατολισμένες σε Linux, εκμεταλλευόμενη την ευρεία χρήση του BOSS Linux από τις ινδικές κρατικές υπηρεσίες.
Σύμφωνα με την CYFIRMA, η εκστρατεία περιλαμβάνει μια πολύ-σταδιακή διαδικασία διείσδυσης, που ξεκινά με επιμελώς σχεδιασμένα phishing emails τα οποία περιέχουν επισυναπτόμενα αρχεία ZIP με το όνομα "Cyber-Security-Advisory.zip".
Μετά την αποσυμπίεση, το αρχείο αποκαλύπτει ένα κακόβουλο αρχείο τύπου .desktop με την ονομασία "Cyber-Security-Advisory.desktop" και MD5 hash: 6eb04445cad300c2878e8fbd3cb60b52.
Δείτε ακόμα: Η CISA πρόσθεσε ευπάθεια του Linux kernel στον Κατάλογο KEV
Αυτό το αρχείο συντόμευσης για Linux περιέχει εξελιγμένες ακολουθίες εντολών, σχεδιασμένες ώστε να εκτελούνται αθόρυβα, χωρίς να γίνονται αντιληπτές από τον χρήστη. Το κακόβουλο αρχείο τύπου .desktop αξιοποιεί βασικές παραμέτρους:
• Type=Application, που εξασφαλίζει την εκτέλεση από το σύστημα,
• Terminal=false, ώστε να μην εμφανίζεται παράθυρο τερματικού,
• και Icon=libreoffice-impress, που το μεταμφιέζει ως έγκυρη παρουσίαση.
Η APT36 επιτίθεται σε συστήματα BOSS Linux μέσω αρχείων ZIP
Οι ενσωματωμένες εντολές Bash αλλάζουν τον φάκελο εργασίας σε /tmp και εκτελούν δύο εντολές curl.
Η πρώτη εντολή κατεβάζει το αρχείο "slide.pptx" από τον τομέα sorlastore.com, ο οποίος ελέγχεται από τους επιτιθέμενους. Παρότι η κατάληξη υποδηλώνει παρουσίαση, το αρχείο περιέχει ένα iframe HTML που εμφανίζει μια παραπλανητική σελίδα blog.
Ταυτόχρονα, η δεύτερη εντολή curl κατεβάζει το κύριο κακόβουλο φορτίο —ένα εκτελέσιμο ELF αρχείο με όνομα "BOSS.elf" (MD5: 18cf1e3be0e95be666c11d1dbde4588e)— το οποίο αποθηκεύεται τοπικά ως "client.elf" και εκτελείται στο παρασκήνιο με χρήση της εντολής nohup, για συνεχή και επίμονη λειτουργία.
Δείτε επίσης: Νέες παραλλαγές του Chaos RAT επιτίθενται σε συστήματα Windows και Linux
Βάσει των παραπάνω, αυτό που διαφαίνεται είναι η αυξανόμενη στροφή απειλητικών ομάδων, όπως η APT36, προς πιο εξειδικευμένες και λιγότερο παραδοσιακές επιθέσεις. Η στόχευση συστημάτων BOSS Linux μέσω αρχείων ZIP, ενός λειτουργικού βασισμένου σε Debian που χρησιμοποιείται ευρέως από τις ινδικές κυβερνητικές υπηρεσίες, δείχνει ότι οι κυβερνοκατάσκοποι προσαρμόζονται στις τεχνολογικές υποδομές του εκάστοτε στόχου.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz