VoidLinkは、クラウドおよびエンタープライズ攻撃向けのインプラントバイナリを構築する強力なLinuxコマンド&コントロール(C2)フレームワークです。
「implant.bin」と呼ばれるこのインプラントは、長期アクセスを可能にし、認証情報を窃取し、データを流出させます。
特筆すべき点は?大規模言語モデル(LLM)コーディングエージェント、つまり人間による編集をほとんど行わずにコードを生成するAIツールによって作成された可能性を示す強力な証拠が存在することです。これにより攻撃者のハードルが下がり、高度な機能と雑なAIの痕跡が混在しています。
ファミリー名にちなんで名付けられたこのELF64 x86-64バイナリ(SHA256: 05eac3663d47a29da0d32f67e10d161f831138e10958dcd88b9dc97038948f69)はZigで記述されています。高いエントロピー(7.24/8.0)を持ち、暗号化により隠蔽され、Cobalt Strikeビーコンの動作を模倣しています。
GitHubのOntinue-Runway脅威インテリジェンスによると、VoidLinkはモジュラープラグインシステムを使用しています。
起動時に、4つのコンポーネントを持つレジストリをロードします:コマンド処理用のタスクルーター、回避用のステルスマネージャー、コード実行用のインジェクションマネージャー、そして解析を回避するためのデバッガー検出機能です。
VoidLinkは賢くスタートします – 行動を起こす前にホストを深くプロファイリングします。169.254.169.254などのメタデータAPIエンドポイントを介して、AWS、GCP、Azure、Alibaba、Tencentなどのクラウドプロバイダーをスキャンします。インスタンスID、リージョン、ゾーン、タイプを取得して適応します。
コンテナ(Docker、Podman、Kubernetes)内では、docker_escape_v3やk8s_privesc_v3などのエスケーププラグインをロードして脱出し、特権を昇格させます。これによりクラスター全体への横方向の移動が可能になります。
分析では至る所にLLMの痕跡が見られます。初期化には「Phase X:」というラベルが最大8まであり、Phase 7をスキップし、Phase 5を重複させています – これは修正されていない個別のAIプロンプトの特徴です。
冗長なデバッグログ、完全なドキュメント、「successfully initialized」のようなフレーズが最終バイナリに残っています。Ontinue-RunwayのGitHubスクリプトによると、コメントでの(===)の過度な使用はAIパターンと一致しています。
プロのマルウェアはステルス性のためにこれらを除去します。VoidLinkはそれを保持しており、最小限のレビューでAI主導のビルドであることを示唆しています。これはおもちゃではありません:5つのクラウド全体で完全にデプロイ可能で、コンテナに対応し、rootkit並みの強力さを持っています。
これは警鐘を鳴らします。攻撃者はもはやエリートコーダーを必要としません – LLMがモジュラーで回避的なインプラントを高速で提供します。
防御側はバイナリ内のフェーズラベルのようなAI信号、およびSHA-256ハッシュやC2 IPのようなIOCを探さなければなりません。クラウドの賢さとAIのスピードを融合させたこのような脅威がさらに増えることが予想されます。
翻訳元: https://cyberpress.org/voidlink-showcases-ai-malware/