新たなLinuxマルウェアがクラウドを標的にし、認証情報を盗んでから姿を消す

VoidLinkと名付けられた最新のLinuxマルウェアは、30以上のプラグインを用いて被害者のクラウドインフラを標的にし、静かな偵察や認証情報の窃取から、ラテラルムーブメントやコンテナの悪用に至るまで、さまざまな不正活動を攻撃者が実行できるようにします。 

VoidLinkは、感染したマシン上で改ざんやマルウェア解析を検知すると、自身を削除し、活動の痕跡を消すよう設計されたアンチ・フォレンジックモジュールを呼び出すことができます。

12月、Check Point Researchは、Linux向けにZigで書かれた、これまで未確認だったマルウェアサンプルを発見しました。中国系と見られる開発環境に由来しているようで、コマンド＆コントロールのインターフェースは中国語オペレーター向けにローカライズされていました。

開発者は内部でこれを「VoidLink」と呼んでおり、サンプルは完成したツールというより、開発途中のマルウェアフレームワークであることを示しているようでした。 

「このフレームワークの意図された用途は依然として不明であり、本稿執筆時点では実環境での感染を示す証拠は確認されていません」と研究チームは火曜日の報告書で述べました。「その構造から、最終的には製品として、あるいは顧客向けに開発されたフレームワークとして、商用利用を想定している可能性が示唆されます。」

特に注目すべき点は2つあります。第一に、VoidLinkはLinuxベースのクラウド環境で動作するよう特別に設計されています。被害者のマシンに感染した後、AWS、Google Cloud Platform、Microsoft Azure、Alibaba、Tencentをスキャンして検出し、開発者はHuawei、DigitalOcean、Vultrの検出も追加する計画です。

マルウェア運用者は従来、Windowsベースのシステムに注力してきましたが、VoidLinkのクラウドファーストな焦点は重要です。政府機関、グローバル企業、重要インフラなどの高価値な攻撃対象は、クラウドベースのサービス上で稼働し、最も機微なシステムをクラウドにホストするケースが増えています。そのため、感染マシンのパブリッククラウドプロバイダーを探索するマルウェアは、政府支援のスパイだけでなく、金銭目的のランサムウェア集団にとっても、より大きな見返りをもたらす可能性があります。

クラウド検出機能に加え、VoidLinkはカスタムローダー、インプラント、ルートキット、そして多数のモジュールを備え、攻撃者にステルス性とオペレーション・セキュリティ能力の幅広い手段を提供する点でも注目されます。Check Pointによれば、これは 「典型的なLinuxマルウェアよりはるかに高度」です。

このフレームワークには複数のカーネルレベルのルートキットが含まれており、実行環境に応じて展開するものを選択します。VoidLinkはルートキットを用いて、自身のプロセス、ファイル、ネットワークソケット、さらにはルートキットモジュールそのものも隠蔽します。

カスタムAPIを使用しており、スレットハンターはこれをCobalt StrikeのBeacon APIに非常によく似ており、おそらくそれに着想を得たものだと説明しています。また、少なくとも37のプラグインがあり（いずれもCheck Pointの分析で詳細に説明されているので、ぜひ参照してください）、開発者はそれらをカテゴリ別に整理しています。

これらの機能には次のようなものが含まれます。

• システムおよび環境のプロファイリング、ユーザーとグループの列挙、プロセスとサービスの検出、ファイルシステムとネットワークのマッピングを提供する偵察プラグイン。
• KubernetesおよびDockerの検出、権限昇格支援、コンテナ脱出チェック。
• 認証情報やシークレットを窃取する複数のプラグイン。
• シェル、ポートフォワーディングとトンネリング、既知ホストに接続して横展開するSSHベースのワームなど、侵害後のツール群。
• 永続化を確立するプラグイン。
• ログやシェル履歴を消去または編集するアンチ・フォレンジックコンポーネント。

「このフレームワークは、短期的な破壊ではなく、長期的なアクセス、監視、データ収集を目的として設計されています」と、Check Pointの研究者はVoidLinkに関する後続のブログで述べました。「その設計は、機会主義的な攻撃者というより、プロの脅威アクターに典型的に見られる計画性と投資の水準を反映しており、インフラが静かに乗っ取られていることに気づかないかもしれない防御側にとって、事態の深刻さを高めています。」 ®