Check Point Researchのセキュリティ研究者により、中国系の関与が疑われるアクターに関連する新たなLinuxマルウェア・フレームワークが発見された。
開発者によってVoidLinkと名付けられたこの高いモジュール性を持つフレームワークには、30以上のプラグイン、クラウドおよびコンテナにおける永続化機能、そして強固な運用セキュリティ(OPSEC)機能が含まれている。
VoidLinkに関連する実環境での感染の証拠は確認されておらず、またこのフレームワークが正規のペネトレーションテスト用ツールとして販売される意図なのか、あるいはサイバー犯罪者向けツールキットなのかは明確ではないが、ドキュメントからは商用目的であることが示唆されている。
これは中国語話者の開発者によって構築・保守されているようで、活発に進化していると、Check Pointの研究者は1月13日に公開されたレポートで指摘した。
VoidLinkの開発者は高い技術的専門性を示しており、複数のプログラミング言語にわたる強い習熟度を備えている。VoidLinkにより、適応的なステルス性を備えつつ、クラウド環境およびコンテナ・エコシステム内を移動できる高度で機能豊富なツールを提供している。
VoidLinkのアーキテクチャ概要
Check Point Researchチームは2025年12月、中国語話者の開発環境に由来すると見られる、これまで未確認だったLinuxマルウェア・サンプルの小規模なクラスターを特定した後、VoidLinkを発見した。
「多くのバイナリにはデバッグシンボルやその他の開発アーティファクトが含まれており、完成して広く展開されたツールではなく、開発途中のビルドを見ていることを示唆していました。サンプル間での変更の速度と多様性は、より広範な実運用での利用を実現するために迅速に反復開発されているフレームワークであることを示しています」と彼らは記している。
VoidLinkはZigで書かれた高度なマルウェアのコマンド&コントロール(C2)フレームワークであり、カスタムローダー、インプラント、ルートキット、そして現代のLinuxベースのクラウドおよびコンテナ環境への長期的なアクセスを維持するために設計された30以上のモジュール式プラグインで構成されている。
このフレームワークのアーキテクチャは、稼働中のエージェント、インプラント、プラグインをオペレーターが完全に制御できる、Webベースの集中管理パネルを中心に構築されている。
VoidLinkの中核となるのは独自のPlugin APIで、オペレーターは被害者のクラウド環境に対して、偵察、侵入、アンチフォレンジック回避、ラテラルムーブメント、権限昇格、永続化など幅広いタスクを実行できる。
この独自のPlugin APIは、正規の攻撃的セキュリティ専門家とサイバー犯罪者の双方に利用される人気のレッドチーミングツールであるCobalt StrikeのBeacon Object Files(BOF)アプローチに着想を得ているようだ。
Check Pointの研究者は、VoidLinkのダッシュボード上で利用可能なプラグインが37個あることを確認した。
VoidLinkの検出機能はAWS、Google Cloud、Azureにまたがる
マシンが感染すると、VoidLinkは侵害されたシステムを調査し、感染したマシンがどのクラウドプロバイダー上で稼働しているかを検出できる。
Check Point Researchによれば、VoidLinkは現在、Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure、Alibaba、Tencentなど、幅広いクラウド・インフラの種類を検出できる。
研究者はまた、VoidLinkのドキュメントにおいて、これらの検出機能をHuawei、DigitalOcean、Vultrにも拡張する計画があることを確認した。
クラウド検出に加えて、感染したマシンに関する膨大な情報を収集し、ハイパーバイザーを列挙するとともに、DockerコンテナまたはKubernetesのPod上で稼働しているかどうかを検出する。
さらにVoidLinkは、自動化されたコンテナ脱出からシークレット抽出、専用のラテラルムーブメント・コマンドに至るまで、複数の侵害後(ポストエクスプロイト)モジュールを起動する。
「これらのプラグインは、すでに洗練されたコア実装の上に成り立っており、VoidLinkの能力をクラウド環境にとどまらず、それらのクラウド環境に直接接続する開発者および管理者のワークステーションにまで拡張します。これにより、侵害されたあらゆるマシンが、より深いアクセスやサプライチェーン侵害のための柔軟な発射台へと変わります」とCheck Pointの研究者は記している。
マルウェア開発の多くがWindows環境に注力してきた一方で、Linuxベースのクラウド環境に特化したこのような高度なフレームワークの作成は、「これらのプラットフォームが脅威アクターにとって有効な標的であることを示している」と研究者は警告した。
「防御側はLinux、クラウド、コンテナ環境を積極的に保護し、VoidLinkのような高度な脅威に対抗できるよう備えるべきです」と彼らは付け加えた。
翻訳元: https://www.infosecurity-magazine.com/news/chinese-malware-framework-linux/
