国連ヌエボ クラウド向けにゼロから設計された Linux マルウェア フレームワーク、バプテスマを受けた ボイドリンクこれは、その技術レベルの高さからセキュリティアナリストの注目を集めており、 io_uringを使用して隠れるLinuxマルウェア その狙いは明らかに現代のインフラに向けられています。2025年後半に初めて検出されたこのツールは、従来のマルウェアファミリーとは似ても似つきません。むしろ、疑惑を招かずに長期間動作するように設計された、完全なエクスプロイト後のプラットフォームのように動作します。
チェックポイントリサーチなどの企業による調査 彼らはVoidLinkを指している まだ開発段階にある 大規模なキャンペーンではなく、商用利用や特定のクライアントを対象としているようです。現時点では実際の感染は確認されていませんが、入手可能な資料、モジュールの広範さ、そしてコードの品質の高さから、サプライチェーン攻撃などの過去の事例と同様に、近年分析されたLinux脅威の中でも最も高度なものの一つに数えられます。
VoidLink: クラウドとコンテナ向けに設計されたマルウェアフレームワーク
VoidLinkは、 Linuxシステム向けのクラウドファースト実装クラウドベースのインフラストラクチャとコンテナ環境で安定して動作するように設計されたこのフレームワークは、カスタムローダー、インプラント、ルートキットのようなコンポーネント、およびオペレーターがそれぞれの目的と操作の段階に応じて機能を調整できる幅広いプラグインを統合しています。
プラットフォームの中核は主に Zig、Go、Cなどの言語これにより、複数のディストリビューション間での移植性とパフォーマンスが向上します。内部アーキテクチャは、Cobalt StrikeのBeacon Object Filesなどのアプローチに着想を得た独自のプラグインAPIを中心に構築されており、モジュールをメモリにロードして機能を拡張する際に、毎回新しいバイナリを展開する必要がなくなります。
技術的な分析によると、モジュール設計により VoidLink の機能が実現可能になります。 オンザフライで更新または変更されます単純な偵察任務から継続的なスパイ活動やサプライチェーンへの潜在的な攻撃まで、作戦のニーズに応じて機能を追加または削除します。
クラウドプロバイダーと環境のインテリジェントな検出
専門家が最も懸念する点の一つは、VoidLinkの 実行される環境を特定するインプラントは、それが Docker コンテナ内にあるか Kubernetes ポッド内にあるかを確認し、インスタンスのメタデータを照会して、基盤となるクラウド プロバイダーを判別します。
フレームワークが認識するサービスは次のとおりです。 Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure、Alibaba Cloud、Tencent CloudHuawei Cloud、DigitalOcean、Vultr などの他のプロバイダーとの互換性を追加する計画がコードにすでに示されているため、発見した内容に基づいて動作とアクティブ化するモジュールを調整し、露出を最小限に抑えます。
このプロファイリング機能はホストシステムにも拡張されます: VoidLink カーネル、ハイパーバイザー、プロセス、ネットワークの状態に関する詳細情報を収集します。また、エンドポイント検出および対応(EDR)ソリューション、カーネル強化対策、および活動を明らかにする可能性のある監視ツールの存在もチェックするため、使用することをお勧めします。 ルートキットをスキャンするためのツール 法医学分析において。
VoidLinkのモジュラーアーキテクチャとプラグインシステム
このフレームワークの核となるのは コマンドアンドコントロール(C2)通信を管理する中央オーケストレーター タスクを各モジュールに分散します。メモリに直接ロードされ、システムコールを介して内部APIとやり取りするELFオブジェクトとして実装された数十のプラグインがこのコアに依存しています。
分析したバージョンでは デフォルトでは35〜37個のプラグインこれらの機能は、偵察、ラテラルムーブメント、パーシステンス、アンチフォレンジック、コンテナおよびクラウド管理、認証情報窃取といったカテゴリーに分類されています。この構造により、VoidLinkはLinux向けの真のポストエクスプロイトプラットフォームとなり、侵入テストで使用される専門ツールと同等の性能を発揮します。
