Исследователи обнаружили новую изощренную и модульную структуру вредоносного ПО, предназначенную для скрытой работы в системах и контейнерах Linux. По всей видимости, этот фреймворк был разработан китайскими специалистами, обладающими глубокими знаниями о внутреннем устройстве Linux, и создан для использования против облачных серверов.
«Этот фреймворк, который его создатели внутри называют VoidLink, представляет собой облачный имплант, написанный на языке Zig и предназначенный для работы в современной инфраструктуре», — говорится в отчете специалистов фирмы Check Point. «Он способен распознавать основные облачные среды и определять, запущен ли он внутри Kubernetes или Docker, после чего соответствующим образом настраивает свое поведение».
Check Point обнаружила лишь образцы вредоносного ПО, которые выглядят как находящийся в разработке проект, а не как готовый продукт. Тем не менее, проект выглядит зрелым, и исследователи компании подозревают, что скоро это вредоносное ПО будет применяться в реальных атаках, возможно, для кибершпионажа или компрометации цепочек поставок, поскольку оно собирает учетные данные для облачных сред и систем управления исходным кодом.
Высокая расширяемость и настраиваемость
VoidLink черпает вдохновение в импланте-маяке Cobalt Strike — фреймворке для симуляции действий противника, который на протяжении многих лет широко используется злоумышленниками. Вредоносное ПО использует API для взаимодействия с дополнительными плагинами, которые предоставляют разнообразный набор функций.
По умолчанию платформа поставляется с 37 плагинами, которые можно выбрать и доставить жертве для активации дополнительных возможностей. Однако оператор также может загружать пользовательские плагины. Управление этим осуществляется через профессионально выглядящую веб-панель командно-контрольного центра (C2).
«Этот интерфейс локализован для операторов, связанных с Китаем, но навигация соответствует привычной схеме C2: левая боковая панель группирует страницы по разделам: «Панель управления», «Атака» и «Инфраструктура»», — отмечают исследователи. «Раздел «Панель управления» охватывает основной цикл работы оператора (менеджер агентов, встроенный терминал и конструктор имплантов). В отличие от этого, раздел «Атака» организует действия после первоначального проникновения, такие как разведка, получение учетных данных, закрепление, боковое перемещение, внедрение в процессы, сокрытие и стирание следов».
Фреймворк вредоносного ПО написан на Zig — относительно новом языке программирования, который является альтернативой C и представляет собой необычный выбор для разработки вредоносного ПО. Впрочем, разработчики также продемонстрировали владение другими языками, такими как Go, C, и JavaScript-фреймворками вроде React.
Исследователи отмечают, что VoidLink значительно превосходит по уровню сложности типичное вредоносное ПО для Linux. Его ядро хорошо спроектировано и отвечает за управление состоянием, связь и выполнение задач, которые доставляются с помощью двухэтапного загрузчика. Операторы могут передавать дополнительный код для выполнения в виде плагинов.
Облачная разведка и адаптивность
Вредоносное ПО было разработано для обнаружения того, выполняется ли оно на различных облачных платформах, таких как AWS, GCP, Azure, Alibaba и Tencent, а затем для начала использования управляющих API этих провайдеров. Код указывает на планы разработчиков добавить в будущем обнаружение для Huawei, DigitalOcean и Vultr.
Вредоносное ПО собирает обширную информацию о машине и среде, в которой оно работает, включая то, является ли она контейнером Docker или подом Kubernetes. Затем оно может выполнять модули для действий после проникновения, которые пытаются повысить привилегии посредством побегов из контейнеров или бокового перемещения в другие контейнеры.
«В конечном счете, цель этого импланта, по-видимому, заключается в скрытом, долгосрочном доступе, наблюдении и сборе данных», — заявили исследователи, добавив, что разработчики могут стать целью для первоначальной доставки.
Еще одним интересным аспектом является наличие у вредоносного ПО сложного алгоритма, с помощью которого оно адаптирует свои действия в зависимости от уровня защищенности среды. Оно сканирует распространенные инструменты конечных точек и реагирования на обнаружение (EDR) для Linux, а также технологии укрепления ядра, после чего вычисляет показатель риска для среды, который затем используется для выбора стратегии уклонения от обнаружения.
Вредоносное ПО также содержит несколько руткит-компонентов со стратегиями развертывания для различных версий ядра Linux, которые оно будет устанавливать в зависимости от среды, в которой работает. Эти руткит-модули скрывают процессы, файлы и сетевые сокеты вредоносного ПО.
Трафик C2 скрывается различными способами, в том числе в виде зашифрованных данных в файлах PNG или JS, HTML или CSS, что затрудняет его обнаружение на сетевом уровне.
«VoidLink стремится максимально автоматизировать уклонение, профилируя среду и выбирая наиболее подходящую стратегию для работы в ней», — говорят исследователи. «Дополненный методами работы в режиме ядра и обширной экосистемой плагинов, VoidLink позволяет операторам перемещаться по облачным средам и экосистемам контейнеров с адаптивной скрытностью».
Хотя вредоносное ПО для Linux встречается реже и часто менее изощренно, чем программы для Windows, VoidLink выделяется как уникальный и весьма мощный фреймворк. Даже если не до конца ясно, предназначен ли этот зловред для киберпреступников или как будущий коммерческий фреймворк для тестирования на проникновение, он служит примером угроз, к защите от которых организациям следует быть готовыми в своих облачных средах на базе Linux.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin
