网络安全研究人员披露了一个名为VoidLink 的恶意软件框架的详细信息,该框架此前未被记录,功能丰富,专门用于长期、隐蔽地访问基于 Linux 的云环境。
根据Check Point Research最新发布的报告,这款云原生Linux恶意软件框架包含一系列定制加载器、植入程序、rootkit和模块化插件,使其运营者能够随着时间的推移增强或改变其功能,并在目标发生变化时进行调整。该框架于2025年12月首次被发现。
这家网络安全公司在今天发布的一份分析报告中指出: “该框架包含多个面向云的功能和模块,旨在长期可靠地在云和容器环境中运行。VoidLink的架构极其灵活且高度模块化,其核心是一个定制的插件 API,该 API 的设计灵感似乎来自 Cobalt Strike 的信标对象文件 (BOF) 方法。默认情况下,超过 30 个插件模块都使用了此 API。”
研究结果反映出威胁行为者的关注点已从Windows系统转向Linux系统,后者已成为云服务和关键运营的基石。VoidLink目前仍在积极维护和演进,经评估,是由与中国有关联的威胁行为者所为。
这款采用Zig编程语言编写的云优先植入式工具包,能够检测主流云环境,例如 Amazon Web Services (AWS)、Google Cloud、Microsoft Azure、阿里云和腾讯云,并能根据自身运行环境(例如 Docker 容器或 Kubernetes Pod)调整行为。此外,它还能收集与云环境和常用源代码版本控制系统(例如 Git)相关的凭证。
针对这些服务表明,VoidLink 很可能是专门针对软件开发人员设计的,其目的要么是窃取敏感数据,要么是利用访问权限进行供应链攻击。
它的其他一些功能如下:
一个基于中国的网络控制面板,允许攻击者远程控制植入程序,即时创建定制版本,管理文件、任务和插件,并执行攻击周期的不同阶段,从侦察和持久化到横向移动和防御规避,并通过清除恶意活动的痕迹。
VoidLink 支持 37 个插件,涵盖反取证、侦察、容器、权限提升、横向移动等领域,使其成为一个功能齐全的后渗透框架 -
反取证技术,包括根据关键词擦除或编辑日志和 shell 历史记录,以及对文件进行时间戳篡改以阻碍分析。
云端,用于促进 Kubernetes 和 Docker 的发现和权限提升、容器逃逸以及错误配置探测。
凭证窃取,旨在收集凭证和密钥,包括 SSH 密钥、Git 凭证、本地密码材料、浏览器凭证和 Cookie、令牌以及 API 密钥。
横向移动,即利用基于SSH的蠕虫进行横向传播
持久性,旨在通过动态链接器滥用、定时任务和系统服务来帮助建立持久性。
侦察,以收集详细的系统和环境信息
Check Point 称 VoidLink “令人印象深刻”且“比典型的 Linux 恶意软件先进得多”,并表示 VoidLink 具有一个核心协调器组件,用于处理 C2 通信和任务执行。
它还集成了一系列反分析功能以规避检测。除了标记各种调试器和监控工具外,如果检测到任何篡改迹象,它还可以自行删除。此外,它还具有自修改代码选项,可以在运行时解密受保护的代码区域,并在不使用时对其进行加密,从而绕过运行时内存扫描器。
此外,恶意软件框架还会枚举受感染主机上已安装的安全产品和加固措施,以计算风险评分并制定全面的规避策略。例如,这可能包括降低端口扫描速度,并在高风险环境中加强控制。
Check Point指出:“开发人员展现了高超的技术水平,精通多种编程语言,包括Go、Zig、C以及React等现代框架。此外,攻击者还深入了解复杂的操作系统内部机制,从而能够开发出先进且复杂的解决方案。”
VoidLink 的目标是尽可能地自动化规避过程,它会分析环境并选择最合适的操作策略。借助内核模式技术和庞大的插件生态系统,VoidLink 使操作人员能够以自适应的隐蔽方式穿梭于云环境和容器生态系统中。
10个月宝宝每天需要喝多少奶粉?