メモリ内プラグインシステムを選択すると、機能を追加するために新しいバイナリをディスクに書き込む必要がなくなり、 コミットされたチームへの影響を大幅に削減 フォレンジックアナリストやファイルベースの検出ソリューションの作業を複雑化します。
リモートコントロールとビルド作成用のWebパネル
VoidLinkオペレーターは ウェブアクセス可能なコントロールパネルReactなどの最新技術を用いて開発されたこのコンソールは、侵入ライフサイクル全体を管理することを可能にします。中国語でドキュメント化されており、インプラントのカスタマイズバージョンの作成、タスクの割り当て、プラグインのアップロードとダウンロード、そして侵入先システム上のファイルの管理が可能です。
このパネルを通じて、攻撃者は 攻撃のさまざまな段階を調整する環境の初期偵察、持続性の確立、マシン間の横方向の移動、回避技術の使用、痕跡の消去。パネルには、通信間隔、ステルスレベル、コマンドインフラストラクチャへの接続方法など、運用パラメータをリアルタイムに変更するためのオプションが統合されています。
このアプローチは、単純な一回限りのマルウェアというよりは商用製品に近いものであり、VoidLinkが これはサービスとして、またはオンデマンド フレームワークとして提供できます。単一のグループ専用のツールではなく、
VoidLinkは複数のコマンドと制御チャネルを使用します
攻撃者のインフラと通信するために、VoidLinkは 複数のC2プロトコルこれにより、さまざまなネットワークシナリオや監視レベルに柔軟に対応できます。サポートされるチャネルには、従来のHTTPおよびHTTPS、WebSocket、ICMP、さらにはDNS経由のトンネルも含まれます。
これらの従来のプロトコルの上に、独自の暗号化層が重ねられており、 「ボイドストリーム」この難読化はトラフィックを偽装し、正当な Web リクエストや API 呼び出しに見せかけるように設計されており、トラフィック ベースのセキュリティ ソリューションでは単純なシグネチャで異常なパターンを検出することが困難になります。
この柔軟性のおかげで、事業者は より目立たない通信構成環境のネットワーク制御が厳しい場合は、ビーコン間隔を長くしたり、ICMP などのあまり一般的ではないチャネルを使用したりすることで対応します。
ルートキットと高度な隠蔽技術
VoidLinkにはいくつかのモジュールが組み込まれており、 Linuxカーネルに適応したルートキット機能 侵入先のマシン上で実行される。バージョンや利用可能な機能に応じて、LD_PRELOADによるインジェクション、ロード可能なカーネルモジュール(LKM)、eBPFベースのルートキットなど、様々な手法を用いて活動を隠蔽する。これは、最近の脅威で見られるように、 systemd を装った rotajakiro.
これらのコンポーネントにより、 プロセス、ファイル、ネットワークソケット、さらにはルートキット自体を隠す管理者や監視ツールへの目に見える兆候を最小限に抑えます。システム特性を分析した上で適切なモジュールが選択され、互換性とパフォーマンスの両方が最適化されます。
これらの技術をメモリ内ロードシステムとコンテナ環境で動作する機能と組み合わせることで、フレームワークは 非常に控えめな存在感を維持することに成功しています。アクティビティレベルが高いサーバーや、複数のアプリケーションが同時に実行されているサーバーでも同様です。
認識、持続性、横方向の移動のためのVoidLinkプラグイン
膨大なプラグインのカタログの中で、特に注目すべきプラグインが目立ちます。 環境評価と情報収集これらのモジュールは、ユーザー、アクティブなプロセス、ネットワーク トポロジ、公開されているサービス、および存在するコンテナーとオーケストレーターの特性に関するデータを取得します。
他のプラグインは、 Linuxシステムにおける永続性の維持これには、ダイナミックローダーの悪用から、cronジョブのスケジュール作成、システムサービスの変更に至るまで、様々な手法が用いられます。これらの手法により、インプラントは再起動や中程度の設定変更にも耐え、さらなる侵入を必要とせずに生き残ることができます。
横方向の動きに関しては、VoidLinkには SSH経由で伝播するツールこの機能により、トンネルの作成、ポートフォワーディング、そしてマシン間のシームレスな接続を実現するリモートシェルの確立が可能になります。この機能は、SSHや内部ネットワークを介して多数のノードが接続されるマイクロサービスアーキテクチャを採用した欧州のインフラストラクチャにおいて特に有用です。
認証情報の盗難と開発者への集中
