Морда
Default

Обнаружена новая угроза для облачных инфраструктур: малварь VoidLink

Загруженное изображение

Группа исследователей Check Point Research сообщила о появлении нового продвинутого инструмента вредоносного программного обеспечения под названием VoidLink, разработанного в Китае специально для Linux-систем.

Этот инструмент нацелен на проникновение в ключевые элементы корпоративной инфраструктуры, размещённые в облаках вроде Amazon Web Services (AWS) и Microsoft Azure, используя нестандартные техники нападения и уникальные механизмы маскировки.

VoidLink — компактный имплант размером всего около 1,2 мегабайт, созданный на языке программирования Zig. Это первый случай использования китайским хакерским сообществом именно этого языка, позволяющего эффективно скрываться от стандартных антивирусных решений, рассчитанных на выявление паттернов C++, Go и других популярных языков программирования, сохраняя полный контроль над системой на низком уровне.

Особенность VoidLink заключается в технологии динамической сборки rootkit'ов на стороне сервера — Server-Side Rootkit Compilation (SRC). Благодаря этому механизму, руткит не загружается вместе с основным файлом, а собирается отдельно, непосредственно перед выполнением, исходя из особенностей конкретной операционной системы жертвы.

Для каждого отдельного случая создаётся уникальный "невидимый плащ", способствующий совместимости и незаметности, использующий продвинутые инструменты вроде eBPF или Loadable Kernel Modules (LKM).

Малварь действует исключительно в оперативной памяти, применяя трёхступенчатую схему распространения:

  • Этап 0: Маленький дроппер размером примерно 9 килобайт, замаскированный под фоновый процесс, незаметно запускает последующие этапы.
  • Метод исполнения: Используются специальные системные вызовы типа memfd_create и execveat, позволяющие создавать временные файлы прямо в памяти, минуя жёсткий диск.
  • Каналы связи: Для взаимодействия с управляющим сервером применяется скрытая связь через протокол ICMP, притворяющаяся обычной проверкой сетевого подключения.

VoidLink способен распознавать присутствие защитных механизмов, таких как продукты CrowdStrike, SentinelOne, Carbon Black и Sysdig's Falco. Обнаружив защиту, программа переключается в "параноидальный" режим, снижая свою активность и уменьшая частоту проверок, чтобы избежать срабатывания сигнализаций и оставаться незамеченной. Помимо этого, используются особые модули для взлома защищённых контейнеров Docker и Kubernetes.

При попадании в инфраструктуру облаков AWS и Azure VoidLink проводит подробный анализ заражённой машины, собирает информацию о её конфигурации и создает соответствующие ей руткиты через взаимодействие с управляющим сервером. Хотя конкретные крупные организации-жертвы пока неизвестны, очевидно стремление авторов нанести ущерб ключевым элементам бизнеса, таким как вычислительные мощности и конфиденциальные данные.

Анализ показал, что VoidLink находится ещё в стадии разработки, так как включает символы отладочной информации, указывающие на незавершённость проекта. Тем не менее, создатели готовят его к массовому распространению, которое может произойти в ближайшее время.

0
0

Залогиньтесь, чтобы писать комментарии