Një e re Kornizë programesh keqdashëse Linux e projektuar nga e para për cloud-in, pagëzuar si VoidLinkPo tërheq vëmendjen e analistëve të sigurisë për shkak të nivelit të tij teknik, i ngjashëm me Malware Linux që fshihet duke përdorur io_uring dhe fokusi i tij është qartësisht i orientuar drejt infrastrukturave moderne. Mjeti, i zbuluar për herë të parë në fund të vitit 2025, nuk i ngjan familjeve tradicionale të programeve keqdashëse: ai sillet më shumë si një platformë e plotë pas shfrytëzimit, e projektuar për të vepruar për periudha të gjata pa ngjallur dyshime.
Hulumtime nga firma të tilla si Check Point Research Ata theksojnë se VoidLink Është ende në fazën aktive të zhvillimit Duket se është menduar për përdorim komercial ose për klientë shumë specifikë, në vend të fushatave masive. Edhe pse deri më tani nuk janë konfirmuar infeksione të vërteta, dokumentacioni i disponueshëm, gjerësia e moduleve dhe cilësia e kodit e vendosin atë midis kërcënimeve më të përparuara të Linux-it të analizuara vitet e fundit, në përputhje me incidentet e mëparshme, të tilla si sulmet e zinxhirit të furnizimit.
VoidLink: një kornizë programesh keqdashëse e projektuar për cloud-in dhe kontejnerët
VoidLink paraqitet si një implementimi i parë në cloud për sistemet LinuxI projektuar për të funksionuar në mënyrë të qëndrueshme në infrastruktura të bazuara në cloud dhe mjedise kontejnerësh, framework-u integron ngarkues të personalizuar, implante, komponentë të ngjashëm me rootkit-in dhe një gamë të gjerë plugin-esh që u lejojnë operatorëve të përshtasin aftësitë e tij sipas secilit objektiv dhe fazës së operacionit.
Bërthama e platformës është ndërtuar kryesisht në gjuhë si Zig, Go dhe CKjo lehtëson transportueshmërinë dhe performancën e saj në shpërndarje të shumta. Arkitektura e brendshme sillet rreth një API-je plugin-i të patentuar, të frymëzuar nga qasje si Beacon Object Files i Cobalt Strike, i cili lejon ngarkimin e moduleve në memorie dhe zgjerimin e funksionalitetit pa pasur nevojë të vendosni binarë të rinj çdo herë.
Sipas analizës teknike, dizajni modular e bën të mundur funksionalitetin e VoidLink. përditësohet ose modifikohet 'në moment'Shtimi ose heqja e aftësive sipas nevojave të operacionit: nga detyra të thjeshta zbulimi deri te aktivitete të vazhdueshme spiunazhi ose sulme të mundshme në zinxhirin e furnizimit.
Zbulimi inteligjent i ofruesve dhe mjediseve të cloud-it
Një nga pikat që i shqetëson më shumë specialistët është aftësia e VoidLink për të identifikoni mjedisin në të cilin funksiononImplanti kontrollon nëse është brenda një kontejneri Docker apo një pod Kubernetes, dhe pyet metadatat e instancës për të përcaktuar ofruesin themelor të cloud-it.
Shërbimet që njeh korniza përfshijnë: Shërbimet Web të Amazon (AWS), Platforma Google Cloud (GCP), Microsoft Azure, Alibaba Cloud dhe Tencent CloudMe plane që tashmë janë të dukshme në kod për të shtuar përputhshmëri me ofrues të tjerë si Huawei Cloud, DigitalOcean ose Vultr, ai përshtat sjelljen e tij dhe modulet që aktivizon bazuar në atë që gjen për të minimizuar ekspozimin.
Kjo aftësi profilizimi shtrihet edhe në sistemin pritës: VoidLink Ai mbledh informacione të hollësishme rreth kernelit, hipervizorit, proceseve dhe gjendjes së rrjetit.Gjithashtu kontrollon për praninë e zgjidhjeve të Detektimit dhe Përgjigjes së Pikës Endpoint (EDR), masave të forcimit të bërthamës dhe mjeteve të monitorimit që mund të zbulojnë aktivitetin e tij, prandaj këshillohet të përdoret mjete për skanimin e rootkit-eve në analizën mjeko-ligjore.
