Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một framework phần mềm độc hại phong phú tính năng, chưa từng được ghi nhận trước đây, có tên mã VoidLink, được thiết kế đặc biệt để truy cập lâu dài, lén lút vào các môi trường đám mây dựa trên Linux.
Theo báo cáo mới từ Check Point Research, framework phần mềm độc hại Linux gốc đám mây này bao gồm một loạt các bộ tải tùy chỉnh, implants, rootkits và các plugin mô-đun, cho phép những kẻ vận hành tăng cường hoặc thay đổi khả năng của nó theo thời gian, cũng như thay đổi mục tiêu khi cần. Nó được phát hiện lần đầu vào tháng 12 năm 2025.
Framework này bao gồm nhiều khả năng và mô-đun tập trung vào đám mây, được thiết kế để hoạt động ổn định trong môi trường đám mây và container trong thời gian dài.
Kiến trúc của VoidLink cực kỳ linh hoạt và có tính mô-đun cao, tập trung vào một Plugin API tùy chỉnh dường như được lấy cảm hứng từ phương pháp Beacon Object Files (BOF) của Cobalt Strike. API này được sử dụng trong hơn 30 mô-đun plug-in có sẵn mặc định.
Công ty an ninh mạng cho biết trong một phân tích được công bố hôm nay.
Những phát hiện này phản ánh sự thay đổi trọng tâm của các tác nhân đe dọa từ các hệ thống Windows sang các hệ thống Linux, vốn đã trở thành nền tảng của các dịch vụ đám mây và hoạt động quan trọng. Được duy trì và phát triển tích cực, VoidLink được đánh giá là sản phẩm của các tác nhân đe dọa liên quan đến Trung Quốc.
Là một implant ưu tiên đám mây được viết bằng ngôn ngữ lập trình Zig, bộ công cụ này có thể phát hiện các môi trường đám mây lớn như Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Alibaba và Tencent, đồng thời điều chỉnh hành vi của nó nếu nhận ra đang chạy trong một Docker container hoặc một Kubernetes pod. Nó cũng có thể thu thập các credentials liên quan đến môi trường đám mây và các hệ thống kiểm soát phiên bản mã nguồn phổ biến như Git.
Việc nhắm mục tiêu vào các dịch vụ này là dấu hiệu cho thấy VoidLink có khả năng được thiết kế để nhắm vào các nhà phát triển phần mềm, với ý định đánh cắp dữ liệu nhạy cảm hoặc tận dụng quyền truy cập để thực hiện các cuộc tấn công supply chain.
Các khả năng khác của VoidLink
- Các tính năng giống Rootkit sử dụng LD_PRELOAD, loadable kernel module (LKM) và eBPF để ẩn các process của nó dựa trên phiên bản kernel Linux.
- Hệ thống plugin trong bộ nhớ để mở rộng chức năng.
- Hỗ trợ nhiều kênh command-and-control (C2) khác nhau, chẳng hạn như HTTP/HTTPS, WebSocket, ICMP và DNS tunneling.
- Tạo thành mạng lưới peer-to-peer (P2P) hoặc dạng mesh giữa các host bị xâm nhập.
Một dashboard dựa trên web của Trung Quốc cho phép những kẻ tấn công điều khiển implant từ xa, tạo các phiên bản tùy chỉnh nhanh chóng, quản lý file, task và plugin, cũng như thực hiện các giai đoạn khác nhau của chu trình tấn công, từ reconnaissance và persistence đến lateral movement và defense evasion bằng cách xóa dấu vết hoạt động độc hại.
Các Plugin của VoidLink
VoidLink hỗ trợ 37 plugin bao gồm các lĩnh vực anti-forensics, reconnaissance, containers, privilege escalation, lateral movement và nhiều tính năng khác, biến nó thành một framework post-exploitation hoàn chỉnh:
- Anti-forensics: để xóa hoặc chỉnh sửa log và shell history dựa trên từ khóa, đồng thời thực hiện timestomping file để cản trở phân tích.
- Cloud: để hỗ trợ phát hiện Kubernetes và Docker cũng như privilege-escalation, thoát container (container escapes) và dò tìm các cấu hình sai (misconfigurations).
- Credential harvesting: để thu thập credentials và secret, bao gồm SSH keys, Git credentials, tài liệu mật khẩu cục bộ, browser credentials và cookies, token, cũng như API keys.
- Lateral movement: để lây lan ngang bằng cách sử dụng worm dựa trên SSH.
- Persistence: để thiết lập persistence thông qua lạm dụng dynamic linker, cron jobs và system services.
- Recon: để thu thập thông tin chi tiết về hệ thống và môi trường.
Mô tả nó là "ấn tượng" và "tiên tiến hơn nhiều so với các phần mềm độc hại Linux thông thường", Check Point cho biết VoidLink có một thành phần điều phối cốt lõi xử lý các giao tiếp C2 và thực thi task.
Nó cũng tích hợp một loạt các tính năng chống phân tích để tránh bị phát hiện. Bên cạnh việc gắn cờ các debugger và công cụ giám sát khác nhau, nó có thể tự xóa nếu phát hiện bất kỳ dấu hiệu giả mạo nào. Nó cũng có tùy chọn self-modifying code có thể giải mã các vùng mã được bảo vệ trong thời gian chạy và mã hóa chúng khi không sử dụng, bỏ qua các trình quét bộ nhớ runtime.
Hơn nữa, framework phần mềm độc hại này liệt kê các sản phẩm bảo mật đã cài đặt và các biện pháp tăng cường bảo mật trên host bị xâm nhập để tính toán điểm rủi ro và đưa ra chiến lược né tránh tổng thể. Ví dụ, điều này có thể liên quan đến việc làm chậm quá trình quét cổng (port scans) và kiểm soát tốt hơn trong các môi trường có rủi ro cao.
Các nhà phát triển thể hiện trình độ chuyên môn kỹ thuật cao, với khả năng thành thạo nhiều ngôn ngữ lập trình, bao gồm Go, Zig, C và các framework hiện đại như React.
Ngoài ra, kẻ tấn công sở hữu kiến thức sâu rộng về các internal của hệ điều hành phức tạp, cho phép phát triển các giải pháp tiên tiến và phức tạp.
Check Point lưu ý.
VoidLink nhằm mục đích tự động hóa việc né tránh nhiều nhất có thể, bằng cách phân tích môi trường và lựa chọn chiến lược phù hợp nhất để hoạt động trong đó. Được tăng cường bởi các kỹ thuật kernel mode và một hệ sinh thái plugin rộng lớn, VoidLink cho phép những kẻ vận hành di chuyển qua các môi trường đám mây và hệ sinh thái container với khả năng tàng hình thích ứng.
