أعلنت جهة تهديد سيبراني متطورة مقرها باكستان، والمعروفة باسم APT36 أو Transparent Tribe، عن شن حملة تجسس سيبراني متطورة تستهدف مؤسسات حكومية هندية باستخدام برمجيات خبيثة جديدة تعتمد على لغة Python لنظام ELF. يأتي هذا الهجوم في إطار تصعيد ملحوظ في قدرات المجموعة.
يكشف هذا التطور عن زيادة في النضج التقني للمجموعة وقدرتها على التكيف مع أنظمة التشغيل المستندة إلى Linux. وتتركز الحملة الحالية على رسائل بريد إلكتروني موجهة تتضمن ملفات اختصار (shortcut files) خبيثة مصممة لخداع الموظفين الحكوميين.
APT36 تستهدف الحكومة الهندية ببرمجيات خبيثة جديدة
عندما يقوم المستلمون بفك ضغط هذه الملفات وفتحها، تقوم البرمجيات الخبيثة بتنزيل وتنفيذ مكونات خبيثة بصمت في الخلفية، بينما تعرض محتوى يبدو غير ضار للمستخدم. يتيح هذا النهج المزدوج للمهاجمين الحفاظ على التخفي مع إنشاء وصول مستمر إلى البنية التحتية الحيوية.
يمثل تحول APT36 نحو استهداف Linux تطوراً استراتيجياً في عقيدتها التشغيلية. تاريخياً، ركزت المجموعة على الهجمات التي تستهدف أنظمة Windows، ولكن هذه الحملة الجديدة تكشف عن التزامها باستهداف نظام التشغيل BOSS، المنتشر على نطاق واسع في الوكالات الحكومية الهندية.
وبفضل تكييف أدواتهم لاستغلال منصات متعددة، فإن الجهات الفاعلة في مجال التهديد توسع بشكل كبير سطح الهجوم الخاص بها وفعاليتها التشغيلية.
آلية العدوى بالبرمجيات الخبيثة
حدد محللو الأمن السيبراني في Cyfirma البرمجيات الخبيثة بعد اكتشاف ملفات .desktop المزيفة التي يتم توزيعها عبر حملات تصيد موجهة. لاحظ الباحثون أن سلسلة العدوى تبدأ بملف أرشيف مخادع يحتوي على الاختصار الخبيث، والذي يؤدي إلى عملية تسليم حمولة متعددة المراحل.
بمجرد التنفيذ، يقوم الاختصار بتنزيل مستند PDF وهمي لصرف انتباه المستخدم، بينما يقوم في نفس الوقت بجلب وتثبيت حمولة البرمجيات الخبيثة ELF الفعلية من خوادم يتحكم بها المهاجمون. تعتمد آلية العدوى بالبرمجيات الخبيثة على ملفات .desktop كمتجهات تسليم وسيطة، مما يسمح للمهاجمين بإخفاء نيتهم الخبيثة مع الحفاظ على المرونة في نشر الحمولة.
على عكس نقل ملفات ELF الثنائية مباشرة، والتي يمكن لأنظمة الأمان اكتشافها بسهولة أكبر، تبدو ملفات .desktop مشروعة لمستخدمي Linux أثناء تشغيل الأوامر المضمنة. هذا النهج يتيح استرداد الحمولة ديناميكيًا ويقلل بشكل كبير من الأدلة الجنائية.
يكشف تحليل البرمجيات الخبيثة المستخرجة عن أداة وصول عن بعد غنية بالميزات، قادرة على تنفيذ أوامر shell عشوائية، وإنشاء اتصال بالقيادة والتحكم، والتقاط لقطات الشاشة، وتسريب البيانات. تستخدم البرمجيات الخبيثة خدمات المستخدم على مستوى systemd لإنشاء الثبات، مما يضمن استمرار تشغيلها عبر عمليات إعادة تشغيل النظام وجلسات المستخدم.
اكتشف الباحثون أن الجهة الفاعلة في مجال التهديد تستخدم بشكل استراتيجي تنسيق ملف .desktop جنبًا إلى جنب مع تنفيذ نصوص shell لتجاوز الضوابط الأمنية التقليدية والحفاظ على وجود غير مكتشف. تستخدم البنية التحتية للحملة نطاقات مسجلة حديثًا وخوادم مخترقة موجودة في بلدان متعددة.
يُعد المجال الخبيث lionsdenim[.]xyz، المسجل قبل 22 يومًا فقط، جنبًا إلى جنب مع عنوان IP 185.235.137.90 في فرانكفورت، أمرًا تسهيليًا لتسليم الحمولة. يجب على الوكالات الحكومية الهندية تنفيذ تدابير التخفيف الفورية، بما في ذلك تعزيز أمن البريد الإلكتروني، وحلول الكشف والاستجابة لنقاط النهاية، وسياسات صارمة لتفويض التطبيقات لمواجهة هذا التهديد المستمر.