VoidLinkは、侵害されたシステムで深い隠蔽性を維持するために、稀なハイブリッドアーキテクチャを活用した、洗練されたクラウドネイティブのLinuxマルウェアフレームワークです。
2026年1月にCheck Point Researchによって初めて文書化され、このモジュール型フレームワークは30以上のプラグインを備えており、CentOS 7からUbuntu 22.04までのLinuxディストリビューションを標的とするために複数の世代にわたって進化してきました。
中国語を話す脅威アクターに関連するデータダンプの最近の調査により、VoidLinkのルートキットサブシステムの生の開発履歴が露呈されました。
クラウド環境に難なく適応するため、マルウェアは「amd_mem_encrypt」などの名前を使用して、正当なAMDカーネルモジュールになりすまし、簡単な検査を回避します。
単一の隠蔽方法に依存する従来のLinuxルートキットとは異なり、VoidLinkはロード可能なカーネルモジュール(LKM)とExtended Berkeley Packet Filter(eBPF)プログラムを統合して、回避を最大化します。
LKMコンポーネントはマルウェアの主要な骨組みとして機能し、ftraceフレームワークを介して深いカーネル操作とシステムコールフッキングを実行します。
悪意のあるプロセスを正常に隠蔽し、機密システムファイルをフィルタリングし、インターネット制御メッセージプロトコル(ICMP)を使用した秘密のコマンド・アンド・コントロールチャネルを管理します。
このICMPチャネルは、コマンドパケットを処理した直後に破棄することで完全に無音で動作し、リッスンポートやファイルシステムアーティファクトが露呈しないことを保証します。
詳細なソースコード分析は、VoidLinkが人工知能駆動の開発ワークフローを使用して設計されたことの否定できない証拠を提供します。
脅威アクターはTRAE統合開発環境を利用してフレームワーク全体を生成し、基本的な概念を1週間以内に完全に機能するカーネルインプラントに変換しました。
回復されたコードは、段階的なリファクタリング注釈、基本的なカーネルコンセプトを説明するチュートリアルスタイルのコメント、大規模言語モデルの出力を密接に反映する一貫したフォーマットを備えています。
しかし、アクティブなAlibabaクラウドインフラストラクチャのIPアドレスと特定のLinuxカーネルバージョンをターゲットにしたコンパイル済みバイナリが含まれていることは、人間のオペレータがテストと運用展開フェーズを積極的に管理したことを確認しています。
この効果的な人間とAIの協力は、技術的な参入障壁を大幅に低下させ、経験の少ないオペレータが高度に複雑なカーネルレベルのマルウェアを作成できるようにします。
その高度な隠蔽メカニズムにもかかわらず、セキュリティチームは包括的な多層防御戦略を採用することでVoidLinkを検出できます。
Linuxカーネルロックダウンモードと一緒にSecure Bootを適用することで、これらの不正な悪意のあるモジュールがメモリで実行されるのを正常に防ぐことができます。
管理者は、本番サーバ上の予期しないカーネルモジュール読み込みイベントについてelastic Auditdサブシステムを監視することを強く推奨されています。
さらに、__sys_recvmsg関数に付加された異常なフックについてアクティブなeBPFプログラムを検査することで、ネットワーク隠蔽操作を露呈することができます。最も信頼性の高い検出戦略は、動作の相互参照に依存しています。
翻訳元: https://cyberpress.org/voidlink-rootkit-hides-using-ebpf/