Arkitektura modulare dhe sistemi i plugin-eve i VoidLink
Zemra e kornizës është një orkestrues qendror që menaxhon komunikimet e komandës dhe kontrollit (C2) dhe shpërndan detyrat në module të ndryshme. Dhjetëra plugin-e, të ngarkuara direkt në memorie dhe të implementuara si objekte ELF që bashkëveprojnë me API-në e brendshme përmes thirrjeve të sistemit, mbështeten në këtë bërthamë.
Versionet e analizuara përdorin midis 35 dhe 37 shtojcave si parazgjedhjeKëto karakteristika grupohen në kategori të tilla si zbulimi, lëvizja anësore, këmbëngulja, anti-forenzika, menaxhimi i kontejnerëve dhe cloud-it, si dhe vjedhja e kredencialeve. Kjo strukturë e bën VoidLink një platformë të vërtetë pas shfrytëzimit për Linux, në të njëjtin nivel me mjetet profesionale të përdorura në testimin e depërtimit.
Zgjedhja e një sistemi plugin-esh në memorie, së bashku me mungesën e nevojës për të shkruar skedarë binare të rinj në disk për të shtuar aftësi, lejon zvogëlon ndjeshëm gjurmën në ekipet e përkushtuara dhe e ndërlikon punën e analistëve mjeko-ligjorë dhe zgjidhjeve të zbulimit të bazuara në skedarë.
Paneli i uebit për kontroll në distancë dhe krijim ndërtimesh
Operatorët VoidLink kanë një panel kontrolli i aksesueshëm në internetE zhvilluar duke përdorur teknologji moderne si React, kjo konsolë u lejon përdoruesve të menaxhojnë të gjithë ciklin jetësor të ndërhyrjes. E dokumentuar në kinezisht, ajo mundëson krijimin e versioneve të personalizuara të implantit, caktimin e detyrave, ngarkimin dhe shkarkimin e plugin-eve dhe menaxhimin e skedarëve në sistemet e kompromentuara.
Përmes këtij paneli, sulmuesit mund të orkestrojnë fazat e ndryshme të sulmitZbulimi fillestar i mjedisit, përcaktimi i qëndrueshmërisë, lëvizja anësore midis makinave, përdorimi i teknikave të shmangies dhe pastrimi i gjurmëve. Paneli integron opsione për të modifikuar parametrat operacionalë në lëvizje, siç janë intervalet e komunikimit, niveli i fshehtësisë ose metodat e lidhjes me infrastrukturën e komandës.
Kjo qasje, më afër një produkti komercial sesa një malware të thjeshtë të njëhershëm, përforcon hipotezën se VoidLink Mund të ofrohet si shërbim ose si një kornizë sipas kërkesës., në vend që të jetë një mjet për përdorim ekskluziv të një grupi të vetëm.
VoidLink përdor kanale të shumëfishta komande dhe kontrolli
Për të komunikuar me infrastrukturën e sulmuesve, VoidLink përdor disa protokolle C2Kjo ofron fleksibilitet për t'u përshtatur me skenarë të ndryshëm të rrjetit dhe nivele të ndryshme mbikëqyrjeje. Kanalet e mbështetura përfshijnë HTTP dhe HTTPS tradicionale, WebSocket, ICMP dhe madje edhe tunele mbi DNS.
Mbi këto protokolle konvencionale është mbivendosur një shtresë e enkriptimit të vet, e njohur si "VoidStream"I projektuar për të maskuar trafikun dhe për ta bërë atë të ngjajë me kërkesa legjitime në internet ose thirrje API, ky mjegullim e bën të vështirë për zgjidhjet e sigurisë të bazuara në trafik të zbulojnë modele anomale me nënshkrime të thjeshta.
Falë këtij fleksibiliteti, operatorët mund të zgjedhin të konfigurime më diskrete të komunikimitduke zgjatur intervalet e sinjalizimit ose duke përdorur kanale më pak të zakonshme si ICMP kur mjedisi ka kontrolle më të rrepta të rrjetit.
Rootkit-et dhe teknikat e avancuara të fshehjes
VoidLink përfshin disa module me funksionet e rootkit-it të përshtatura për kernelin Linux i cili funksionon në makinën e kompromentuar. Në varësi të versionit dhe aftësive të disponueshme, ai mund të përdorë teknika të ndryshme për të fshehur aktivitetin e tij: injektim nëpërmjet LD_PRELOAD, moduleve të kernelit të ngarkueshëm (LKM) ose rootkit-eve të bazuara në eBPF, siç shihet në kërcënimet e fundit si p.sh. rotajakiro, i maskuar si systemd.
