isang bagong Balangkas ng malware ng Linux na dinisenyo mula sa simula para sa cloud, nabinyagan bilang VoidLinkNakakaakit ito ng atensyon ng mga security analyst dahil sa teknikal na antas nito, katulad ng Malware ng Linux na nagtatago gamit ang io_uring at ang pokus nito ay malinaw na nakatuon sa mga modernong imprastraktura. Ang tool, na unang natukoy noong huling bahagi ng 2025, ay hindi katulad ng mga tradisyonal na pamilya ng malware: ito ay kumikilos na parang isang kumpletong post-exploitation platform, na idinisenyo upang gumana nang matagal na panahon nang hindi nagdudulot ng hinala.
Pananaliksik ng mga kompanya tulad ng Check Point Research Itinuro nila ang VoidLink Ito ay nasa aktibong yugto pa rin ng pag-unlad Tila ito ay inilaan para sa komersyal na paggamit o mga partikular na kliyente, sa halip na para sa malawakang kampanya. Bagama't wala pang aktwal na impeksyon na nakumpirma sa ngayon, ang magagamit na dokumentasyon, ang lawak ng mga module, at ang kalidad ng code ay naglalagay dito sa mga pinaka-advanced na banta sa Linux na sinuri nitong mga nakaraang taon, kasabay ng mga nakaraang insidente tulad ng mga pag-atake sa supply chain.
VoidLink: isang balangkas ng malware na idinisenyo para sa cloud at mga container
Ang VoidLink ay nagpapakita ng sarili bilang isang implementasyong cloud-first para sa mga sistemang LinuxDinisenyo upang gumana nang matatag sa mga imprastraktura na nakabatay sa cloud at mga kapaligiran ng container, isinasama ng framework ang mga custom loader, implant, mga component na parang rootkit, at isang malawak na hanay ng mga plugin na nagbibigay-daan sa mga operator na isaayos ang mga kakayahan nito ayon sa bawat layunin at yugto ng operasyon.
Ang core ng plataporma ay pangunahing itinayo sa mga wikang tulad ng Zig, Go, at CPinapadali nito ang kadalian ng pagdadala at pagganap nito sa maraming distribusyon. Ang panloob na arkitektura ay umiikot sa isang proprietary plugin API, na inspirasyon ng mga pamamaraan tulad ng Beacon Object Files ng Cobalt Strike, na nagbibigay-daan sa paglo-load ng mga module sa memorya at pagpapalawak ng functionality nang hindi kinakailangang mag-deploy ng mga bagong binary sa bawat oras.
Ayon sa teknikal na pagsusuri, ginagawang posible ng modular na disenyo ang mga gamit ng VoidLink. ay ina-update o binago 'nang mabilis'Pagdaragdag o pag-aalis ng mga kakayahan ayon sa mga pangangailangan ng operasyon: mula sa mga simpleng gawain ng pagmamanman hanggang sa patuloy na mga aktibidad ng paniniktik o mga potensyal na pag-atake sa supply chain.
Matalinong pagtukoy ng mga cloud provider at kapaligiran
Isa sa mga puntong pinaka-inaalala ng mga espesyalista ay ang kakayahan ng VoidLink na tukuyin ang kapaligiran kung saan ito tumatakboSinusuri ng implant kung ito ay nasa loob ng isang Docker container o isang Kubernetes pod, at kinukuwestiyon ang metadata ng instance upang matukoy ang pinagbabatayang cloud provider.
Ang mga serbisyong kinikilala ng balangkas ay kinabibilangan ng: Mga Serbisyo sa Web ng Amazon (AWS), Google Cloud Platform (GCP), Microsoft Azure, Alibaba Cloud at Tencent CloudDahil nakikita na ang mga plano sa code para magdagdag ng compatibility sa iba pang mga provider tulad ng Huawei Cloud, DigitalOcean, o Vultr, inaangkop nito ang kilos nito at ang mga module na ia-activate nito batay sa kung ano ang nakikita nito para mabawasan ang exposure.
Ang kakayahang ito sa pag-profile ay umaabot din sa host system: VoidLink Nangangalap ito ng detalyadong impormasyon tungkol sa kernel, hypervisor, mga proseso, at estado ng network.Sinusuri rin nito ang pagkakaroon ng mga solusyon sa Endpoint Detection and Response (EDR), mga hakbang sa pagpapatigas ng kernel, at mga tool sa pagsubaybay na maaaring magpakita ng aktibidad nito, kaya naman ipinapayong gamitin mga kagamitan para sa pag-scan ng mga rootkit sa pagsusuring porensiko.
