Uusi Linux-haittaohjelmakehys, joka on suunniteltu alusta alkaen pilvikäyttöön, kastettu nimellä VoidLinkSe herättää tietoturva-analyytikoiden huomion teknisen tasonsa ansiosta, joka on samanlainen kuin Linux-haittaohjelma, joka piiloutuu käyttämällä io_uring-ominaisuutta ja sen painopiste on selvästi nykyaikaisissa infrastruktuureissa. Työkalu, joka havaittiin ensimmäisen kerran vuoden 2025 lopulla, ei muistuta perinteisiä haittaohjelmaperheitä: se käyttäytyy enemmän kuin täydellinen hyökkäyksen jälkeinen alusta, joka on suunniteltu toimimaan pitkiä aikoja herättämättä epäilyksiä.
Check Point Researchin kaltaisten yritysten tekemä tutkimus He huomauttavat, että VoidLink Se on edelleen aktiivisessa kehitysvaiheessa Se näyttää olevan tarkoitettu kaupalliseen käyttöön tai hyvin erityisille asiakasohjelmille massakampanjoiden sijaan. Vaikka varsinaisia ​​tartuntoja ei ole toistaiseksi vahvistettu, saatavilla oleva dokumentaatio, moduulien laajuus ja koodin laatu sijoittavat sen viime vuosina analysoitujen edistyneimpien Linux-uhkien joukkoon, linjassa aiempien tapausten, kuten toimitusketjuhyökkäysten, kanssa.
VoidLink: pilvi- ja konttikäyttöön suunniteltu haittaohjelmakehys
VoidLink esittelee itsensä pilvipohjainen toteutus Linux-järjestelmillePilvipohjaisissa infrastruktuureissa ja konttiympäristöissä vakaasti toimimaan suunniteltu kehys integroi mukautettuja latausohjelmia, implantteja, rootkit-tyyppisiä komponentteja ja laajan valikoiman laajennuksia, joiden avulla operaattorit voivat säätää sen ominaisuuksia kunkin tavoitteen ja toiminnan vaiheen mukaan.
Alustan ydin on rakennettu pääasiassa kieliä, kuten Zig, Go ja CTämä helpottaa sen siirrettävyyttä ja suorituskykyä useissa jakeluissa. Sisäinen arkkitehtuuri perustuu omaan plugin-API:in, joka on saanut inspiraationsa esimerkiksi Cobalt Striken Beacon Object Files -menetelmistä, ja jonka avulla moduulit voidaan ladata muistiin ja toiminnallisuutta laajentaa ilman, että joka kerta tarvitsee ottaa käyttöön uusia binäärejä.
Teknisen analyysin mukaan modulaarinen rakenne mahdollistaa VoidLinkin toiminnallisuuden. päivitetään tai muokataan lennossaKyvykkyyksien lisääminen tai poistaminen operaation tarpeiden mukaan: yksinkertaisista tiedustelutehtävistä jatkuvaan vakoilutoimintaan tai mahdollisiin hyökkäyksiin toimitusketjua vastaan.
Pilvipalveluntarjoajien ja -ympäristöjen älykäs tunnistus
Yksi asiantuntijoita eniten huolestuttavista seikoista on VoidLinkin kyky tunnistaa ympäristön, jossa se toimiiImplantti tarkistaa, onko se Docker-kontin vai Kubernetes-podin sisällä, ja kyselee instanssin metatietoja määrittääkseen taustalla olevan pilvipalveluntarjoajan.
Viitekehyksen tunnistamiin palveluihin kuuluvat: Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure, Alibaba Cloud ja Tencent CloudKoodiin on jo merkitty suunnitelmia yhteensopivuuden lisäämiseksi muiden palveluntarjoajien, kuten Huawei Cloudin, DigitalOceanin tai Vultrin, kanssa, ja se mukauttaa toimintaansa ja aktivoimiaan moduuleja löydöstensä perusteella altistumisen minimoimiseksi.
Tämä profilointiominaisuus ulottuu myös isäntäjärjestelmään: VoidLink Se kerää yksityiskohtaista tietoa ytimestä, hypervisorista, prosesseista ja verkon tilasta.Se tarkistaa myös päätepisteiden havaitsemis- ja reagointiratkaisujen (EDR), ytimen koventamismenetelmien ja valvontatyökalujen olemassaolon, jotka saattavat paljastaa sen toiminnan, minkä vuoksi on suositeltavaa käyttää niitä. työkalut rootkittien skannaukseen rikosteknisessä analyysissä.