Këto komponentë lejojnë fshihni proceset, skedarët, prizat e rrjetit dhe madje edhe vetë rootkit-inminimizimi i shenjave të dukshme për administratorët dhe mjetet e monitorimit. Moduli i duhur zgjidhet pas analizimit të karakteristikave të sistemit, duke optimizuar si përputhshmërinë ashtu edhe performancën.
Duke kombinuar këto teknika me një sistem ngarkimi në memorie dhe aftësinë për të vepruar në mjedise kontejnerësh, korniza Arrin të ruajë një prani shumë diskrete.madje edhe në servera me nivele të larta aktiviteti ose me aplikacione të shumëfishta që funksionojnë njëkohësisht.
Shtojcat VoidLink për njohje, këmbëngulje dhe lëvizje anësore
Brenda katalogut të gjerë të shtojcave, ato në të cilat përqendrohen dallohen. vlerësim mjedisor dhe mbledhje informacioniKëto module marrin të dhëna rreth përdoruesve, proceseve aktive, topologjisë së rrjetit, shërbimeve të ekspozuara dhe karakteristikave të kontejnerëve dhe orkestruesve të pranishëm.
Shtojcat e tjera janë të orientuara drejt Ruajtja e qëndrueshmërisë në sistemet LinuxKjo përfshin përdorimin e metodave që variojnë nga abuzimi me ngarkuesin dinamik deri te krijimi i punëve të planifikuara cron ose modifikimi i shërbimeve të sistemit. Me këto teknika, implanti mund t'i mbijetojë rinisjeve dhe ndryshimeve të moderuara të konfigurimit pa pasur nevojë për ndërhyrje të mëtejshme.
Lidhur me lëvizjen anësore, VoidLink përfshin mjete për të përhapur përmes SSHKjo aftësi lejon krijimin e tuneleve, përçimin e porteve dhe krijimin e shell-eve të largëta që lehtësojnë lidhjen pa ndërprerje midis makinave. Kjo aftësi është veçanërisht e rëndësishme në infrastrukturat evropiane me arkitektura mikroshërbimesh, ku nyje të shumta të lidhura nëpërmjet SSH dhe rrjeteve të brendshme janë të zakonshme.
Vjedhja e kredencialeve dhe një fokus te zhvilluesit
Një pjesë e rëndësishme e kornizës i kushtohet nxjerrja e kredencialeve dhe sekreteveKjo përfshin të dhëna nga shërbimet cloud, si dhe mjetet e përdorura çdo ditë nga ekipet e zhvillimit dhe operacioneve. Shtojcat e koleksionit mund të marrin çelësa SSH, kredenciale Git, tokena qasje, çelësa API, fjalëkalime lokale dhe madje edhe të dhëna të ruajtura nga shfletuesit e internetit.
Ky udhëzim synon të sigurojë që operatorët e VoidLink të kenë si objektiv prioritar për zhvilluesit, administratorët e sistemit dhe personelin DevOpsQasje në të cilën zakonisht jepet qasje në depot kritike të kodit dhe panelet e menaxhimit. Nga një perspektivë evropiane, ky lloj kërcënimi përputhet me skenarët e spiunazhit industrial ose përgatitjen e sulmeve në zinxhirin e furnizimit të softuerëve.
Përveç shtojcave të kredencialeve, framework ofron module specifike për Kubernetes dhe DockerKëto mjete janë të afta të numërojnë klasteret, të zbulojnë konfigurime të gabuara, të përpiqen të shpëtojnë nga kontejnerët dhe të kërkojnë leje të tepërta. Në këtë mënyrë, qasja fillimisht e kufizuar mund të evoluojë në një kontroll shumë më të gjerë mbi mjedisin cloud të një organizate.
Mekanizmat anti-forenzikë dhe të evazionit automatik
VoidLink jo vetëm që kërkon të infiltrohet, por edhe fshijnë gjurmët e veprimeve të tyreShtojcat e tij anti-forenzike përfshijnë funksione për të modifikuar ose fshirë hyrjet në regjistër, për të pastruar historikun e shell-it dhe për të manipuluar vulat kohore të skedarëve (timestopping), duke e bërë më të vështirë analizën pasuese të asaj që ka ndodhur.
