新たに発見されたマルウェアフレームワーク VoidLink は、攻撃者が最新のクラウドおよびエンタープライズ環境全体でインプラントを管理する方法を再構築しています。
Cisco Talos は現在、このフレームワークを UAT-9921 として追跡されている脅威アクターに関連付けており、オンデマンドコンパイル、モジュラープラグイン、および初期の Windows サポートが、AI 対応攻撃プラットフォームの次世代を示していることを強調しています。
UAT-9921 は、インターネットに面したサーバーを侵害します。多くの場合、事前に取得した認証情報を使用するか、Apache Dubbo リモートコード実行などの Java シリアル化の欠陥を悪用し、その後 VoidLink を主要なインプラントとして展開します。
Cisco Talos は最近、アクティブなキャンペーンで VoidLink を使用している UAT-9921 を特定しました。証拠は、このグループがフレームワークが存在する前の 2019 年以前から活動していたことを示唆しています。
ネットワークに侵入すると、攻撃者は侵害されたホストに VoidLink コマンドアンドコントロール (C2) コンポーネントをインストールし、そこから内部および外部のスキャンを開始します。
偵察をサポートするために、UAT-9921 は被害者サーバーに SOCKS プロキシを展開し、FSCAN などのツールを使用して内部ネットワークをマッピングしてから、さらに拡大します。
言語の成果物とコードコメントは、開発者とオペレーターが中国語を話す可能性が高いことを示しており、Talos は、UAT-9921 が VoidLink を採用する前に、他のツールを使用して数年間活動していたと中程度の確信を持って評価しています。
この活動は実際の侵入キャンペーンのように見えますが、フレームワークに組み込まれた監視機能を考慮すると、一部の作戦がレッドチーム演習に関連している可能性を研究者は完全に排除できません。
VoidLink: モジュラー、クラウド対応、AI 支援
VoidLink は、主に Linux システムを対象としたクラウドネイティブのモジュラーフレームワークであり、迅速な smash-and-grab 攻撃ではなく、長期的でステルス性の高いアクセスを提供するように設計されています。
Tetragon は、カーネル内で直接イベントをアラートしブロックします。 強制メカニズムには、システムコールの戻り値の上書きが含まれます。
メインインプラントは Zig で記述され、プラグインは C で、バックエンドは Go を使用しており、オペレーターにさまざまな環境に迅速に拡張できる柔軟なスタックを提供します。
このフレームワークはクラウド対応であり、Kubernetes または Docker で実行されているかどうかを検出し、プロバイダー固有のメタデータ API をクエリして周囲の環境をよりよく理解できます。
Linux インプラントには、eBPF ベースまたはロード可能なカーネルモジュールベースのルートキット、コンテナ特権昇格、サンドボックスエスケープなどの高度な機能が含まれており、多くのプラグインはサーバーだけでなくデスクトップ Linux も対象としています。これは今日の脅威の状況では比較的珍しいことです。
開発は、大規模言語モデル対応の統合開発環境によって大きく支援されているようで、フレームワークは約 2 か月で本番環境に近い状態に達することができました。
Cisco Talos は、開発と運用に異なるチームが取り組んでいるようであり、オペレーターはインプラントカーネルモジュールのソースと、C2 を経由せずにインプラントと通信できるツールへのアクセス権を持っており、内部プロトコルの深い知識を示していると指摘しています。
VoidLink の革新は、C2 サーバーが各ターゲットに対してカーネルモジュールとプラグインを動的に構築する、コンパイルオンデマンドモデルです。
これにより、特定の Linux ディストリビューションとカーネルバージョンに最適化されたカスタマイズされたインプラントが可能になり、静的シグネチャが削減され、被害者マシン上でビルドツールを必要としなくなります。
このアーキテクチャは、将来のAI 対応攻撃フレームワークの基礎を築きます。このフレームワークでは、インプラントが必要に応じて C2 から新しい「ツール」(データベースアクセスプラグインや内部 Web サービスのエクスプロイトなど) を要求できます。
C2 側のエージェントは、これらのツールをオンデマンドで調査、生成、コンパイルできるため、オペレーターが環境を探索し続ける間、継続的な適応が可能になります。
Windows の兆候
多くの攻撃フレームワークとは異なり、VoidLink には、完全な監査ログと、SuperAdmin、Operator、Viewer の役割を持つロールベースのアクセス制御などのエンタープライズスタイルの制御が含まれています。
これらの機能は、法的および企業の監視をサポートし、このようなツールチェーンが「防衛請負業者グレード」のインプラント管理プラットフォームに近づいているという考えを強化しています。
メッシュピアツーピアルーティングとデッドレターキューメカニズムにより、インプラントは互いにトラフィックをルーティングし、厳格なエグレスフィルターをバイパスできる隠れた内部ネットワークを構築できます。
公開されているサンプルは Linux に焦点を当てていますが、Cisco Talos は、メインインプラントが Windows 用にもコンパイルされており、DLL サイドローディングを通じてプラグインをロードできることを明確に報告していますが、Windows サンプルはまだ回収されていません。
EDR 認識、難読化、アンチ分析機能を含む VoidLink の機能は、検出を困難にし、ラテラルムーブメントとデータ盗難までの時間を短縮するように設計されています。
それでも、ベンダーはカバレッジの提供を開始しています。Cisco は VoidLink トラフィックと動作に対する Snort 2 および Snort 3 シグネチャを提供し、ClamAV はマルウェアを Unix.Trojan.VoidLink-10059283 として検出します。
VoidLink のようなフレームワークが進化するにつれて、防御側は、AI が加速する開発とオンデマンドツール生成が、従来の検出および対応サイクルよりも攻撃者に迅速な優位性を与えるキャンペーンをさらに期待する必要があります。
翻訳元: https://gbhackers.com/voidlink-framework/
