TokyoBlackHatNews

bleepingcomputer.com 5分で読了

新たなVoidLinkマルウェアフレームワークがLinuxクラウドサーバーを標的に

Image

新たに発見された高度なクラウドネイティブLinuxマルウェアフレームワーク「VoidLink」はクラウド環境に焦点を当てており、現代のインフラ向けに設計されたカスタムローダー、インプラント、ルートキット、プラグインを攻撃者に提供します。

VoidLinkはZig、Go、Cで書かれており、そのコードには活発に開発が進められているプロジェクトの兆候が見られ、豊富なドキュメントが整備されているほか、商用目的である可能性が高いとされています。

サイバーセキュリティ企業Check Pointのマルウェアアナリストによると、VoidLinkはKubernetesまたはDocker環境内で実行されているかどうかを判定し、それに応じて挙動を調整できるといいます。

ただし、アクティブな感染は確認されておらず、これはこのマルウェアが「製品として提供するため、または顧客向けに開発されたフレームワークとして」作成されたという推測を裏付けています。

研究者らは、インターフェースのロケールや最適化に基づき、VoidLinkは中国語話者の開発者によって開発・保守されているように見えると指摘しています。

Image
VoidLinkビルダーパネル
出典: Check Point

VoidLinkの機能

VoidLinkはLinuxシステム向けのモジュール式ポストエクスプロイトフレームワークで、侵害したマシンを隠密に制御し、プラグインで機能を拡張し、特定のクラウドおよびコンテナ環境に合わせて挙動を適応させることを可能にします。

インプラントが起動すると、DockerまたはKubernetes上で動作しているかを確認し、AWS、GCP、Azure、Alibaba、Tencentなどのプロバイダーについてクラウドインスタンスのメタデータを照会します。さらにHuawei、DigitalOcean、Vultrの追加も計画されています。

このフレームワークは、カーネルバージョン、ハイパーバイザー、プロセス、ネットワーク状態などのシステム詳細を収集し、EDR、カーネル強化、監視ツールの有無をスキャンします。

収集した情報と、導入されているセキュリティソリューションおよび強化措置に基づいて算出したリスクスコアはオペレーターに送信され、より遅いポートスキャンやより長いビーコン間隔など、モジュールの挙動を調整できるようになります。

インプラントは複数のプロトコル(HTTP、WebSocket、DNSトンネリング、ICMP)を用いてオペレーターと通信し、これらは「VoidStream」と呼ばれる独自の暗号化メッセージング層でラップされ、トラフィックを通常のWebやAPIの活動に見せかけます。

VoidLink's operational overview
VoidLinkの運用概要
出典: Check Point

VoidLinkのプラグインはELFオブジェクトファイルで、メモリに直接ロードされ、syscall経由でフレームワークAPIを呼び出します。

Check Pointの分析によると、現在のVoidLinkバージョンはデフォルト構成で35個のプラグインを使用します:

  • 偵察(システム、ユーザー、プロセス、ネットワーク)
  • クラウドおよびコンテナの列挙とエスケープ支援
  • 認証情報の窃取(SSH鍵、Git認証情報、トークン、APIキー、ブラウザデータ)
  • ラテラルムーブメント(シェル、ポートフォワーディングとトンネリング、SSHベースの伝播)
  • 永続化メカニズム(動的リンカーの悪用、cronジョブ、システムサービス)
  • アンチフォレンジック(ログ消去、履歴クリーニング、タイムスタンプ改ざん)
Selecting plugins for activation
有効化するプラグインの選択
出典: Check Point

これらの操作を検知されないようにするため、VoidLinkはプロセス、ファイル、ネットワークソケット、またはルートキット自体を隠蔽する一連のルートキットモジュールを使用します。

ホストのカーネルバージョンに応じて、このフレームワークはLD_PRELOAD(旧バージョン)、LKM(ロード可能カーネルモジュール)、またはeBPFベースのルートキットを使用します。

さらにVoidLinkは環境内のデバッガを検出でき、実行時コード暗号化を用い、フックや改ざんを検出するための整合性チェックを実行するなど、高度なアンチ解析メカニズムを備えています。

改ざんが検出されると、インプラントは自己削除し、アンチフォレンジックモジュールがログ、シェル履歴、ログイン記録を消去し、ホスト上にドロップされたすべてのファイルを安全に上書きして、フォレンジック調査に対する露出を最小化します。

Check Pointの研究者は、VoidLinkはステルス性を念頭に開発されており、最適な戦略を選ぶ前に標的環境を徹底的にプロファイリングすることで「可能な限り回避を自動化することを目指している」と述べています。

また、この新しいフレームワークは「典型的なLinuxマルウェアよりはるかに高度」であり、「高い技術的専門性」を持ち、複数のプログラミング言語に非常に熟達した開発者によるものだと指摘しています。

研究者らは、「機能の数の多さとモジュール式アーキテクチャは、作者が洗練された現代的で機能豊富なフレームワークを作ろうとしていたことを示している」と述べています。

Check Pointは本日公開したレポートで、モジュールに関する技術的詳細や発見されたプラグインの一覧とともに、侵害の指標(IOC)の一式を提供しています。

翻訳元: https://www.bleepingcomputer.com/news/security/new-voidlink-malware-framework-targets-linux-cloud-servers/

ソース: bleepingcomputer.com
#Check Point #DNSトンネリング #Docker #EDR回避 #Kubernetes #Linuxマルウェア #VoidLink #クラウドセキュリティ #ポストエクスプロイト #ルートキット

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用