Дослідники виявили раніше невідомий шкідливий фреймворк, який заражає Linux-системи широким набором модулів, що вирізняються надзвичайно розширеними можливостями для зловмисників.
Фреймворк, який у вихідному коді має назву VoidLink, містить понад 30 модулів, що дозволяють гнучко налаштовувати функціональність під потреби атакувальників для кожної скомпрометованої машини. Ці модулі забезпечують підвищену прихованість, а також інструменти для розвідки, підвищення привілеїв і горизонтального переміщення всередині зараженої мережі. Компоненти легко додавати або видаляти залежно від змін цілей під час кампанії.
Фокус на Linux у хмарі
VoidLink здатен атакувати машини в популярних хмарних сервісах, визначаючи, чи розміщена заражена система в AWS, Google Cloud Platform (GCP), Azure, Alibaba Cloud або Tencent Cloud. Також є ознаки того, що розробники планують додати підтримку визначення середовищ Huawei, DigitalOcean і Vultr у майбутніх версіях. Для визначення хмарного провайдера VoidLink аналізує метадані через відповідні API постачальників.
Подібні фреймворки, націлені на сервери Windows, існують уже багато років, тоді як для Linux такі інструменти трапляються значно рідше. Набір можливостей VoidLink є незвично широким і, за словами дослідників компанії Check Point, «набагато перевершує типове шкідливе ПЗ для Linux». Його поява може свідчити про те, що фокус атакувальників дедалі більше зміщується у бік Linux-систем, хмарної інфраструктури та середовищ розгортання застосунків, оскільки організації масово переносять туди свої навантаження.
«VoidLink — це комплексна екосистема, створена для довготривалого й прихованого доступу до скомпрометованих Linux-систем, зокрема тих, що працюють у публічних хмарах і контейнеризованих середовищах», — зазначили дослідники в окремому дописі.
«Його дизайн демонструє рівень планування та інвестицій, притаманний радше професійним кіберзлочинним угрупованням, ніж випадковим атакувальникам, що суттєво підвищує ризики для захисників, які можуть навіть не підозрювати, що їхню інфраструктуру було тихо захоплено».
Ознаки походження та стадія розробки
Інтерфейс VoidLink локалізований для операторів, пов’язаних із Китаєм, що вказує на ймовірне походження з китайського середовища розробки. Символи й коментарі у вихідному коді свідчать про те, що VoidLink усе ще перебуває в активній розробці. Ще одна ознака незавершеності — Check Point не виявила жодних доказів зараження реальних систем у дикій природі. Дослідники знайшли фреймворк минулого місяця в кластерах Linux-шкідників, доступних через VirusTotal.
Серед виявлених бінарних файлів був двоетапний завантажувач. Фінальний імплант містить вбудовані базові модулі, які можуть доповнюватися плагінами, що завантажуються та встановлюються під час виконання.
Можливості модулів VoidLink
Загалом на цей момент виявлено 37 модулів, які забезпечують такі можливості:
• Cloud-first підхід: окрім визначення хмарного середовища, модулі збирають «величезні обсяги інформації про заражену систему», визначають гіпервізор і перевіряють, чи працює вона в Docker-контейнері або Kubernetes-поді.
• API для розробки плагінів: VoidLink пропонує «розширений API для розробки», який ініціалізується під час запуску шкідника.
• Адаптивна прихованість: виявлення встановлених засобів безпеки та механізмів захисту.
• Функції руткіта, що дозволяють маскуватися під нормальну системну активність.
• Керування та контроль через мережеві з’єднання, які виглядають як легітимні вихідні запити.
• Захист від аналізу: антидебагінг і перевірки цілісності для виявлення інструментів аналізу.
• Плагінна архітектура, яка дозволяє перетворювати VoidLink з імпланта на «повноцінний постексплуатаційний фреймворк».
• Розвідка: детальне профілювання системи й середовища, перелік користувачів і груп, виявлення процесів і сервісів, мапування файлових систем і точок монтування, аналіз локальної мережевої топології та інтерфейсів.
• Збір облікових даних: SSH-ключі, паролі, cookies браузерів, git-облікові дані, токени автентифікації, API-ключі та дані зі сховища ключів системи.
Що робити
Оскільки немає ознак активного використання VoidLink у реальних атаках, негайних дій від захисників не вимагається. Водночас вони можуть ознайомитися з індикаторами компрометації, опублікованими в блозі Check Point. Сам факт появи VoidLink свідчить про необхідність підвищеної пильності під час роботи з Linux-системами.
Нагадаємо, Microsoft випустила найбільший за останні чотири роки січневий пакет оновлень безпеки Patch Tuesday, усунувши 113 вразливостей у Windows, Office та супутніх компонентах. Серед них — одна zero-day вразливість, яка вже активно експлуатується в атаках, а також вісім критичних дефектів, що дозволяють віддалене виконання коду або підвищення привілеїв.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
