新たに特定されたLinux向けマルウェアフレームワークは、高度にモジュール化された設計と、クラウド環境に焦点を当てた機能を備えているとCheck Pointは報告している。
VoidLinkと名付けられたこのフレームワークは、カスタムローダー、インプラント、ルートキットで構成され、Linuxシステムへの長期的なアクセスを目的に作られた。
クラウドファーストのインプラントはZigプログラミング言語で書かれており、AWS、GCP、Azure、Alibaba、Tencentといった主要クラウド環境に加え、KubernetesのPodやDockerコンテナを識別し、それに応じて挙動を調整するよう設計されている。
VoidLinkはクラウド、Git、その他のソースコードのバージョン管理システムの認証情報を窃取でき、Check Pointは、諜報活動またはサプライチェーン攻撃の目的で、ソフトウェアエンジニアを標的にしている可能性が高いとみている。
中国系の開発環境で作成された可能性が高いこのフレームワークは、まだ開発途上ではあるものの、すでに幅広い機能セットに加え、Cobalt Strikeに着想を得た開発APIを備えており、急速に進化している。
「ルートキット風の機能(LD_PRELOAD、LKM、eBPF)、機能拡張のためのインメモリ・プラグインシステム、検知したセキュリティ製品に基づいて実行時の回避を調整する適応型ステルスを含み、監視下の環境では性能よりも運用上のセキュリティを優先する」とCheck Pointは指摘している。
VoidLinkは2段階のローダーを用いて展開される。初期化時にシステムのセキュリティツールとハードニング対策を列挙し、リスクスコアと回避戦略を算出し、その後モジュールがそれを利用してステルス性を高める。
このフレームワークは、HTTP/HTTPS、ICMP、DNSトンネリングなど複数のコマンド&コントロール(C&C)通信チャネルをサポートし、感染したシステム間のP2P/メッシュ型通信にも対応している。
このフレームワークは、C&C通信間隔を適応させるためにホストの挙動プロファイルを作成し、感染環境に応じて展開される各種カーネルバージョンを標的とするルートキットを含むステルスモジュールを備え、複数の解析妨害メカニズムも含んでいる。
VoidLinkのオペレーターは、中国語ユーザー向けにローカライズされたWebベースのダッシュボードを介して、エージェント、インプラント、プラグインを制御できる。
このダッシュボードにより、オペレーターはさまざまな侵害後活動のために37個のVoidLinkプラグインを展開でき、偵察、ラテラルムーブメント、永続化、プロセスインジェクション、認証情報へのアクセス、証拠削除を実行可能となる。
ビルド用インターフェースにより、脅威アクターは特定の機能とステルス・パラメータを備えたカスタマイズ済みインプラントを生成でき、これらのパラメータは実行時に変更可能である。
「このフレームワークの意図された用途は依然として不明であり、本稿執筆時点では実環境での感染を示す証拠は確認されていない。構築方法から判断すると、最終的には製品提供として、あるいは顧客向けに開発されたフレームワークとして、商用利用を想定して位置付けられる可能性がある」とCheck Pointは指摘している。
翻訳元: https://www.securityweek.com/voidlink-linux-malware-framework-targets-cloud-environments/
