307/68 (IT) ประจำวันอังคารที่ 26 สิงหาคม 2568
กลุ่มแฮกเกอร์ APT36 จากปากีสถาน ถูกพบว่ามีการปรับกลยุทธ์ใหม่ในการโจมตีหน่วยงานรัฐบาลและด้านความมั่นคงของอินเดีย โดยอาศัยไฟล์ .desktop ของระบบปฏิบัติการ Linux ซึ่งปกติเป็นเพียงไฟล์ทางลัดสำหรับเปิดแอปพลิเคชัน มาใช้เป็นช่องทางซ่อนมัลแวร์เพื่อขโมยข้อมูลและสร้างการเข้าถึงแบบถาวร รายงานจากบริษัทความมั่นคงไซเบอร์ CYFIRMA และ CloudSEK ระบุว่า การโจมตีเริ่มต้นตั้งแต่ 1 สิงหาคม 2025 และยังคงดำเนินอยู่จนถึงปัจจุบัน
วิธีการโจมตีเริ่มจากการส่งอีเมลฟิชชิงแนบไฟล์ ZIP ซึ่งภายในมีไฟล์ .desktop ที่ถูกปลอมเป็นเอกสาร PDF เมื่อเหยื่อเปิดไฟล์ ระบบจะทำงานคำสั่ง Bash ที่ซ่อนอยู่ในฟิลด์ “Exec=” เพื่อดึงเพย์โหลดมัลแวร์จากเซิร์ฟเวอร์ของผู้โจมตีหรือจาก Google Drive จากนั้นจะเปลี่ยนสิทธิ์ไฟล์ให้รันได้และเปิดใช้งานเบื้องหลัง พร้อมทั้งเปิดไฟล์ PDF หลอกตาบน Firefox เพื่อไม่ให้ผู้ใช้งานสงสัย มัลแวร์ที่ติดตั้งเป็นไฟล์ ELF ที่พัฒนาในภาษา Go สามารถซ่อนตัว สร้างความคงอยู่ผ่าน cron jobs หรือ systemd และสื่อสารกับเซิร์ฟเวอร์ควบคุมผ่าน WebSocket แบบสองทาง
นักวิจัยชี้ว่า การโจมตีลักษณะนี้มีความคล้ายกับการที่แฮกเกอร์ใช้ไฟล์ช็อตคัต .LNK บน Windows เพื่อแพร่กระจายมัลแวร์ แต่ที่น่ากังวลคือไฟล์ .desktop บน Linux มักเป็นเพียงไฟล์ข้อความ ไม่ใช่ไฟล์ปฏิบัติการ ทำให้เครื่องมือรักษาความปลอดภัยส่วนใหญ่ไม่ได้ตรวจจับ จึงกลายเป็นช่องโหว่ใหม่ที่ APT36 ใช้ประโยชน์ การพัฒนากลยุทธ์ครั้งนี้สะท้อนให้เห็นว่า APT36 กำลังยกระดับความซับซ้อนของการโจมตี เพื่อเพิ่มโอกาสในการเล็ดรอดการตรวจจับและขยายผลการสอดแนมมากยิ่งขึ้น
