关键词

网络攻击

据网络安全公司 Cyfirma 于 2025 年 6 月 7 日发布的最新报告,一个被称为 APT36(又名“透明部族”)的巴基斯坦黑客组织,正在针对印度国防系统开展新一轮网络间谍活动。本轮攻击首次明确针对运行 BOSS Linux 系统的设备,这是一款由印度政府推广的、基于 Debian 的本地化 Linux 发行版,广泛用于公共机构与军方网络。

APT36 此次行动的技术路径清晰,目的明确,标志着其攻击手段已由传统 Windows 环境渗透扩展至专为 Linux 系统量身定制的恶意软件开发。

此次攻击通过精心伪装的钓鱼邮件实施,邮件主题具有高度诱导性,附带压缩文件“Cyber-Security-Advisory.zip”,文件中包含一个 Linux 桌面快捷方式(.desktop 文件),一旦点击执行,即开始双重载荷投递。

首先,该 .desktop 文件伪装为网络安全建议文档,表面上会打开一个正常的 PowerPoint 演示文稿,以分散目标用户的注意力,掩盖后台进程。

与此同时,一个名为“BOSS.elf”的可执行文件也在后台悄然下载并运行,其文件名在本地保存为“client.elf”。该恶意载荷基于 ELF 格式,使用 Go 语言编写,是专门为 Linux 平台编译的入侵工具,用于建立远程控制连接、维持持久访问权限并可能窃取机密数据。

分析显示,该恶意程序尝试连接至 IP 地址 101.99.92.182,使用端口 12520。此外,与该 IP 关联的域名 sorlastore.com 已被安全研究人员标记为 APT36 的已知恶意基础设施,用于对印度国防人员发起远程通信和命令控制操作。

“透明部族”近年来不断扩大攻击面,从最初的军方电邮窃听发展到跨平台间谍软件投递。早在 2016 年,该组织就曾通过“C-Major”行动广为人知,利用 Adobe Reader 漏洞及精确钓鱼邮件向印度军方人员投送间谍软件;2024 年则将安卓恶意软件 CapraRAT 假冒为“Crazy Games”与“TikTok”等流行 App,在更广泛人群中获取通话、短信与定位信息。

此轮攻击对印度防御系统提出新挑战,也突显出 Linux 系统环境下仍存在严重的安全漏洞隐患。专家指出,APT36 此次定制化 Linux 恶意代码,表明其技术能力已具备跨平台渗透与持久控制的成熟手段。

网络安全专家 Jason Soroko 警告,组织单位尤其是政府机构应立即强化 Linux 系统的运行权限管理与文件执行策略。他建议关闭桌面快捷方式的自动执行权限,仅允许来自官方仓库签名认证的软件运行;PowerPoint 文件应默认在只读模式下打开,外部网络下载的文件应保存在非执行区域挂载目录中。

同时,实施零信任分段隔离策略也将有效降低单一终端被攻陷后对整个网络造成的扩散风险。

目前尚无印度政府官方回应该事件是否对关键军事网络造成直接影响,但 Cyfirma 与 Hackread.com 均强调,该攻击链条具备高度可复制性,值得亚太地区所有使用 Linux 系统的组织高度警惕。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!