VoidLinkと呼ばれる高い適応性を持つ脅威が、クラウド環境に最高レベルの警戒を促しています。2026年1月14日にCheck Point Researchによって初めて明らかにされ、hackread.comが報じたこの中国製フレームワークは、重要な企業インフラに侵入するよう設計されています。
画期的進展:サーバーサイド・ルートキット・コンパイル(SRC)
発見後、Sysdig Threat Research Team(TRT)は画期的な技術的特徴を特定しました。それがサーバーサイド・ルートキット・コンパイル(SRC)です。通常、ハッカーは移植性の問題に直面し、あるLinuxバージョン向けに作られたウイルスが別の環境ではクラッシュしてしまいます。
VoidLinkは、初回ダウンロードにルートキットを含めないことでこれを解決します。代わりに、同マルウェアのコマンド&コントロール(C2)サーバーが、各被害者ごとに必要に応じてカスタムルートキットをコンパイルします。マルウェアは感染マシンの正確なカーネルバージョンをプロファイルし、その詳細をC2へ送信します。サーバーはその情報を基に、そのシステム専用の「ステルス・クローク」(eBPFまたはLKMルートキット)を構築し、クラッシュせず、明確な痕跡も残さずに完璧に動作するようにします。
Zigを選んだ理由
研究者らは、VoidLinkがZigで書かれた初の中国語マルウェアであることも突き止めました。このモダンなプログラミング言語は攻撃者にとっては異例の選択ですが、明確な利点があります。セキュリティツールが、Zig特有のパターンを認識するようまだ十分に調整されていないのです。これにより、VoidLinkの1.2MBのインプラントは、C++やGoのパターンを探す標準的なセキュリティフィルターを回避しつつ、感染システムに対する強力な低レベル制御を維持できます。
Sysdigの分析は、VoidLinkが単に隠れるだけではなく、防御側を積極的に狩りにいくことを強調しています。このマルウェアは、CrowdStrike、SentinelOne、Carbon Black、そしてSysdig自身のFalcoを含む、14種類のセキュリティ製品をスキャンします。検知されると、「アグレッシブ」モードから「パラノイド」モードへ切り替えることで、回避戦略を賢く調整します。
パラノイドモードでは、活動を遅らせ、チェックイン(ハートビート)の間隔を長くして、振る舞い検知アラートの発火やランタイムスキャナーによるフラグ付けを回避します。
ファイルレス実行
痕跡を最小化するため、VoidLinkは完全にメモリ上に留まる(ファイルレス実行)よう設計された3段階の配信メカニズムを使用します。
- ステージ0:.という名前のバックグラウンドタスクを装う、9KBの極小ドロッパー。
- 実行:特定のシステムコール(memfd_createとexecveat)を用いて匿名のメモリファイルを作成し、マルウェアが物理ハードドライブに一切触れないようにします。
- 通信:標準的なWebトラフィックの外で、秘匿されたICMP「ping」チャネルを使ってコマンドを受信し、ネットワーク上の存在を通常の接続確認のように見せかけます。
ワークスペースを守るには
VoidLinkは隠蔽が非常に巧妙なため、基本的なセキュリティスキャンでは検出できません。このマルウェアは、隔離されたデジタルコンテナから脱出し、Kubernetes環境を掌握するために特殊なプラグインを使用します。しかし、これほど高度な脅威でも不可視ではありません。研究者らは、マルウェアが依然として痕跡を残すことを指摘しています。異常なメモリ活動や未承認のカーネルモジュールのロードを監視するツールを用いれば、セキュリティチームは実害が出る前にVoidLinkを捕捉できます。
hackread.comに共有されたコメントで、Qualys Threat Research UnitのセキュリティリサーチマネージャーであるMayuresh Dani氏は、脅威は深刻である一方、このマルウェアは開発途上に見えると述べました。
「救いとなるのは、このフレームワークがデバッグシンボルが埋め込まれたままの『開発途中』ビルドとして発見されたことです。つまり、まだ完成品ではなく、脅威アクターは差し迫った運用展開に向けて準備しているものの、まだ大規模な標的化は開始していないということです。」
(写真:UnsplashのGrowtika)
翻訳元: https://hackread.com/voidlink-malware-cloud-system-custom-built-attack/