Modular na arkitektura at sistema ng plugin ng VoidLink
Ang pinakasentro ng balangkas ay isang sentral na orkestrador na namamahala sa mga komunikasyon ng command at control (C2) at namamahagi ng mga gawain sa iba't ibang mga modyul. Dose-dosenang mga plugin, na direktang nilo-load sa memorya at ipinapatupad bilang mga ELF object na nakikipag-ugnayan sa panloob na API sa pamamagitan ng mga system call, ay umaasa sa core na ito.
Ang mga bersyong sinuri ay gumagamit ng sa pagitan ng 35 at 37 na plugin bilang defaultAng mga tampok na ito ay nakagrupo sa mga kategorya tulad ng reconnaissance, lateral movement, persistence, anti-forensics, container at cloud management, at credential theft. Ang istrukturang ito ang dahilan kung bakit ang VoidLink ay isang tunay na post-exploitation platform para sa Linux, kapantay ng mga propesyonal na tool na ginagamit sa penetration testing.
Ang pagpili ng in-memory plugin system, kasama ang kawalan ng pangangailangang magsulat ng mga bagong binary sa disk upang magdagdag ng mga kakayahan, ay nagbibigay-daan makabuluhang bawasan ang bakas ng paa sa mga nakatuong koponan at pinapakomplikado ang gawain ng mga forensic analyst at mga solusyon sa pagtukoy ng file.
Web panel para sa remote control at paggawa ng build
Ang mga operator ng VoidLink ay mayroong control panel na maaaring ma-access sa webBinuo gamit ang mga modernong teknolohiya tulad ng React, ang console na ito ay nagbibigay-daan sa mga user na pamahalaan ang buong siklo ng buhay ng intrusion. Nakadokumento sa wikang Tsino, nagbibigay-daan ito sa paglikha ng mga customized na bersyon ng implant, pagtatalaga ng mga gawain, pag-upload at pag-download ng mga plugin, at pamamahala ng mga file sa mga nakompromisong system.
Sa pamamagitan ng panel na ito, magagawa ng mga umaatake ayusin ang iba't ibang yugto ng pag-atakePaunang pagmamanman sa kapaligiran, pagtatatag ng persistence, paggalaw sa gilid sa pagitan ng mga makina, paggamit ng mga pamamaraan ng pag-iwas, at pag-alis ng mga bakas. Isinasama ng panel ang mga opsyon upang baguhin ang mga parameter ng operasyon nang mabilisan, tulad ng mga agwat ng komunikasyon, antas ng stealth, o mga paraan ng pagkonekta sa imprastraktura ng command.
Ang pamamaraang ito, na mas malapit sa isang komersyal na produkto kaysa sa isang simpleng minsanang malware, ay nagpapatibay sa teorya na ang VoidLink Maaari itong ialok bilang isang serbisyo o bilang isang on-demand na balangkas., sa halip na maging isang kasangkapan para sa eksklusibong paggamit ng iisang grupo.
Gumagamit ang VoidLink ng maraming channel ng command at control
Para makipag-ugnayan sa imprastraktura ng mga umaatake, ginagamit ng VoidLink ilang mga protocol ng C2Nagbibigay ito ng kakayahang umangkop sa iba't ibang sitwasyon ng network at mga antas ng pagsubaybay. Kasama sa mga sinusuportahang channel ang tradisyonal na HTTP at HTTPS, WebSocket, ICMP, at maging ang mga tunnel sa pamamagitan ng DNS.
Sa ibabaw ng mga kumbensyonal na protocol na ito ay may nakapatong na isang layer ng sarili nitong encryption, na kilala bilang "VoidStream"Dinisenyo upang itago ang trapiko at gawin itong parang mga lehitimong kahilingan sa web o mga tawag sa API, ang obfuscation na ito ay nagpapahirap para sa mga solusyon sa seguridad na nakabatay sa trapiko na matukoy ang mga maanomalyang pattern gamit ang mga simpleng lagda.
Dahil sa kakayahang umangkop na ito, maaaring pumili ang mga operator na mas maingat na mga konpigurasyon ng komunikasyonsa pamamagitan ng pagpapahaba ng mga beaconing interval o paggamit ng mga hindi gaanong karaniwang channel tulad ng ICMP kapag ang kapaligiran ay may mas mahigpit na mga kontrol sa network.
