デスクトップエントリファイルというものがあります。
Linux環境で利用される、メニュー内の項目に関する情報を提供するデータファイルです。
GUI上でアプリケーションのアイコンやメニュー表示を可能にするためのもので、インストールされたアプリケーションの実行に必要な情報(コマンド、アイコン、表示名など)が記述されており、アプリケーションを検索して起動する際などに利用されます。
Windowsでも同じようなポジションのものとしてLNKファイルがありますね。
WindowsのLNKファイルも脅威アクターに悪用される例が後を絶ちませんが、Linuxのデスクトップエントリファイルも悪用されるようになってきました。
- zipファイルに仕込む
脅威アクターはzipファイルを作成します。
中身はPDF文書に見えるように細工した.desktopファイルです。
.desktopファイルは、Linux環境で利用される、デスクトップエントリファイルです。 - フィッシングメールを送る
脅威アクターは作成したzipファイルをメールで送ります。 - メールの添付ファイルを開く
メール受信者はPDFだと思って、メールに添付されたzipを展開し、中にあったファイルを開きます。
すると、「Exec=」フィールドに隠された bash コマンドが「/tmp/」に一時ファイル名を作成し、そこに攻撃者のサーバーまたは Google ドライブから取得した 16 進数でエンコードされたペイロードを書き込みます。
出来上がったファイルには実行可能属性が設定され、裏側でこっそりと起動されます。
目に見える側の動きとしては、Firefoxが起動され、Googleドライブにある無害なPDFファイルが開かれます。
こちらはおとりファイル、ということになりますね。
こうして活動を開始したマルウェアは、C2との通信を実施しながら、スパイ活動を開始します。
Linuxは、これまでLinuxのサーバとしての機能を提供する様々な仕組みに対して脅威活動の対象となってきました。
Windowsではサーバとしての機構に対してだけでなく、クライアントとしての機構に対してもさまざまな脅威活動が展開されてきているのですが、Linuxのクライアントとしての機構がターゲットになる例は多くなかったように思います。
しかし、今回のようなものがすでに出てきています。
Linuxをクライアントとして利用し、そのパソコンの中ではサーバの類の機構は動作していないから、なんとなく安全だろう、と感じる方もいるかもしれませんが、手放しで安全な場所なんというものはないのかもしません。
APT36: Targets Indian BOSS Linux Systems with Weaponized AutoStart Files
https://www.cyfirma.com/research/apt36-targets-indian-boss-linux-systems-with-weaponized-autostart-files/
| この記事をシェア |
|
|---|
