Noul framework malware VoidLink vizează serverele cloud Linux

Un framework malware Linux avansat, nativ pentru cloud, descoperit recent, numit VoidLink, se concentrează pe mediile cloud, oferind atacatorilor loader-e personalizabile, implementări, rootkit-uri și plugin-uri concepute pentru infrastructurile moderne.

VoidLink este scris în Zig, Go și C, iar codul său prezintă semne ale unui proiect în curs de dezvoltare activă, cu documentație extinsă și probabil destinat scopurilor comerciale.

Momentan nu au fost confirmate infecții active, ceea ce susține ipoteza că malware-ul a fost creat fie ca produs comercializat, fie ca framework dezvoltat pentru un utilizator.

VoidLink este un framework modular post-exploatare pentru sistemele Linux care permite atacatorilor  să controleze mașinile compromise rămânând ascunși, să extindă funcționalitatea cu plugin-uri și să adapteze comportamentul la medii cloud și container specifice.

Odată ce implicitul este activat, acesta verifică dacă rulează în Docker sau Kubernetes și interoghează metadatele instanței cloud pentru furnizori precum AWS, GCP, Azure, Alibaba și Tencent, cu planuri de a adăuga Huawei, DigitalOcean și Vultr.

Framework-ul colectează detaliile sistemului, cum ar fi versiunea kernel-ului, hipervizorul, procesele și starea rețelei, și scanează pentru EDR-uri, întărirea kernel-ului și instrumente de monitorizare.

Toate informațiile și un scor de risc calculat pe baza soluțiilor de securitate instalate și a măsurilor de protecție sunt transmise operatorului, permițându-i să ajusteze comportamentul modulului, cum ar fi scanarea mai lentă a porturilor și intervale mai lungi de transmitere.

Implementarea comunică cu operatorul utilizând mai multe protocoale (HTTP, WebSocket, tunneling DNS, ICMP), împachetate într-un strat de mesagerie criptat personalizat numit VoidStream, care maschează traficul pentru a semăna cu activitatea normală a web-ului sau API-ului.

Plugin-urile VoidLink sunt fișiere obiect ELF încărcate direct în memorie și apelează API-urile framework-ului prin intermediul apelurilor de sistem.

Pentru a se asigura că aceste operațiuni rămân nedetectate, VoidLink utilizează un set de module rootkit care ascund procesele, fișierele, socket-urile de rețea sau chiar rootkit-ul în sine.

În funcție de versiunea kernelului gazdei, framework-ul utilizează LD_PRELOAD (versiuni mai vechi), LKM (module kernel încărcabile) sau rootkit-uri bazate pe eBPF.

În plus, VoidLink poate detecta debugger-ele din mediu, utilizează criptarea codului în timpul rulării și efectuează verificări de integritate pentru a detecta hook-uri și manipulări, toate acestea fiind mecanisme avansate anti-analiză.

Sursă: https://www.bleepingcomputer.com/news/security/new-voidlink-malware-framework-targets-linux-cloud-servers/