Mga Rootkit at mga advanced na pamamaraan sa pagtatago
Ang VoidLink ay may kasamang ilang mga modyul na may mga function ng rootkit na inangkop sa Linux kernel na tumatakbo sa nakompromisong makina. Depende sa bersyon at mga magagamit na kakayahan, maaari itong gumamit ng iba't ibang pamamaraan upang itago ang aktibidad nito: iniksyon sa pamamagitan ng LD_PRELOAD, mga loadable kernel module (LKM), o mga rootkit na nakabatay sa eBPF, gaya ng nakikita sa mga kamakailang banta tulad ng rotajakiro, nagbalatkayo bilang systemd.
Ang mga sangkap na ito ay nagpapahintulot itago ang mga proseso, file, network socket, at maging ang rootkit mismoPagbabawas ng mga nakikitang palatandaan para sa mga administrador at mga kagamitan sa pagsubaybay. Ang naaangkop na modyul ay pinipili pagkatapos suriin ang mga katangian ng sistema, na ino-optimize ang parehong compatibility at performance.
Sa pamamagitan ng pagsasama-sama ng mga pamamaraang ito sa isang in-memory loading system at ang kakayahang gumana sa mga container environment, ang balangkas Nagagawa nitong mapanatili ang isang napaka-maingat na presensya.kahit sa mga server na may mataas na antas ng aktibidad o sa maraming application na sabay-sabay na tumatakbo.
Mga plugin ng VoidLink para sa pagkilala, pagtitiyaga, at paggalaw sa gilid
Sa loob ng malawak na katalogo ng mga plugin, namumukod-tangi ang mga nakatuon dito. pagtatasa ng kapaligiran at pangangalap ng impormasyonAng mga modyul na ito ay kumukuha ng datos tungkol sa mga gumagamit, mga aktibong proseso, topolohiya ng network, mga nakalantad na serbisyo, at mga katangian ng mga container at orchestrator na naroroon.
Ang iba pang mga plugin ay nakatuon sa Pagpapanatili ng pagtitiyaga sa mga sistema ng LinuxKabilang dito ang paggamit ng mga pamamaraan mula sa pag-abuso sa dynamic loader hanggang sa paglikha ng mga naka-iskedyul na cron job o pagbabago ng mga serbisyo ng system. Gamit ang mga pamamaraang ito, ang implant ay maaaring makaligtas sa mga pag-reboot at katamtamang mga pagbabago sa configuration nang hindi nangangailangan ng karagdagang panghihimasok.
Tungkol sa paggalaw sa gilid, kasama sa VoidLink ang mga kagamitan para magpalaganap gamit ang SSHAng kakayahang ito ay nagbibigay-daan para sa paglikha ng mga tunnel, port forwarding, at pagtatatag ng mga remote shell na nagpapadali sa tuluy-tuloy na koneksyon sa pagitan ng mga makina. Ang kakayahang ito ay partikular na mahalaga sa mga imprastraktura sa Europa na may mga arkitektura ng microservices, kung saan maraming node ang konektado sa pamamagitan ng SSH at mga internal network.
Pagnanakaw ng kredensyal at pagtuon sa mga developer
Ang isang mahalagang bahagi ng balangkas ay nakatuon sa ang pagkuha ng mga kredensyal at mga sikretoKabilang dito ang data mula sa mga serbisyo sa cloud pati na rin ang mga tool na ginagamit araw-araw ng mga development at operations team. Maaaring makuha ng mga collection plugin ang mga SSH key, Git credential, access token, API key, local password, at maging ang data na nakaimbak ng mga web browser.
Nilalayon ng gabay na ito na matiyak na ang mga operator ng VoidLink ay mayroon prayoridad na target para sa mga developer, system administrator at mga tauhan ng DevOpsAng access na karaniwang nagbibigay ng access sa mga kritikal na code repository at management dashboard. Mula sa pananaw ng Europa, ang ganitong uri ng banta ay akma sa mga senaryo ng industrial espionage o ang paghahanda ng mga pag-atake sa software supply chain.
Bukod sa mga plugin ng kredensyal, nagbibigay ang balangkas ng mga partikular na modyul para sa Kubernetes at DockerAng mga tool na ito ay may kakayahang magbilang ng mga cluster, tumuklas ng mga maling configuration, sumubok ng mga container escape, at maghanap ng labis na mga pahintulot. Sa ganitong paraan, ang limitadong access sa simula ay maaaring umunlad tungo sa mas malawak na kontrol sa cloud environment ng isang organisasyon.
Mga mekanismo ng anti-forensics at awtomatikong pag-iwas
Hindi lamang naglalayong makalusot ang VoidLink, kundi pati na rin burahin ang bakas ng kanilang mga kilosKasama sa mga anti-forensic plugin nito ang mga function para i-edit o tanggalin ang mga log entry, linisin ang mga shell history, at manipulahin ang mga timestamp ng file (timestomping), na nagpapahirap sa kasunod na pagsusuri sa nangyari.
