クラウドネイティブ環境を狙う新手のマルウェア「VoidLink」の脅威
チェック・ポイント・リサーチは、クラウドネイティブ環境を標的とする脅威を著しくエスカレートさせる、高度なLinuxマルウェアフレームワーク「VoidLink」を特定しました。この洗練されたフレームワークは、中国関連の開発者によって開発され、カスタムローダー、インプラント、ルートキット、そして30以上のモジュール型プラグインを組み合わせています。これらは、複数の運用セキュリティ層を回避しながら、Linuxシステムへの永続的なアクセスを維持するように特別に設計されています。
Zig言語とCobalt Strikeに触発されたモジュラー設計
このマルウェアはZig言語で書かれており、Cobalt StrikeのBeacon Object Filesのアプローチに触発されたカスタムプラグインAPIを中心に構築されたモジュラーアーキテクチャを採用しています。このフレームワークの柔軟性により、脅威アクターは必要な機能のみを選択・展開できるため、フットプリントを削減しながら運用効果を最大化できます。
開発成果物からは、活発なイテレーションと改良が示唆されており、サンプルにはデバッグシンボルが含まれていることから、機能の継続的な強化がうかがえます。この迅速な開発サイクルは、開発者がGo、Zig、C、そしてReactのような現代のウェブフレームワークを含む複数のプログラミング言語にわたる高度な技術的専門知識を持っていることを示しています。
主要クラウドプロバイダーとコンテナ環境への特化
VoidLinkが従来のLinuxマルウェアと一線を画すのは、クラウド環境向けに明確に設計されている点です。実行時にマルウェアは広範な偵察を行い、侵害されたシステムをホストしているクラウドプロバイダーを特定します。現在、AWS、GCP、Azure、Alibaba、Tencentを検出し、将来的にはHuawei、DigitalOcean、Vultrもサポートする計画です。
その後、マルウェアはクラウドプロバイダーのメタデータAPIにクエリを実行し、侵害されたインスタンスに関する詳細な情報を収集します。このフレームワークは、コンテナ化された環境にも偵察機能を拡張し、DockerコンテナやKubernetesポッドを積極的に検出します。
このクラウドネイティブな焦点は、脅威アクターがクラウド環境と直接インターフェースするソフトウェアエンジニアやインフラ管理者を特に標的としていることを示唆しています。Gitリポジトリやクラウドサービスに関連する認証情報の収集は、サプライチェーン攻撃の可能性も示唆しています。
高度な運用セキュリティメカニズム
VoidLinkは、隠密な運用を維持するために複数の洗練された運用セキュリティメカニズムを実装しています。展開時、マルウェアはインストールされているセキュリティ製品とカーネル強化技術を列挙し、環境のリスクスコアを計算してそれに応じて動作を適応させます。監視の厳しい環境では、フレームワークはスキャン攻撃性を減らし、コマンド&コントロール通信間のタイミング間隔を増やします。
改ざんが検出された場合、自己削除機能が作動し、悪意のあるアーティファクトの削除を確実にします。さらに、VoidLinkはランタイムコード暗号化を採用しており、実行中に保護されたコード領域を復号し、実行後に再暗号化することでメモリスキャナーによる検出を回避します。
このフレームワークには、カーネルのバージョンと検出された機能に基づいて展開される複数のルートキット実装が含まれています。
- LD_PRELOAD
- eBPF
- Loadable Kernel Modules
これらにより、プロセス、ファイル、ネットワークソケット、およびルートキットモジュール自体を選択的に隠蔽することができます。
包括的なウェブダッシュボードと多様な通信プロトコル
このフレームワークには、オペレーターが展開されたエージェントとプラグインを完全に制御できる包括的なウェブベースのダッシュボードが含まれています。インターフェースは中国語話者向けにローカライズされており、「ダッシュボード」「攻撃」「インフラ」のセクションに機能が整理されています。
ダッシュボードには、設定可能な回避体制とビーコン間隔を備えたカスタムバリアントを生成できるインプラントビルダーと、37の利用可能なデフォルトモジュールの展開をサポートするプラグイン管理パネルが備わっています。
VoidLinkは、HTTP/1.1、HTTP/2、WebSocket、DNS、ICMPを含む複数のトランスポートプロトコルをサポートしており、これらはすべて「VoidStream」と呼ばれるカスタムプロトコルを介して管理されます。フレームワークは、正当なウェブサイトコンテンツやAPIトラフィックを模倣することでネットワークトラフィックを偽装し、外部インターネットアクセスを必要とせずに侵害されたホスト間で通信を可能にするピアツーピアメッシュネットワーキングの部分的なサポートも行います。
高度な脅威の潜在的可能性
これまでのところ、確認された現実世界の感染がないことは、VoidLinkが展開前の段階にあるか、または非常に標的を絞った個別作戦で展開されている可能性を示唆しています。しかし、このフレームワークの商用グレードのアーキテクチャと包括的なドキュメントは、即座の運用展開に適した成熟度を示しています。