VoidLinkin modulaarinen arkkitehtuuri ja laajennusjärjestelmä
Kehyksen ydin on keskusorganisaattori, joka hallinnoi komento- ja ohjausviestintää (C2) ja jakaa tehtäviä eri moduuleille. Kymmenet suoraan muistiin ladatut ja ELF-objekteina toteutetut laajennukset, jotka ovat vuorovaikutuksessa sisäisen API:n kanssa järjestelmäkutsujen kautta, perustuvat tähän ytimeen.
Analysoiduissa versioissa käytetään oletuksena 35–37 laajennustaNämä ominaisuudet on ryhmitelty luokkiin, kuten tiedustelu, sivuttaisliike, pysyvyys, rikostutkinnan esto, konttien ja pilvipalveluiden hallinta sekä tunnistetietojen varkauksien esto. Tämä rakenne tekee VoidLinkistä todellisen hyökkäysten jälkeisen alustan Linuxille, joka on verrattavissa tunkeutumistestauksessa käytettyihin ammattimaisiin työkaluihin.
Muistissa olevan laajennusjärjestelmän valitseminen ja uusien binäärien kirjoittamisen puuttuminen levylle ominaisuuksien lisäämiseksi mahdollistaa pienentää merkittävästi sitoutuneiden tiimien jalanjälkeä ja vaikeuttaa rikosteknisten analyytikoiden ja tiedostopohjaisten tunnistusratkaisujen työtä.
Verkkopaneeli etähallintaa ja koontiversioiden luomista varten
VoidLink-operaattoreilla on verkkopohjainen ohjauspaneeliTämä konsoli on kehitetty käyttämällä moderneja teknologioita, kuten Reactia, ja sen avulla käyttäjät voivat hallita koko tunkeutumisen elinkaarta. Kiinankielinen dokumentaatio mahdollistaa implantin räätälöityjen versioiden luomisen, tehtävien määrittämisen, laajennusten lataamisen ja lataamisen sekä tiedostojen hallinnan vaarantuneissa järjestelmissä.
Tämän paneelin kautta hyökkääjät voivat organisoida hyökkäyksen eri vaiheetYmpäristön alustava tiedustelu, pysyvyyden varmistaminen, koneiden välinen sivuttaisliike, väistötekniikoiden käyttö ja jälkien poistaminen. Paneeliin sisältyy vaihtoehtoja operatiivisten parametrien, kuten viestintävälejen, häivetason tai komentoinfrastruktuuriin yhdistämistapojen, muokkaamiseen lennossa.
Tämä lähestymistapa, joka on lähempänä kaupallista tuotetta kuin yksinkertaista kertaluonteista haittaohjelmaa, vahvistaa hypoteesia, että VoidLink Sitä voitaisiin tarjota palveluna tai tilauspohjaisena kehyksenä.sen sijaan, että se olisi työkalu vain yhden ryhmän käyttöön.
VoidLink käyttää useita komento- ja ohjauskanavia
VoidLink käyttää kommunikoidakseen hyökkääjien infrastruktuurin kanssa useita C2-protokolliaTämä tarjoaa joustavuutta mukautua erilaisiin verkkotilanteisiin ja valvontatasoihin. Tuettuihin kanaviin kuuluvat perinteinen HTTP ja HTTPS, WebSocket, ICMP ja jopa tunnelit DNS:n yli.
Näiden perinteisten protokollien päälle asetetaan oma salauskerros, joka tunnetaan nimellä "Tyhjiövirta"Tämä liikenteen peittämiseen ja sen saamiseen laillisten verkkopyyntöjen tai API-kutsujen kaltaiseksi suunniteltu hämärrys vaikeuttaa liikennepohjaisten tietoturvaratkaisujen kykyä havaita poikkeavia kuvioita yksinkertaisten allekirjoitusten avulla.
Tämän joustavuuden ansiosta operaattorit voivat valita huomaamattomampia viestintäkonfiguraatioitapidentämällä majakkaväliä tai käyttämällä harvinaisempia kanavia, kuten ICMP:tä, kun ympäristössä on tiukemmat verkon rajoitukset.
Rootkitit ja edistyneet piilotustekniikat
VoidLink sisältää useita moduuleja Linux-ytimeen mukautetut rootkit-toiminnot joka toimii vaarantuneella koneella. Versiosta ja käytettävissä olevista ominaisuuksista riippuen se voi käyttää erilaisia ​​tekniikoita toimintansa piilottamiseen: injektointia LD_PRELOADin kautta, ladattavia ydinmoduuleja (LKM) tai eBPF-pohjaisia ​​rootkit-ohjelmia, kuten on nähty viimeaikaisissa uhissa, kuten rotajakiro, naamioitu systemd:ksi.
