Обнаружен VoidLink — сложная среда C2 для систем Linux в контейнерных и облачных средах
Мы уже привыкли к тому, что самые опасные угрозы в основном нацелены на Windows. Исследователи из Check Point Research обнаружили фреймворк под кодовым названием VoidLink, который закрывает брешь в арсенале киберпреступников. Это первый такой продвинутый инструмент, разработанный исключительно для сред Linux, работающих в облаке. Эксперты используют термин «гораздо более продвинутое, чем типичное вредоносное ПО для Linux».
VoidLink — это новый стандарт сложности вредоносного ПО для Linux. Платформа автоматически профилирует среду жертвы и выбирает стратегию сокрытия, адаптированную к обнаруженным функциям безопасности.
Портал Cyber.gov.pl объединяет службы кибербезопасности НАСК и Министерства цифровизации. Это может спасти вашу компанию
VoidLink — это не просто очередной бэкдор или троян, это полноценная экосистема атак, разработанная для современной инфраструктуры. Фреймворк состоит из более чем 30 подключаемых модулей, пользовательских загрузчиков, имплантатов и руткитов, работающих в памяти. Все это было написано в основном на языке Zig с дополнениями на Go и C, что говорит об очень высоких технических компетенциях создателей. Архитектура системы напоминает инфраструктуру Cobalt Strike и ее механизм объектных файлов Beacon, известный своими атаками на Windows, но VoidLink был создан с нуля с учетом облачных сред Linux и AWS, Google Cloud Platform, Microsoft Azure, Alibaba Cloud и Tencent Cloud. Вредоносная программа может не только определять, в какой среде она работает, но также проверять, работает ли она в контейнере Docker или модуле Kubernetes, а затем адаптирует свое поведение к конкретной конфигурации.
Исследователи обнаружили Landfall — коммерческое шпионское ПО, которое атакует смартфоны Samsung Galaxy через файлы DNG в WhatsApp.
Самая опасная особенность VoidLink — адаптивное скрытие. После запуска платформа сканирует систему на наличие решений EDR, инструментов мониторинга и механизмов усиления безопасности ядра. На основе собранных данных он рассчитывает так называемый показатель экологического риска и автоматически корректирует стратегии вторжения. В средах высокого риска вредоносное ПО замедляет сканирование портов, увеличивает интервалы связи с сервером C2 и выбирает более скрытные методы. Система руткитов столь же сложна. В зависимости от версии ядра Linux VoidLink автоматически выбирает один из трех методов: LD_PRELOAD для более старых версий (ниже 4.0), загружаемые модули ядра (LKM) для версий 4.0 и выше или руткиты с использованием eBPF для ядра 5.5+. Это позволяет ему скрывать свои процессы, файлы и сетевые подключения независимо от конфигурации целевой системы.
Сбой экосистемы Microsoft, невозможность войти в Azure, Minecraft и офисный пакет 365. Amazon AWS снова на заднем плане
Платформа поддерживает 37 различных плагинов, сгруппированных по категориям. Это средства разведки, антикриминалистики, контейнеры, модули повышения привилегий и бокового перемещения. К ним относятся плагины для автоматического обнаружения и изучения контейнеров, извлечения секретов из Kubernetes, сбора ключей SSH и токенов API и даже червя, распространяющегося через SSH. VoidLink может взаимодействовать с командным сервером через HTTP/HTTPS, WebSocket, туннелирование DNS и ICMP. Он шифрует весь трафик с помощью собственного протокола VoidStream и маскирует его под стандартную сетевую активность (запросы JavaScript, CSS или API). Образцы, проанализированные Check Point, также содержали еще не реализованные функции P2P-связи, которые позволили бы зараженным машинам пересылать пакеты между собой без необходимости выхода в Интернет. Если вредоносная программа обнаруживает попытку анализа, отладки или изменения кода, она немедленно удаляется из системы, а антикриминалистические модули стирают системные журналы, историю команд, записи входа в систему и перезаписывают удаленные файлы случайными данными, делая их невозможными для восстановления.
Северокорейские хакеры используют EtherHiding, скрывая вредоносное ПО в смарт-контрактах Ethereum и BNB Smart Chain
Согласно анализу Check Point, VoidLink, скорее всего, был создан в среде, имеющей связи с Китаем. Об этом говорят китайский интерфейс панели управления и оптимизации кода. Точные связи остаются неясными, но вредоносное ПО может быть связано с APT-группами, такими как Red Menshen (также известная как DecisiveArchitect или Earth Bluecrow), которая с 2021 года использует современные бэкдоры для Linux, включая BPFDoor. На сегодняшний день не было подтверждено ни одного активного заражения VoidLink в производственной среде. Образцы содержали символы отладки и артефакты разработки, что позволяет предположить, что исследователи столкнулись с версиями в разработке. Однако быстрый темп обновлений и подробная документация указывают на то, что фреймворк может быть предназначен для коммерческой продажи в качестве инструмента для красных команд, продукта для подполья или специализированной системы для конкретного государственного клиента.
Microsoft подтверждает эксплуатацию CVE-2025-10035 нулевого дня в GoAnywhere MFT хакерами с максимальным баллом угрозы 10,0
Появление VoidLink знаменует собой прорыв в сфере угроз для систем Linux. В то время как Windows уже много лет имеет передовые платформы управления атаками, Linux долгое время оставался вне интереса профессиональных создателей вредоносного ПО. Сейчас, когда организации массово переносят рабочие нагрузки в облако, а инфраструктура на базе Linux, Docker и Kubernetes становится стандартом, появление такого инструмента, как VoidLink, было лишь вопросом времени. Эта платформа может ознаменовать начало новой эры атак на серверные среды. Точно так же, как Cobalt Strike изменил ландшафт атак на Windows, VoidLink может определить будущее угроз облачных вычислений.
Источник: Исследование Check Point.
