APT36駭客鎖定Linux .desktop檔案

近期一個名為APT36（又稱Transparent Tribe）的巴基斯坦駭客組織，發動了一場針對印度政府與國防單位的網路攻擊。與以往不同的是，這次的攻擊手法更加複雜且隱蔽，他們濫用了Linux系統中常見的.desktop檔案。這項新技術於2025年8月1日被資安研究人員首次發現，其目的在於植入惡意軟體，並建立長期且隱蔽的間諜存取管道。由於.desktop檔案本身是純文字格式，且此類攻擊手法鮮有記錄，傳統的安全工具較難將其識別為威脅。

釣魚攻擊與隱蔽的惡意指令

這場攻擊的開端是一封精心設計的網路釣魚郵件，郵件中包含一個惡意的ZIP壓縮檔。當受害者解壓縮並開啟其中偽裝成PDF檔案的.desktop文件時，一個隱藏的bash指令會自動執行。該指令會從遠端伺服器下載經過編碼的惡意酬載，並使其在背景默默執行。為了避免引起受害者懷疑，該腳本還會啟動Firefox瀏覽器，並顯示一個正常的誘餌PDF文件。駭客還透過修改.desktop檔案的參數，來隱藏終端機視窗，並確保惡意檔案能在用戶每次登入時自動啟動，以實現持久性。

隱蔽的威脅與防禦建議

此次攻擊中使用的惡意酬載是一個基於Go語言的ELF可執行檔，具備強大的間諜能力，包括竊取敏感資料和遠端執行指令等。這起事件再次提醒我們，即使是看似安全的作業系統，也可能存在未被發現的威脅途徑。對於Linux使用者而言，應對此類攻擊保持高度警覺。在接收到任何來自不明來源的郵件或檔案時，切勿隨意開啟或執行。同時，建議使用更先進的資安防護工具，並定期更新系統與軟體，以有效應對不斷演變的網路威脅。

資料來源：https://www.bleepingcomputer.com/news/security/apt36-hackers-abuse-linux-desktop-files-to-install-malware/