Nämä komponentit mahdollistavat piilota prosessit, tiedostot, verkkosocketit ja jopa itse rootkitinNäkyvien merkkien minimointi järjestelmänvalvojille ja valvontatyökaluille. Sopiva moduuli valitaan järjestelmän ominaisuuksien analysoinnin jälkeen, optimoiden sekä yhteensopivuuden että suorituskyvyn.
Yhdistämällä nämä tekniikat muistin sisäiseen latausjärjestelmään ja kykyyn toimia konttiympäristöissä, kehys Se onnistuu säilyttämään hyvin huomaamattoman läsnäolon.jopa palvelimilla, joilla on paljon toimintaa tai useita sovelluksia käynnissä samanaikaisesti.
VoidLink-laajennukset tunnistusta, pysyvyyttä ja sivuttaisliikettä varten
Laajasta laajennusluettelosta erottuvat ne, jotka keskittyvät . ympäristöarviointi ja tiedonkeruuNämä moduulit hankkivat tietoja käyttäjistä, aktiivisista prosesseista, verkon topologiasta, paljastuneista palveluista sekä läsnä olevien säilöjen ja orkestroijien ominaisuuksista.
Muut laajennukset on suunnattu Pysyvyyden ylläpitäminen Linux-järjestelmissäTämä tarkoittaa menetelmien käyttöä dynaamisen lataajan väärinkäytöstä ajoitettujen cron-töiden luomiseen tai järjestelmäpalveluiden muokkaamiseen. Näiden tekniikoiden avulla implantti voi selvitä uudelleenkäynnistyksistä ja kokoonpanomuutoksista ilman lisätunkeutumisia.
Sivuttaisliikkeen osalta VoidLink sisältää työkaluja SSH:n kautta levittämiseenTämä ominaisuus mahdollistaa tunnelien luomisen, porttien edelleenlähetyksen ja etäkuorten perustamisen, jotka helpottavat saumatonta yhteyttä koneiden välillä. Tämä ominaisuus on erityisen tärkeä eurooppalaisissa infrastruktuureissa, joissa käytetään mikropalveluarkkitehtuureja, joissa useat SSH:n ja sisäisten verkkojen kautta toisiinsa kytketyt solmut ovat yleisiä.
Valtakirjavarkaudet ja keskittyminen kehittäjiin
Merkittävä osa kehyksestä on omistettu tunnistetietojen ja salaisuuksien kerääminenTämä sisältää tietoja pilvipalveluista sekä työkaluja, joita kehitys- ja operatiiviset tiimit käyttävät päivittäin. Keräyslaajennukset voivat hankkia SSH-avaimia, Git-tunnistetietoja, käyttöoikeustunnuksia, API-avaimia, paikallisia salasanoja ja jopa verkkoselainten tallentamia tietoja.
Tämän ohjeistuksen tarkoituksena on varmistaa, että VoidLink-operaattoreilla on ensisijainen kohde kehittäjille, järjestelmänvalvojille ja DevOps-henkilöstöllePääsy näihin tyypillisesti antaa pääsyn kriittisiin koodivarastoihin ja hallintapaneeliin. Eurooppalaisesta näkökulmasta tämäntyyppinen uhka sopii yhteen teollisuusvakoilun tai ohjelmistojen toimitusketjuun kohdistuvien hyökkäysten valmistelun kanssa.
Tunnistetietojen lisäosien lisäksi kehys tarjoaa Kubernetes- ja Docker-spesifiset moduulitNämä työkalut pystyvät luetteloimaan klustereita, havaitsemaan virheellisiä konfiguraatioita, yrittämään säilönvaihtoja ja etsimään liiallisia käyttöoikeuksia. Tällä tavoin aluksi rajoitetut käyttöoikeudet voivat kehittyä paljon laajemmaksi hallintaksi organisaation pilviympäristössä.
Forensiikin vastaiset ja automatisoidut väistömekanismit
VoidLink ei ainoastaan ​​pyri soluttautumaan, vaan myös pyyhkiä pois tekojensa jäljetSen rikostutkinnan vastaiset laajennukset sisältävät toimintoja lokimerkintöjen muokkaamiseen tai poistamiseen, shell-historioiden tyhjentämiseen ja tiedostojen aikaleimojen käsittelyyn (aikaleimojen lisääminen), mikä vaikeuttaa tapahtumien myöhempää analysointia.
