概要
Cisco Talosは、攻撃者がクラウドやエンタープライズ環境でインプラントを管理する方法を変える新しく発見されたマルウェアフレームワークVoidLinkについて報告しました。このフレームワークは、UAT-9921と呼ばれる脅威アクターにリンクされており、オンデマンドコンパイル、モジュール型プラグイン、早期のWindowsサポートを特徴としています。
VoidLinkの機能
VoidLinkは、Linuxシステム向けに設計されたクラウドネイティブでモジュール型フレームワークです。このフレームワークは、長期的なステルスアクセスを提供するように設計されており、短期間での攻撃とは異なります。
VoidLinkのアーキテクチャ
- 主要なインプラントはZigで書かれています。
- プラグインはC言語で書かれています。
- バックエンドはGo言語を使用しています。
このフレームワークは、クラウド環境を認識し、KubernetesやDockerが動作している場合に特定のメタデータAPIをクエリします。これにより、インプラントはその周囲の状況をよりよく理解することができます。
オンデマンドコンパイルモデル
VoidLinkの革新的な機能は、C2サーバーがターゲットごとにカーネルモジュールやプラグインを動的にビルドするオンデマンドコンパイルモデルです。これにより、特定のLinuxディストリビューションやカーネルバージョンに最適化された特注のインプラントが生成され、静的なシグネチャを減らし、ビルドツールを被害者のマシン上に必要としないようにします。
Windowsプラグインサポート
VoidLinkは、多くの攻撃フレームワークとは異なり、企業向けのコントロール(フルオーディットログや役割ベースのアクセス制御など)を備えています。これらの機能により、このツールチェーンが「防衛契約者グレード」のインプラント管理プラットフォームに近づいていることが示されています。
検出と対策
Cisco Talosは、VoidLinkの活動を追跡し、Snort 2およびSnort 3シグネチャやClamAVによるマルウェア検出ツールを開発しています。