フレームワークの重要な部分は、 資格情報と秘密の抽出これには、クラウドサービスからのデータだけでなく、開発チームや運用チームが日常的に使用するツールのデータも含まれます。収集プラグインは、SSHキー、Git認証情報、アクセストークン、APIキー、ローカルパスワード、さらにはWebブラウザに保存されたデータも取得できます。
このガイダンスは、VoidLinkオペレーターが 開発者、システム管理者、DevOps担当者の優先ターゲット通常、このアクセスは重要なコードリポジトリや管理ダッシュボードへのアクセスを許可します。欧州の観点から見ると、この種の脅威は産業スパイ活動やソフトウェアサプライチェーンへの攻撃準備のシナリオに当てはまります。
認証プラグインに加えて、フレームワークは KubernetesとDocker用の特定のモジュールこれらのツールは、クラスターの列挙、構成ミスの検出、コンテナエスケープの試行、過剰な権限の検索などが可能です。これにより、当初は制限されていたアクセスが、組織のクラウド環境に対するより広範な制御へと進化していく可能性があります。
アンチフォレンジックと自動回避メカニズム
VoidLinkは侵入するだけでなく、 彼らの行動の痕跡を消すアンチフォレンジックプラグインには、ログエントリを編集または削除する機能、シェル履歴を消去する機能、ファイルのタイムスタンプを操作する機能(タイムストンプ)が含まれており、その後に何が起こったかを分析することがより困難になります。
このインプラントには、 分析と除去に対する保護メカニズムデバッガや高度な監視ツールの存在を検知し、自身のコードの整合性をチェックし、監視対象であることを示す潜在的なフックを見つけ出します。改ざんの兆候を発見した場合、自己破壊し、ファイルや活動の痕跡を削除するクリーンアップルーチンを起動します。
特に印象的なのは、 ランタイム暗号化による自己書き換えコードプログラムの特定のセクションは必要な場合にのみ復号化され、使用されていないときは再暗号化されるため、メモリ分析ソリューションのタスクが複雑になり、悪意のあるコンテンツがプレーンテキストで表示される期間が短縮されます。
導入された防御策に基づくリスク評価
フレームワークは、 セキュリティ環境の包括的なプロファイリング 侵入された各マシン上で、インストールされている保護製品、カーネル強化技術、監視対策をリスト化し、その情報から一種のリスクスコアを計算して動作を決定します。
システムが厳重に保護されていることを検知した場合、VoidLinkは 特定の活動を遅くするポートスキャンやC2サーバーへの通信といった、目立たない手法を選択します。リスクが低いと判断される環境では、フレームワークはより積極的に動作し、完全なステルス性よりも速度を優先します。
この適応能力は自動的に、 回避タスクを可能な限り自動化するこれにより、オペレーターは目標の決定に多くの時間を費やすことができ、特定の環境ごとに技術的なパラメータを手動で調整する時間が短縮されます。
VoidLinkの起源とプロジェクトの帰属
アナリストが集めた証拠は、 VoidLinkは中国語を話すチームによって開発されていたと伝えられているWeb パネル インターフェイスの場所、コード内の特定のコメント、および観察された最適化はその方向を示していますが、この種の研究ではよくあることですが、それは決定的な帰属ではありません。
開発の品質、複数の最新言語の使用、そして現在のウェブフレームワークの統合は、 高度なプログラミング経験とオペレーティングシステムの複雑な部分に関する深い知識これらすべては、プロジェクトが単なる孤立した実験を超え、長期にわたって維持されるプロフェッショナルなプラットフォームに近づいているという考えを裏付けています。
同時に、それらはまだ文書化されていないという事実 大規模な活発な感染キャンペーン これは、フレームワークがテスト段階にあり、非常に制限されたアクセス モデルで提供されており、または非常にターゲットを絞った操作でのみ使用されているため、ヨーロッパやその他の地域で検出するのが難しいという仮説を裏付けています。
VoidLinkの出現は、 Linux やクラウド環境を標的とするマルウェアの高度化は急速に進んでいます。これは、最近まで主にWindows向けの攻撃ツールに見られていた成熟モデルのレベルに近づいています。モジュール型アーキテクチャ、自動回避への重点、そして資格情報とコンテナへの重点的な取り組みは、スペインのみならずヨーロッパ全域において、クラウドベースのインフラストラクチャを持つあらゆる組織にとって、非常に深刻な脅威となっています。
