Совершенно новое вредоносное ПО для Linux под названием VoidLink нацелено на облачную инфраструктуру жертв с помощью более чем 30 плагинов, которые позволяют злоумышленникам проводить целый ряд незаконных действий: от скрытой разведки и кражи учетных данных до латерального перемещения и злоупотребления контейнерами.
Обнаружив вмешательство или анализ вредоносного ПО на зараженной машине, VoidLink может самостоятельно удалить себя и запустить модули противодействия криминалистическому анализу, предназначенные для устранения следов своей активности.
В декабре специалисты Check Point Research обнаружили ранее неизвестные образцы вредоносного ПО, написанного на языке Zig для Linux, которые, по всей видимости, происходят из китайской среды разработки с интерфейсом командно-контрольного центра, локализованным для китайских операторов.
Разработчики внутренне называли его «VoidLink», и образцы указывали на находящийся в разработке фреймворк вредоносного ПО, а не на готовый инструмент.
«Предполагаемое назначение фреймворка остается неясным, и на момент написания этой статьи не было зафиксировано никаких свидетельств реальных заражений», — говорится в отчете исследовательской группы, опубликованном во вторник. «Способ его создания предполагает, что в конечном итоге он может быть позиционирован для коммерческого использования — либо как предлагаемый продукт, либо как фреймворк, разработанный для конкретного заказчика».
Особого внимания заслуживают две его особенности. Во-первых, VoidLink специально разработан для работы в облачных средах на базе Linux. После заражения машины жертвы он сканирует и обнаруживает AWS, Google Cloud Platform, Microsoft Azure, Alibaba и Tencent, а разработчики планируют добавить обнаружение Huawei, DigitalOcean и Vultr.
В то время как операторы вредоносного ПО традиционно фокусировались на системах на базе Windows, облачная направленность VoidLink имеет большое значение. Правительственные учреждения, глобальные предприятия, объекты критической инфраструктуры и другие высокоценные цели атак все чаще используют облачные сервисы и размещают свои наиболее конфиденциальные системы в облаке. Таким образом, вредоносное ПО, охотящееся за публичными облачными провайдерами зараженных машин, вероятно, принесет большую выгоду как шпионам, спонсируемым государством, так и бандам, занимающимся вымогательством ради финансовой наживы.
Помимо возможностей обнаружения облачных сервисов, VoidLink примечателен своими пользовательскими загрузчиками, имплантами, руткитами и многочисленными модулями, которые предоставляют злоумышленникам полный спектр скрытых возможностей операционной безопасности, делая его «гораздо более продвинутым, чем типичное вредоносное ПО для Linux», по мнению Check Point.
Фреймворк включает в себя несколько руткитов на уровне ядра и выбирает, какой из них развернуть, в зависимости от среды, в которой он работает. VoidLink также использует руткиты для сокрытия своих процессов, файлов, сетевых сокетов и самих модулей руткитов.
Он использует пользовательский API, который аналитики угроз описывают как очень похожий на API Beacon от Cobalt Strike и, вероятно, вдохновленный им. А также включает не менее 37 плагинов — все они подробно описаны в аналитическом отчете Check Point, который стоит изучить, — которые разработчики организуют по категориям.
Некоторые из этих возможностей включают:
- Плагины разведки, которые обеспечивают профилирование системы и среды, перечисление пользователей и групп, обнаружение процессов и служб, а также отображение файловой системы и сети.
- Обнаружение Kubernetes и Docker, инструменты для повышения привилегий и проверки выхода из контейнеров.
- Множество плагинов для кражи учетных данных и секретов.
- Инструменты для постэксплуатации, включая командные оболочки, перенаправление портов и туннелирование, а также червя на основе SSH, который может подключаться к известным хостам и распространяться латерально.
- Плагины для обеспечения персистентности.
- Компоненты противодействия криминалистическому анализу, которые стирают или редактируют журналы и историю командной оболочки.
«Фреймворк предназначен для долгосрочного доступа, наблюдения и сбора данных, а не для краткосрочного нарушения работы», — заявили исследователи Check Point в последующем блоге о VoidLink. «Его конструкция отражает уровень планирования и инвестиций, обычно ассоциируемый с профессиональными субъектами угроз, а не со случайными злоумышленниками, что повышает ставки для защитников, которые могут никогда не узнать, что их инфраструктура была тихо захвачена». ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