Kasama rin sa implant ang mga mekanismo ng proteksyon laban sa pagsusuri at paglilinisKaya nitong matukoy ang presensya ng mga debugger at mga advanced na tool sa pagsubaybay, suriin ang integridad ng sarili nitong code, at hanapin ang mga potensyal na hook na nagpapahiwatig na ito ay minomonitor. Kung makakakita ito ng mga senyales ng pakikialam, maaari nitong sirain ang sarili nito at mag-trigger ng mga gawain sa paglilinis na nag-aalis ng mga file at bakas ng aktibidad nito.
Isang partikular na kapansin-pansing elemento ay ang paggamit ng self-modify code gamit ang runtime encryptionMay ilang bahagi ng programa na dine-decrypt lamang kapag kinakailangan at muling ini-encrypt kapag hindi ginagamit, na nagpapahirap sa gawain ng mga solusyon sa pagsusuri ng memorya at binabawasan ang oras kung saan makikita ang malisyosong nilalaman sa plaintext.
Pagtatasa ng panganib batay sa mga naka-install na depensa
Ang balangkas ay nagsasagawa ng isang komprehensibong pag-profile ng kapaligirang pangseguridad sa bawat nakompromisong makina. Inililista nito ang mga naka-install na produkto ng proteksyon, mga teknolohiya sa pagpapatigas ng kernel, at mga hakbang sa pagsubaybay, at mula sa impormasyong iyon ay kinakalkula ang isang uri ng marka ng panganib na gumagabay sa pag-uugali nito.
Kung matukoy nito na ang sistema ay lubos na protektado, magagawa ng VoidLink pabagalin ang ilang mga aktibidadtulad ng mga port scan o komunikasyon sa C2 server, at pumili ng mga pamamaraan na hindi gaanong maingay. Sa mga kapaligirang itinuturing na mas mababa ang panganib, ang framework ay maaaring gumana nang mas agresibo, na inuuna ang bilis kaysa sa ganap na stealth.
Ang kakayahang umangkop ay awtomatikong umaakma sa nakasaad na layunin ng i-automate ang mga gawain sa pag-iwas hangga't maaarina nagpapahintulot sa mga operator na gumugol ng mas maraming oras sa pagpapasya sa mga layunin at mas kaunting oras sa manu-manong pagsasaayos ng mga teknikal na parameter para sa bawat partikular na kapaligiran.
Pinagmulan ng VoidLink at pagpapatungkol ng proyekto
Ang mga ebidensyang nakalap ng mga analyst ay nagpapahiwatig na Ang VoidLink ay naiulat na binuo ng isang pangkat na nagsasalita ng TsinoAng lokasyon ng interface ng web panel, ilang komento sa code, at ang mga naobserbahang pag-optimize ay nakaturo sa direksyong iyon, bagama't, gaya ng karaniwan sa ganitong uri ng pananaliksik, hindi ito isang tiyak na pagpapatungkol.
Ang kalidad ng pag-unlad, ang paggamit ng maraming modernong wika, at ang integrasyon ng mga kasalukuyang web framework ay nagmumungkahi Mataas na antas ng karanasan sa programming at malalim na kaalaman sa mga intricacy ng mga operating systemPinatitibay ng lahat ng ito ang ideya na ang proyekto ay higit pa sa isang nakahiwalay na eksperimento at papalapit na sa isang propesyonal na plataporma na pinapanatili sa paglipas ng panahon.
Kasabay nito, ang katotohanan na hindi pa sila naidokumento malawakang aktibong kampanya sa impeksyon Sinusuportahan nito ang teorya na ang balangkas ay nasa yugto ng pagsubok, inaalok sa ilalim ng mga modelo ng napakahigpit na pag-access, o ginagamit lamang sa mga operasyon na lubos na naka-target, na nagpapahirap sa pagtuklas nito sa Europa at iba pang mga rehiyon.
Kinukumpirma iyon ng paglitaw ng VoidLink Mabilis na umuunlad ang sopistikasyon ng malware na tumatarget sa mga kapaligirang Linux at cloud.Papalapit na ito sa antas ng mga mature na modelo na hanggang kamakailan lamang ay pangunahing nakikita sa mga nakakasakit na tool para sa Windows. Ang modular architecture nito, diin sa automated evasion, at pagtuon sa mga credential at container ay ginagawa itong isang banta na dapat seryosohin ng anumang organisasyon na may cloud-based na imprastraktura, kapwa sa Espanya at sa iba pang bahagi ng Europa.
