Check Pointの研究者が、クラウド環境の認証情報を窃取するために中国の開発者によって設計された可能性が高い、モジュール型マルウェア・フレームワークを発見した。
研究者らは、Linuxシステムやコンテナ内部でステルスに動作するよう設計された、新たな高度かつモジュール型のマルウェア・フレームワークを発見した。このフレームワークは、Linux内部構造に精通した中国の開発者によって設計されたように見え、クラウドサーバーを標的として使用される目的で作成された。
「開発者が内部でVoidLinkと呼んでいるこのフレームワークは、Zigで書かれたクラウドファーストのインプラントで、現代的なインフラで動作するよう設計されています」と、セキュリティ企業Check Pointの研究者は報告書で述べた。「主要なクラウド環境を認識し、KubernetesやDocker内で実行されているかを検出したうえで、それに応じて挙動を調整できます。」
Check Pointが見つけたのは、完成品というより進行中のプロジェクトと思われるマルウェアのサンプルのみだった。しかしプロジェクトは成熟しており、同社の研究者は、このマルウェアが現実の攻撃で使用されるまでそう時間はかからないとみている。クラウド環境やソースコード・リポジトリ管理システムの認証情報を収集するため、サイバー諜報やサプライチェーン侵害に用いられる可能性がある。
高い拡張性とカスタマイズ性
VoidLinkは、長年にわたり広く採用され、攻撃者に悪用されてきた敵対者シミュレーション・フレームワーク「Cobalt Strike」のビーコン・インプラントから着想を得ている。マルウェアはAPIを用いて追加のプラグインと通信し、多様な機能を追加する。
デフォルトでは、プラットフォームには37個のプラグインが同梱されており、追加機能を有効化するために選択して被害者に配布できる。ただし、オペレーターはカスタムプラグインを配布することも可能だ。これらは、プロフェッショナルな外観のWebベースのコマンド&コントロール(C2)ダッシュボードから制御される。
「このインターフェースは中国系オペレーター向けにローカライズされていますが、ナビゲーションは見慣れたC2レイアウトに従っています。左側のサイドバーでページがDashboard、Attack、Infrastructureにグループ化されています」と研究者は述べた。「Dashboardセクションは、オペレーターの中核ループ(エージェント管理、内蔵ターミナル、インプラント・ビルダー)をカバーします。一方、Attackセクションは、偵察、認証情報へのアクセス、永続化、ラテラルムーブメント、プロセスインジェクション、ステルス、痕跡消去といった侵害後活動を整理しています。」
このマルウェア・フレームワークはZigで書かれている。Zigは比較的新しいプログラミング言語で、Cの代替となるが、マルウェア開発としては珍しい選択だ。しかし開発者は、GoやC、さらにReactのようなJavaScriptフレームワークなど、他の言語にも習熟していることを示している。
研究者は、VoidLinkは典型的なLinuxマルウェアよりはるかに高度であり、状態管理、通信、タスク実行を担う設計の良い中核コンポーネントが、2段階ローダーを通じて配布されると指摘する。オペレーターは、プラグインの形で実行用の追加コードを配布できる。
クラウド偵察と適応性
このマルウェアは、AWS、GCP、Azure、Alibaba、Tencentなどの各種クラウドプラットフォーム上で実行されているかどうかを検出し、その後それらベンダーの管理APIを活用し始めるよう設計されている。コードからは、将来的にHuawei、DigitalOcean、Vultr向けの検出も追加する計画があることが示唆される。
マルウェアは、実行されているマシンや環境に関する大量の情報を収集する。これには、DockerコンテナかKubernetesのPodかといった情報も含まれる。その後、コンテナエスケープによる権限昇格や、他のコンテナへのラテラルムーブメントを試みる侵害後モジュールを実行できる。
「最終的に、このインプラントの目的は、ステルス性の高い長期アクセス、監視、データ収集にあるようです」と研究者は述べ、初期配布の標的として開発者が狙われる可能性があると付け加えた。
もう一つ興味深い点は、このマルウェアが、環境のセキュリティ態勢に基づいて動作を適応させる高度なアルゴリズムを備えていることだ。一般的なLinux向けエンドポイント検知・対応(EDR)ツールやカーネル強化技術をスキャンし、環境のリスクスコアを算出する。そして、そのスコアを用いて検知回避戦略を選択する。
このマルウェアには、Linuxカーネルの異なるバージョン向けの展開戦略を持つ複数のルートキット・コンポーネントも含まれており、実行環境に応じてそれらを展開する。これらのルートキット・モジュールは、マルウェアのプロセス、ファイル、ネットワークソケットを隠蔽する。
C2トラフィックは、PNG内の暗号化データとして、あるいはJS、HTML、CSSファイルとして埋め込むなど、複数の方法で隠蔽され、ネットワーク層での検知を困難にしている。
「VoidLinkは、可能な限り回避を自動化し、環境をプロファイリングして、その中で動作するのに最も適した戦略を選択することを目指しています」と研究者は述べた。「カーネルモードの高度な手法と広範なプラグイン・エコシステムによって強化され、VoidLinkはオペレーターがクラウド環境やコンテナ・エコシステム内を適応的なステルスで移動できるようにします。」
Linux向けマルウェアはWindows向けに比べて少なく、また洗練度も低いことが多いが、VoidLinkは独自性が高く、非常に高機能なフレームワークとして際立っている。このマルウェアがサイバー犯罪者向けの製品として意図されたものなのか、あるいは将来的な商用ペネトレーションテスト・フレームワークのようなものとして意図されたのかは完全には明らかではないにせよ、Linuxベースのクラウド環境において組織が防御に備えるべき脅威のタイプを示す一例となっている。
