「VoidLink」マルウェアがLinuxシステムに高度な脅威をもたらす

出典：Alamy Stock Photo提供 Aleksia

Linuxシステムは近く、中国系とみられるアクターが開発した高度なクラウドファーストのマルウェア・フレームワークによる新たな脅威に直面する可能性がある。これはクラウドおよびコンテナ環境への永続的なアクセス確立を狙うものだ。

Check Point Researchは、VoidLinkと呼ばれるこのフレームワークを発見した。火曜日に公開されたブログ投稿によると、VoidLinkはクラウドに特化した機能とモジュールで構成され、カスタムローダー、インプラント、ルートキット、モジュラー型プラグインなどを含む。Check Pointの研究者はこれを「印象的なソフトウェア」と評し、現行のLinux指向マルウェアのいずれよりもはるかに高度だと述べた。

研究者らは12月、中国系の開発環境に由来するとみられる、これまで未確認だったLinuxマルウェアのサンプルが少数まとまっているのに気づき、このフレームワークを特定した。Check Pointによれば、サンプルにはデバッグシンボルなどのアーティファクトが含まれており、開発途中のビルドで、広く展開されたマルウェアではないことを示していた。

しかし詳細に調べたところ、ブログ投稿によれば、研究者らは「ステルスに重点を置き、現代のクラウド環境向けに調整された、急速に開発が進むLinuxコマンド＆コントロール（C2）フレームワーク」を発見した。 

実際、VoidLinkの設計の要は、Linux環境をプロファイリングし、検知されずに動作するための最適な戦略を知的に選択することで、「可能な限り回避を自動化する」点にあると研究者らは述べた。この能力は、「カーネルモードのトレードクラフトと広範なプラグイン・エコシステム」によって強化され、投稿によれば、オペレーターがクラウド環境やコンテナ・エコシステム内を「適応型ステルス」で移動できるようにする。

投稿によれば、「機能の数の多さとモジュラー型アーキテクチャは、作者が洗練された、現代的で機能豊富なフレームワークを作ろうとしていたことを示している」。さらに、このフレームワークは急速に変化・反復しており、開発者がより広範な実運用で使える水準へ素早く引き上げようとしていたことを示唆している。

VoidLinkの「誰が」「なぜ」は依然として不明

「正確な所属は不明」な中国人開発者によるものとみられるVoidLinkは、商用流通を意図しているように見える設計とドキュメントの両方を示しているとCheck Pointは述べた。 

投稿によれば、「開発者は高い技術的専門性を示しており、Go、Zig、Cといった複数のプログラミング言語に加え、Reactなどのモダンなフレームワークにも強い習熟を持つ」。「さらに攻撃者は高度なOS内部構造に関する深い知識を有しており、先進的で複雑なソリューションの開発を可能にしている。」

VoidLinkの想定ユーザーは未解決の疑問であり、研究者らは、正規のペネトレーションテスト・スイートとして提供されるものなのか、犯罪地下市場向けのツールなのか、あるいは単一顧客向けの専用製品なのか確信が持てていない。

明らかなのは、Windows環境が優先されがちなため、マルウェア開発者と防御側の双方から見過ごされることの多いLinuxプラットフォームが、OSを基盤とするクラウド環境内への展開に特化した洗練されたマルウェア・フレームワークを持つに至った、という点だと研究者らは指摘した。 

VoidLinkの技術的詳細

研究者らは、技術的能力が示すとおり、このフレームワークは悪用されれば手強い敵になり得ると見ている。前述のとおり、VoidLinkのアーキテクチャは極めて柔軟で高度にモジュール化されており、中核にはカスタムのプラグインAPIがある。これはCobalt StrikeのBeacon Object Files（BOF）アプローチに着想を得たものとみられ、投稿によれば、デフォルトで利用可能な30以上のプラグインモジュールで使用されるAPIだという。

Linux向けにZigで構築されたVoidLinkは、実行時コード暗号化、改ざん時の自己削除、検知された環境に基づく適応的な振る舞いなど、複数の運用セキュリティ（OPSEC）機構を採用している。さらに、ユーザーモードおよびカーネルレベルのルートキット機能も幅広く備える。

このフレームワークは「異例に広範」な機能セットを誇り、ルートキット風の機能、機能拡張のためのインメモリ・プラグインシステム、検知したセキュリティ製品に応じて実行時の回避を調整する能力などを含む。

マシンが感染すると、このフレームワークは利用中のクラウドプロバイダーを判定する。Check Pointによれば、現時点でVoidLinkはAmazon Web Services、Google Cloud Platform、Windows Azure、Alibaba、Tencentを検出でき、Huawei、DigitalOcean、Vultrの検出も追加する計画だという。 

また、KubernetesまたはDocker内で実行されていることも認識し、それに応じて挙動を調整できる。さらに研究者らは、VoidLinkがクラウド環境の認証情報や、Gitのような標準的なソースコードのバージョン管理システムの認証情報を収集することを突き止めた。これは、ソフトウェアエンジニアが、諜報キャンペーンまたは将来的なサプライチェーン型攻撃の潜在的標的になり得ることを示している。

Check Pointは、VoidLinkの最新サンプルでは、機能するC2サーバーとダッシュボードのフロントエンドが単一のエコシステムに統合されており、コンポーネントの大半が完成に近いことを示していると述べた。ただし現時点では、研究者らによれば、実環境での感染を示す証拠はない。

Linux防御担当者は警戒を

VoiceLinkのステルス性、高度さ、そして現代のLinuxクラウド展開を攻撃し得る可能性を踏まえ、Check Pointは防御側に対し、クラウドおよびコンテナ環境に対する積極的なセキュリティ対策を講じ、高度な脅威を退ける準備を進めるよう促している。 

Check Pointは「最終的に、このインプラントの目的は、ステルス性の高い長期アクセス、監視、データ収集であるように見える」と述べ、VoidLinkは多くのLinux防御担当者が目にしてきたものよりはるかに高度なマルウェアだと付け加えた。 

VoidLinkが間もなく利用可能になることに備えられるよう、Check Pointは侵害指標（IoC）に加え、フレームワークの活動に関連するプラグインも掲載した。同社はまた、同フレームワークに関連する攻撃戦術、ファイル種別、OSをカバーできるよう、自社のセキュリティ製品も更新している。