APT36’nın Saldırı Yöntemleri
APT36, Pakistan merkezli bir siber casusluk grubu, son dönemde Linux işletim sistemini hedef alarak yeni saldırı yöntemleri geliştirmiştir. Bu grup, özellikle hükümet ve savunma kayıtlarına yönelik siber saldırılarında .desktop dosyalarını kullanarak zararlı yazılım yükleme faaliyetlerinde bulunmaktadır. CYFIRMA ve CloudSEK tarafından belgelenen bu saldırılar, veri çalma ve sürekli casusluk erişimi sağlama amacını taşımaktadır.
Saldırılar ilk olarak 1 Ağustos 2025 tarihinde tespit edilmiştir ve son kanıtlar, saldırıların hâlâ devam ettiğini göstermektedir. APT36’nın önceki operasyonlarında da .desktop dosyaları kullanarak hedefli casusluk faaliyetleri gerçekleştirdiği bilinmektedir.
Desktop Dosyalarının Kötüye Kullanımı
Söz konusu raporlarda betimlenen saldırılar farklı altyapı ve örnekler kullanmasına rağmen, uygulanan teknikler, taktikler ve prosedürler (TTP’ler), saldırı zincirleri ve gözlemlenen hedefler benzerdir. Kurbanlar, genellikle phishing e-postaları aracılığıyla ZIP arşivleri alır. Bu arşivlerde, PDF belgesi olarak gizlenmiş zararlı bir .desktop dosyası bulunmaktadır.
Linux’taki .desktop dosyaları, uygulamaların nasıl görüntülenip çalıştırılacağını belirten yapılandırma seçeneklerini içeren metin tabanlı uygulama başlatıcılardır. Kullanıcılar, .desktop dosyasını PDF zannederek açtıklarında, dosya içindeki gizli bir bash komutu, saldırganın sunucusundan veya Google Drive üzerinden getirilen hex kodlu yükü “/tmp/” dizininde geçici bir dosya adı oluşturarak yazmaktadır. Ardından, ‘chmod +x’ komutu ile dosya çalıştırılabilir hale getirilir ve arka planda çalıştırılır.
Kurbanın dikkatini çekmemek amacıyla, saldırı sırasında Firefox tarayıcısı da açılarak Google Drive’da barındırılan masum bir PDF dosyası gösterilmektedir. Bu tür bir yanıltma, kullanıcının kötü niyetli dosyayı fark etmesini engellemek için tasarlanmıştır.
Zararlı Dosyaların İşleyişi
Saldırganlar, kullanıcının terminal penceresini gizlemek için ‘Terminal=false’ ve her oturum açılışında dosyanın çalıştırılmasını sağlamak için ‘X-GNOME-Autostart-enabled=true’ gibi alanlar eklemiştir. Zararlı masaüstü dosyaları, kullanıcının üzerine tıkladığında çalıştırılacak bir ikon, isim ve komut tanımlayan düz yazı kısa yollarıdır. Ancak APT36’nın saldırılarında, bu başlatıcı mekanizması kötüye kullanılarak zararlı yazılım yükleme ve sürekli erişim sağlamaya dönüşmektedir.
Linux’taki .desktop dosyaları genellikle metin tabanlı olduğu için ve kötüye kullanımı yeterince belgelenmediğinden, platform üzerindeki güvenlik araçları bu dosyaları potansiyel tehdit olarak izleme konusunda yetersiz kalmaktadır. Söz konusu saldırılarda .desktop dosyası tarafından bırakılan yük, Go tabanlı bir ELF yürütülebilir dosyadır ve casusluk işlevlerini yerine getirmektedir.
Veri İletişimi ve Kalıcılık
Zararlı yük, gizli kalmak için çeşitli teknikler kullanabilmekte ve ayrıca kendi kalıcılığını sağlamak için cron görevleri ve systemd hizmetleri kurmaya çalışabilmektedir. Kontrol sunucusu (C2) ile iletişim, iki yönlü bir WebSocket kanalı aracılığıyla sağlanmakta, bu da veri çalma ve uzaktan komut yürütülmesine olanak tanımaktadır.
Cybersecurity uzmanları, bu yeni kampanyayı APT36’nın taktiklerinin evrim geçirdiğinin bir işareti olarak değerlendirmektedir. Saldırganlar, daha az belirgin hale gelmekte ve daha sofistike yöntemler kullanmaktadırlar.
Sonuç olarak, APT36’nın bu tür siber saldırıları, özellikle Linux kullanıcıları için büyük bir tehdit oluşturmakta ve siber güvenlik konusunda yeniden bir değerlendirme yapılmasını zorunlu kılmaktadır. Kullanıcıların, e-posta yoluyla gelen dosyaları açmadan önce dikkatli olmaları ve gerekli güvenlik önlemlerini almaları kritik bir öneme sahiptir. Bu durumda, güvenlik yazılımlarının güncellenmesi ve kullanıcıların siber saldırılara karşı eğitilmesi gerekmektedir.
