新型高级Linux VoidLink恶意软件瞄准云和容器环境
网络安全研究人员披露了一种先前未记录且功能丰富的恶意软件框架的详细信息,该框架代号为VoidLink,专门设计用于长期、隐蔽地访问基于Linux的云环境。
根据Check Point Research的一份新报告,这款云原生Linux恶意软件框架包含一系列自定义加载器、植入程序、rootkit和模块化插件,使其操作者能够随时间推移增强或改变其功能,并在目标变更时灵活调整。它于2025年12月首次被发现。
"该框架包含多项专注于云的功能和模块,并设计为能在云和容器环境中长期可靠运行,"这家网络安全公司在今天发布的分析报告中表示。"VoidLink的架构极其灵活且高度模块化,围绕一个自定义插件API构建,该API似乎受到Cobalt Strike的Beacon对象文件(BOF)方法的启发。默认提供的30多个插件模块都使用了此API。"
这些发现反映了威胁行为者的焦点从Windows系统转向了已成为云服务和关键操作基石的Linux系统。VoidLink被评估为中国关联威胁行为者的作品,目前处于积极维护和演进中。
该工具包是一个用Zig编程语言编写的云优先植入程序,能够检测主要的云环境,即亚马逊网络服务(AWS)、谷歌云、微软Azure、阿里巴巴和腾讯云,并在识别到自身运行于Docker容器或Kubernetes Pod内时调整其行为。它还能收集与云环境以及Git等流行源代码版本控制系统相关的凭据。
VoidLink高级概述
针对这些服务的攻击表明,VoidLink很可能被设计用于针对软件开发人员,意图窃取敏感数据或利用访问权限进行供应链攻击。
其部分其他能力列举如下:
- 使用LD_PRELOAD、可加载内核模块(LKM)和eBPF的类rootkit功能,根据Linux内核版本隐藏其进程
- 用于扩展功能的内存中插件系统
- 支持多种命令与控制(C2)通道,如HTTP/HTTPS、WebSocket、ICMP和DNS隧道
- 在被入侵主机之间形成点对点(P2P)或网状网络
一个基于中文的Web仪表板允许攻击者远程控制植入程序、动态创建定制版本、管理文件、任务和插件,并执行攻击周期的不同阶段——从侦察和持久化到横向移动和通过擦除恶意活动痕迹进行防御规避。
用于创建VoidLink定制版本的构建器面板
VoidLink支持37个插件,涵盖反取证、侦察、容器、权限提升、横向移动等类别,使其成为一个功能全面的后渗透利用框架:
- 反取证:根据关键字擦除或编辑日志和Shell历史记录,并对文件进行时间戳篡改以阻碍分析
- 云:促进Kubernetes和Docker的发现与权限提升、容器逃逸以及错误配置探测
- 凭据窃取:收集凭据和密钥,包括SSH密钥、git凭据、本地密码材料、浏览器凭据和Cookie、令牌以及API密钥
- 横向移动:使用基于SSH的蠕虫进行横向传播
- 持久化:通过滥用动态链接器、cron作业和系统服务帮助建立持久化
- 侦察:收集详细的系统和环境信息
Check Point将其描述为"令人印象深刻"且"远比典型的Linux恶意软件先进",并表示VoidLink具有一个处理C2通信和任务执行的核心编排器组件。
它还包含大量反分析功能以规避检测。除了标记各种调试器和监控工具外,如果检测到任何篡改迹象,它还能自我删除。它还具备自修改代码选项,可以在运行时解密受保护的代码区域,并在不使用时将其加密,从而绕过运行时内存扫描器。
此外,该恶意软件框架会枚举受感染主机上安装的安全产品和加固措施,以计算风险评分并制定全面的规避策略。例如,这可能涉及在高风险环境中减慢端口扫描速度并进行更严格的控制。
"开发者展现了高水平的技术专长,精通多种编程语言,包括Go、Zig、C以及React等现代框架,"Check Point指出。"此外,攻击者拥有对复杂操作系统内部原理的深入了解,使其能够开发先进且复杂的解决方案。"
"VoidLink旨在尽可能实现规避自动化,对环境进行分析并选择最合适的策略在其中运行。借助内核模式技术和庞大的插件生态系统,VoidLink使其操作者能够以自适应的隐蔽方式在云环境和容器生态系统中活动。"
觉得这篇文章有趣吗?请关注我们的Google新闻、Twitter和LinkedIn,阅读我们发布的更多独家内容。