APT36: .desktop-файлы и Google Drive в атаках на индийские ведомства

Кратко: Группа APT36, известная также как Transparent Tribe, с августа 2025 года проводит целевую кампанию кибершпионажа против индийских государственных и оборонных структур. Злоумышленники применяют нестандартный вектор — вредоносные Linux-файлы .desktop, распространяемые в ZIP-архивах и подгружающие полезную нагрузку с Google Drive. После запуска ПО обеспечивает устойчивое присутствие на системе и устанавливает связь с C2 через WebSocket, в частности с доменом seemysitelive.store.

Что именно произошло

Исследователи выявили серию фишинговых рассылок, содержащих ZIP-архивы. Внутри архивов — файлы с расширением .desktop — конфигурационные файлы запуска приложений в Linux-средах. Вредоносные .desktop маскируются под легитимные документы за счёт встраивания изображения значка в Base64. Под этими данными значка скрыт вредоносный компонент, который при исполнении извлекает и загружает полезную нагрузку с размещённого в облаке ресурса.

Технические детали атаки

• Цель: индийское правительство и оборонные структуры.
• Сроки: по меньшей мере с августа 2025 года.
• Вектор доставки: ZIP-архивы с вредоносными .desktop файлами.
• Хостинг полезной нагрузки: Google Drive — злоумышленники используют облачный сервис как репозиторий для исполняемых компонентов.
• Маскировка: иконка в Base64, под которой скрыт вредоносный код; файл выглядит как легитимный ярлык/документ.
• Связь с C2: мост по WebSocket к домену seemysitelive.store. Сервер отвечает сообщением, указывающим на себя как «Скрытый сервер», что говорит о намерении запутать анализаторов.
• Механизмы уклонения: реализованы «фиктивные проверки уклонения» (fake evasion checks), тратящие время аналитиков и затрудняющие отладку и мониторинг.

«Скрытый сервер» — сообщение, полученное от C2 через WebSocket.

Почему это важно

Переход к использованию Google Drive для размещения полезной нагрузки — заметная эволюция тактик APT36. Облачные хостинги чаще вызывают меньше подозрений и упрощают целевой фишинг, особенно в организациях, которые активно используют облачные сервисы для обмена файлами. Угроза особенно критична для систем на базе Linux в государственных и военных средах, где компрометация может привести к утечке учётных данных и разведывательной информации.

Индикаторы компрометации (IOCs)

• Типы файлов: .desktop в ZIP-архивах как вложения.
• URL/домен C2: seemysitelive.store.
• Используемые сервисы: Google Drive для хранения и доставки полезной нагрузки.
• Поведение: установление persistence, WebSocket-соединения с C2, выполнение «фиктивных проверок уклонения».

Рекомендации по защите и реагированию

Исследователи и эксперты по кибербезопасности рекомендуют немедленно принять следующие меры:

• Заблокировать домен seemysitelive.store и сопутствующие IP-адреса на периметре сети и в прокси/фильтрах.
• Провести проверку на признаки компрометации на критических Linux-хостах: наличие подозрительных .desktop файлов, неожиданных persistence-механизмов, неизвестных WebSocket-соединений.
• Ограничить возможность запуска кода из непроверенных .desktop файлов и запретить исполнение файлов из временных папок после распаковки архивов.
• Усилить фильтрацию и проверку вложений в почтовых шлюзах; блокировать ZIP-файлы с исполняемым содержимым или подозрительными файлами .desktop.
• Мониторить и анализировать трафик к облачным сервисам (включая Google Drive) на предмет необычных загрузок/запросов и аномалий поведения.
• Внедрить EDR/NGAV с возможностью детектирования нестандартных механизмов persistence и WebSocket-коммуникаций, а также правил на обнаружение Base64-переноса больших двоичных данных в иконках/метаданных файлов.
• Провести расследование инцидентов с фокусом на сборе учётных данных и проверке утечек; при обнаружении компрометации — сменить пароли и ключи, выполнить тщательную очистку систем.
• Провести обучение сотрудников по распознаванию целевого фишинга и правилам работы с вложениями, особенно в средах, где активно используется облачный обмен файлами.

Вывод

Действия APT36 демонстрируют переход к более изощрённым и адаптивным вектором атак, использующим облачные платформы и особенности Linux-окружений. Комбинация маскировки через Base64-иконки в .desktop файлах, использование Google Drive и WebSocket-C2 делает кампанию сложной для обнаружения и представляет серьёзную угрозу для государственных и оборонных организаций. Немедленные превентивные меры и повышение уровня мониторинга — ключ к снижению рисков.

Если нужна техническая расшифровка образцов вредоносного кода или помощь в реагировании на инцидент в вашей организации — могу подготовить детальный план расследования и список проверок для SOC/IR-команд.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.