Implanti gjithashtu përfshin mekanizmat mbrojtës kundër analizës dhe pastrimitMund të zbulojë praninë e debuggers dhe mjeteve të avancuara të monitorimit, të kontrollojë integritetin e kodit të vet dhe të gjejë grepa të mundshëm që tregojnë se po monitorohet. Nëse identifikon shenja ndërhyrjeje, mund të vetëshkatërrohet dhe të aktivizojë rutina pastrimi që heqin skedarët dhe gjurmët e aktivitetit të tij.
Një element veçanërisht i habitshëm është përdorimi i kod vetë-modifikues me enkriptim në kohën e ekzekutimitDisa pjesë të programit deshifrohen vetëm kur është e nevojshme dhe ri-enkriptohen kur nuk përdoren, duke e komplikuar detyrën e zgjidhjeve të analizës së kujtesës dhe duke zvogëluar dritaren në të cilën përmbajtja dashakeqe është e dukshme në tekst të thjeshtë.
Vlerësimi i rrezikut bazuar në mbrojtjet e instaluara
Korniza kryen një profilizim gjithëpërfshirës i mjedisit të sigurisë në çdo makinë të kompromentuar. Ai rendit produktet e instaluara të mbrojtjes, teknologjitë e forcimit të bërthamës dhe masat e monitorimit, dhe nga ky informacion llogarit një lloj rezultati rreziku që udhëzon sjelljen e saj.
Nëse zbulon se sistemi është shumë i mbrojtur, VoidLink mund të ngadalësoni aktivitete të caktuarasiç janë skanimet e porteve ose komunikimet me serverin C2, dhe të zgjedhin teknika më pak të zhurmshme. Në mjedise që konsiderohen me rrezik më të ulët, kuadri mund të funksionojë më agresivisht, duke i dhënë përparësi shpejtësisë mbi fshehtësinë absolute.
Kjo aftësi për t'u përshtatur përputhet automatikisht me qëllimin e deklaruar të automatizoni detyrat e shmangies sa më shumë që të jetë e mundurduke u lejuar operatorëve të shpenzojnë më shumë kohë duke vendosur për objektivat dhe më pak kohë duke rregulluar manualisht parametrat teknikë për secilin mjedis specifik.
Origjina e VoidLink dhe atribuimi i projektit
Provat e mbledhura nga analistët tregojnë se VoidLink thuhet se po zhvillohej nga një ekip kinezishtfolësVendndodhja e ndërfaqes së panelit të uebit, komente të caktuara në kod dhe optimizimet e vëzhguara tregojnë në atë drejtim, megjithëse, siç është zakonisht në këtë lloj kërkimi, nuk është një atribuim përfundimtar.
Cilësia e zhvillimit, përdorimi i shumë gjuhëve moderne dhe integrimi i kornizave aktuale të internetit sugjerojnë Një nivel i lartë përvoje në programim dhe njohuri të thella të ndërlikimeve të sistemeve operativeE gjithë kjo përforcon idenë se projekti shkon përtej një eksperimenti të izoluar dhe po i afrohet një platforme profesionale të mirëmbajtur me kalimin e kohës.
Paralelisht, fakti që ato ende nuk janë dokumentuar fushata të infeksionit aktiv në shkallë të gjerë Kjo mbështet hipotezën se korniza është në fazën e testimit, ofrohet sipas modeleve me akses shumë të kufizuar ose përdoret vetëm në operacione me objektiva të lartë, duke e bërë të vështirë zbulimin e saj në Evropë dhe rajone të tjera.
Shfaqja e VoidLink e konfirmon këtë Sofistikimi i programeve keqdashëse që synojnë Linux dhe mjediset cloud po përparon me shpejtësi.Po i afrohet nivelit të modeleve të pjekura që deri vonë shiheshin kryesisht në mjetet sulmuese për Windows. Arkitektura e saj modulare, theksi në shmangien e automatizuar dhe fokusi në kredencialet dhe kontejnerët e bëjnë atë një kërcënim që çdo organizatë me infrastrukturë të bazuar në cloud, si në Spanjë ashtu edhe në pjesën tjetër të Evropës, duhet ta marrë shumë seriozisht.