Implantti sisältää myös suojausmekanismit analyysiä ja puhdistusta vastaanSe pystyy havaitsemaan debuggerien ja edistyneiden valvontatyökalujen läsnäolon, tarkistamaan oman koodinsa eheyden ja paikantamaan mahdolliset koukut, jotka viittaavat sen valvontaan. Jos se havaitsee merkkejä luvattomasta käytöstä, se voi tuhota itsensä ja käynnistää puhdistusrutiineja, jotka poistavat tiedostoja ja jälkiä sen toiminnasta.
Yksi erityisen silmiinpistävä elementti on ns. itseään muokkaava koodi ajonaikaisella salauksellaTietyt ohjelman osat salataan vain tarvittaessa ja salataan uudelleen, kun niitä ei käytetä, mikä vaikeuttaa muistianalyysiratkaisujen tehtävää ja vähentää ikkunaa, jossa haitallinen sisältö näkyy selkokielisenä.
Riskienarviointi asennettujen puolustusmekanismien perusteella
Kehys suorittaa a kattava turvallisuusympäristön profilointi jokaisella vaarantuneella koneella. Se listaa asennetut suojaustuotteet, ytimen koventamistekniikat ja valvontatoimenpiteet, ja näiden tietojen perusteella laskee eräänlaisen riskipisteytyksen, joka ohjaa sen toimintaa.
Jos VoidLink havaitsee järjestelmän olevan vahvasti suojattu, se voi hidastaa tiettyjä toimintojakuten porttiskannauksia tai C2-palvelimen kanssa tapahtuvaa tiedonsiirtoa, ja valitse vähemmän kohinaisia ​​tekniikoita. Vähäriskisimmiksi katsotuissa ympäristöissä kehys voi toimia aggressiivisemmin ja asettaa nopeuden etusijalle täydellisen piilottavuuden sijaan.
Tämä sopeutumiskyky automaattisesti sopii yhteen ilmoitetun tavoitteen kanssa automatisoi väistötehtävät niin paljon kuin mahdollistajolloin operaattorit voivat käyttää enemmän aikaa tavoitteiden päättämiseen ja vähemmän aikaa teknisten parametrien manuaaliseen säätämiseen kullekin tietylle ympäristölle.
VoidLinkin alkuperä ja projektin attribuutio
Analyytikoiden keräämät todisteet osoittavat, että VoidLinkin kerrotaan kehittäneen kiinaa puhuva tiimi.Verkkosivupaneelin käyttöliittymän sijainti, tietyt koodin kommentit ja havaitut optimoinnit viittaavat tähän suuntaan, vaikka, kuten tämäntyyppisessä tutkimuksessa on tavallista, se ei olekaan lopullinen attribuutio.
Kehityksen laatu, useiden nykyaikaisten kielten käyttö ja nykyisten verkkokehysten integrointi viittaavat siihen, että Vankka ohjelmointikokemus ja syvällinen tietämys käyttöjärjestelmien monimutkaisuudestaKaikki tämä vahvistaa ajatusta siitä, että hanke menee yksittäistä kokeilua pidemmälle ja lähestyy ajan myötä ylläpidettyä ammattimaista alustaa.
Samanaikaisesti se, että niitä ei ole vielä dokumentoitu laajamittaiset aktiiviset tartuntakampanjat Tämä tukee hypoteesia, jonka mukaan viitekehys on testausvaiheessa, sitä tarjotaan erittäin rajoitetun käyttöoikeuden malleilla tai sitä käytetään vain erittäin kohdennetuissa operaatioissa, mikä tekee sen havaitsemisesta vaikeaa Euroopassa ja muilla alueilla.
VoidLinkin ilmestyminen vahvistaa sen Linux- ja pilviympäristöihin kohdistuvien haittaohjelmien kehittyneisyys kehittyy nopeasti.Se lähestyy kypsien mallien tasoa, jota viime aikoihin asti nähtiin pääasiassa Windowsin hyökkäystyökaluissa. Sen modulaarinen arkkitehtuuri, painotus automaattiseen hyökkäysten kiertämiseen sekä keskittyminen tunnistetietoihin ja kontteihin tekevät siitä uhan, joka jokaisen pilvipohjaista infrastruktuuria käyttävän organisaation, sekä Espanjassa että muualla Euroopassa, on otettava erittäin vakavasti.
