กลุ่มแฮ็กเกอร์ APT36 จากปากีสถานกำลังใช้ไฟล์ .desktop บน Linux เพื่อติดตั้งมัลแวร์ในการโจมตีครั้งใหม่ ที่มุ่งเป้าไปยังหน่วยงานภาครัฐ และหน่วยงานด้านการป้องกันประเทศของอินเดีย
กิจกรรมดังกล่าวถูกรายงานโดยบริษัท CYFIRMA และ CloudSEK โดยมีเป้าหมายเพื่อขโมยข้อมูล และสร้างการเข้าถึงระบบอย่างต่อเนื่องเพื่อการสอดแนม โดยก่อนหน้านี้กลุ่ม APT36 เคยใช้ไฟล์ .desktop เพื่อติดตั้งมัลแวร์ในปฏิบัติการที่มุ่งเป้าไปยังภูมิภาคเอเชียใต้มาก่อนแล้ว
การโจมตีเหล่านี้ถูกตรวจพบเป็นครั้งแรกเมื่อวันที่ 1 สิงหาคม 2025 และจากหลักฐานล่าสุดพบว่ายังคงมีการดำเนินการอยู่อย่างต่อเนื่อง
การใช้ประโยชน์จากไฟล์ Desktop
แม้ว่าการโจมตีที่อธิบายไว้ในรายงานทั้งสองฉบับจะใช้โครงสร้างพื้นฐาน และไฟล์ตัวอย่างที่แตกต่างกัน (อ้างอิงจาก hashes) แต่เทคนิค, กลยุทธ์ และกระบวนการ (TTPs), ขั้นตอนการโจมตี และเป้าหมายที่ปรากฏนั้นเหมือนกันทั้งหมด
เหยื่อจะได้รับไฟล์ ZIP ผ่านทางอีเมล Phishing ซึ่งภายในมีไฟล์ .desktop ที่เป็นอันตราย โดยถูกปลอมแปลงให้ดูเหมือนเอกสาร PDF และตั้งชื่อให้สอดคล้องกัน
ไฟล์ .desktop บน Linux เป็นไฟล์สำหรับเปิดโปรแกรมในรูปแบบข้อความ (Text-based) ซึ่งภายในจะมีการกำหนดค่าต่าง ๆ ที่จะบอกสภาพแวดล้อมของ Desktop ว่าควรจะแสดงผล และเรียกใช้งานแอปพลิเคชันนั้นอย่างไร
เมื่อผู้ใช้เปิดไฟล์ .desktop โดยคิดว่าเป็นไฟล์ PDF จะส่งผลให้คำสั่ง Bash ที่ซ่อนอยู่ในช่อง 'Exec=' ทำงาน โดยคำสั่งนี้จะสร้างไฟล์ชั่วคราวขึ้นมาในไดเรกทอรี /tmp/ แล้วเขียน Payload ที่ถูกเข้ารหัสแบบ Hex ซึ่งดึงมาจากเซิร์ฟเวอร์ของแฮ็กเกอร์ หรือจาก Google Drive ลงในไฟล์นั้น
จากนั้น สคริปต์จะรันคำสั่ง chmod +x เพื่อทำให้ไฟล์ดังกล่าวสามารถทำงานได้ และทำการเปิดใช้งานไฟล์นั้นบน background ไว้
เพื่อหลีกเลี่ยงไม่ให้เหยื่อเกิดความสงสัย สคริปต์จะเปิดเบราว์เซอร์ Firefox ขึ้นมาเพื่อแสดงไฟล์ PDF หลอกลวงที่ไม่เป็นอันตราย ที่ถูกเก็บไว้บน Google Drive
นอกจากการแก้ไขค่าในช่อง Exec= เพื่อให้รันคำสั่ง Shell ตามลำดับแล้ว แฮ็กเกอร์ยังได้เพิ่ม fields อื่น ๆ เข้าไปอีก เช่น Terminal=false เพื่อซ่อนหน้าต่าง terminal จากผู้ใช้ X-GNOME-Autostart-enabled=true เพื่อให้ไฟล์นี้ถูกเรียกใช้งานทุกครั้งที่มีการเข้าสู่ระบบ
โดยปกติแล้วไฟล์ .desktop บน Linux เป็นเพียงไฟล์ shortcut แบบ Plain-text ที่ทำหน้าที่กำหนดไอคอน, ชื่อ และคำสั่งที่จะทำงานเมื่อผู้ใช้คลิกไฟล์นั้น
แต่ในกรณีการโจมตีของกลุ่ม APT36 แฮ็กเกอร์ได้ใช้กลไกการเปิดโปรแกรมนี้ในทางที่ผิด โดยเปลี่ยนมันให้กลายเป็นเครื่องมือสำหรับติดตั้งมัลแวร์ และสร้างการแฝงตัวของมัลแวร์ในระบบ ซึ่งคล้ายกับการนำไฟล์ shortcuts .LNK บน Windows ไปใช้ในการโจมตีในลักษณะเดียวกัน
เนื่องจากไฟล์ .desktop บน Linux โดยทั่วไปเป็นไฟล์ Text ไม่ใช่ไฟล์ Binary และการใช้ไฟล์ประเภทนี้ในการโจมตียังไม่เป็นที่รู้จักอย่างแพร่หลาย ทำให้เครื่องมือรักษาความปลอดภัยบนแพลตฟอร์มนี้มักจะไม่เฝ้าระวังไฟล์เหล่านี้ในฐานะภัยคุกคามที่อาจเกิดขึ้น
Payload ที่ถูกปล่อยออกมาจากไฟล์ .desktop ที่ถูกใช้ในกรณีนี้ เป็นไฟล์ปฏิบัติการ ELF (Executable and Linkable Format) ที่พัฒนาด้วยภาษา Go ซึ่งทำหน้าที่ในการสอดแนม
แม้ว่าการ Packing และการซ่อนโค้ด จะทำให้การวิเคราะห์ทำได้ยาก แต่นักวิจัยพบว่ามัลแวร์ดังกล่าวสามารถตั้งค่าให้ซ่อนตัวเองได้ หรือพยายามสร้างการแฝงตัวอยู่ของตัวเองแยกต่างหากโดยใช้ cron jobs และ systemd services
การสื่อสารกับ C2 จะทำผ่านช่องทาง WebSocket ซึ่งจะทำให้สามารถขโมยข้อมูล และเรียกใช้คำสั่งจากระยะไกลได้
บริษัทด้านความปลอดภัยไซเบอร์ทั้งสองแห่งมองว่าแคมเปญล่าสุดนี้เป็นสัญญาณของการพัฒนากลยุทธ์ของกลุ่ม APT36 ที่กำลังเปลี่ยนไปในทิศทางที่หลบเลี่ยงการตรวจจับได้ดียิ่งขึ้น และมีความซับซ้อนมากขึ้น
ที่มา : bleepingcomputer
You must be logged in to post a comment.