Посейдон: новый инфостилер от APT-C-56 пронзает Linux-системы

[Artifact]

Хакеры используют вредоносные ярлыки для развёртывания и закрепления на устройстве.
Хакерская группировка APT-C-56, также известная как Transparent Tribe, ProjectM и C-Major, вновь активизировала свою деятельность, на этот раз с использованием атак на Linux-системы.
Базирующаяся в Южной Азии группа киберпреступников обычно сосредотачивает свои усилия на странах данного региона, в том числе часто атакуя Индию. APT-C-56 известна своими сложными методами фишинговых атак и мультиплатформенными вредоносными программами, включая знаменитый троян CrimsonRAT для Windows.
Недавно специалисты из 360 Advanced Threat Research Institute зафиксировали атаку, в ходе которой APT-C-56 использовала файлы Linux c расширением «.desktop» для распространения вредоносного ПО. Вредоносная программа, получившая название Poseidon, является инфостилером и предназначена для кражи данных. Метод атаки с Linux-ярлыками ранее применялся довольно редко, что делает его особенно опасным.
Для осуществления атаки группа создала архивный файл, содержащий desktop-файл, который в Linux-системах выполняет роль ярлыка. Пользователь, запускающий этот файл, активирует цепочку событий: загружается и открывается поддельный документ, одновременно скачиваются и запускаются вредоносные ELF-файлы. Затем Poseidon, написанный на языке Golang, устанавливает постоянное присутствие в системе для сбора конфиденциальной информации.
Архивный файл, рассмотренный исследователями, имел название «Agenda_of_Meeting.zip» и содержал desktop-файл «approved_copy.desktop». Этот файл использует символы «#» для увеличения размера и обхода антивирусных систем. После удаления этих символов становится виден скрипт, который скачивает и открывает PDF-документ, а затем создаёт скрытые директории и запускает вредоносные программы. Одна из программ выполняет функции сбора данных и отправки их на сервер злоумышленников.
Исследование показало, что Poseidon способен выполнять множество задач: фиксировать нажатия клавиш, загружать и скачивать файлы, сканировать порты, делать скриншоты, исполнять команды и осуществлять удалённое управление. Эти функции делают его мощным инструментом для шпионажа.
В августе прошлого года аналогичный метод атаки был использован против целей в Индии. Тогда APT-C-56 также применила архивы с desktop-файлами для распространения вредоносного ПО, что подтверждает долгосрочную стратегию преступников и их устойчивый интерес к странам Южной Азии.
Анализ показал, что последняя активность APT-C-56 соответствует её типичным методам работы. Использование Poseidon, маскировка под легитимный софт и сложные методы обмана жертв — всё это характерные черты данной группы. APT-C-56 продолжает атаковать правительственные и военные структуры Индии, используя в том числе Linux-системы, которые широко применяются в государственных учреждениях.
Эксперты настоятельно рекомендуют повышать уровень безопасности и не запускать неизвестные файлы или переходить по подозрительным ссылкам, независимо от используемой операционной системы. Такие действия могут привести к компрометации системы и утечке важных данных.