Νέο VoidLink Cloud-Native Malware που επιτίθεται σε συστήματα Linux με δυνατότητες αυτοδιαγραφής

Ένα νέο πλαίσιο κακόβουλου λογισμικού που εστιάζει στο σύννεφο που ονομάζεται VoidLink έχει εμφανιστεί και στοχεύει συστήματα Linux με προηγμένες τεχνικές αποφυγής και δυνατότητες αυτοδιαγραφής.

Γραπτό στη γλώσσα προγραμματισμού Zig, αυτό το κακόβουλο λογισμικό αντιπροσωπεύει μια σημαντική αλλαγή στον τρόπο με τον οποίο οι φορείς απειλών προσεγγίζουν τις επιθέσεις υποδομής cloud.

Το VoidLink ξεχωρίζει για την ικανότητά του να αναγνωρίζει σημαντικά περιβάλλοντα cloud όπως τα AWS, GCP, Azure, Alibaba και Tencent και, στη συνέχεια, να προσαρμόζει τη συμπεριφορά του ώστε να ταιριάζει με κάθε πλατφόρμα.

Το πλαίσιο μπορεί να ανιχνεύσει πότε εκτελείται μέσα σε κοντέινερ Kubernetes ή Docker και προσαρμόζει ανάλογα τις τακτικές του.

Ερευνητές του Check Point αναγνωρισθείς αυτό το προηγουμένως άγνωστο κακόβουλο λογισμικό Linux τον Δεκέμβριο του 2025 μετά την ανακάλυψη πολλών δειγμάτων που περιείχαν σύμβολα εντοπισμού σφαλμάτων και τεχνουργήματα ανάπτυξης.

Τα δείγματα φάνηκε να προέρχονται από ένα περιβάλλον ανάπτυξης που μιλούσε κινεζικά, υποδηλώνοντας ότι το πλαίσιο ήταν ακόμα υπό ενεργό ανάπτυξη αντί να είναι ένα τελικό προϊόν.

Το κακόβουλο λογισμικό στοχεύει μηχανικούς λογισμικού και διαχειριστές που διαχειρίζονται υποδομές cloud, ανοίγοντας πιθανώς πόρτες για κατασκοπεία ή επιθέσεις στην αλυσίδα εφοδιασμού.

Το πλαίσιο περιλαμβάνει περισσότερα από 37 πρόσθετα οργανωμένα σε κατηγορίες όπως η αναγνώριση, η συλλογή διαπιστευτηρίων, η πλευρική κίνηση και η επιμονή.

Αυτά τα πρόσθετα λειτουργούν ως αρχεία αντικειμένων που φορτώνονται στο χρόνο εκτέλεσης και εκτελούνται απευθείας στη μνήμη, παρόμοια με τον τρόπο λειτουργίας των αρχείων αντικειμένων Beacon της Cobalt Strike.

Το VoidLink συγκεντρώνει διαπιστευτήρια από περιβάλλοντα cloud και συστήματα ελέγχου εκδόσεων όπως το Git, δίνοντας στους εισβολείς πρόσβαση σε ευαίσθητους πόρους ανάπτυξης και μυστικά υποδομής cloud.

Adaptive Stealth και Μηχανισμοί Αυτοδιαγραφής

Το VoidLink χρησιμοποιεί προσαρμοστικό stealth ως βασικό αμυντικό μηχανισμό του. Κατά την εκκίνηση, το κακόβουλο λογισμικό σαρώνει για εγκατεστημένα προϊόντα ασφαλείας και τεχνολογίες σκλήρυνσης πυρήνα, συμπεριλαμβανομένων συστημάτων ανίχνευσης και απόκρισης τελικού σημείου Linux.

Στη συνέχεια υπολογίζει μια βαθμολογία κινδύνου για το περιβάλλον και επιλέγει την καλύτερη στρατηγική φοροδιαφυγής. Σε περιβάλλοντα υψηλού κινδύνου με ενεργή παρακολούθηση, το VoidLink επιβραδύνει τις λειτουργίες του και εκτελεί εργασίες πιο προσεκτικά για να αποφύγει τον εντοπισμό.

Το πλαίσιο αναπτύσσει διαφορετικούς τύπους rootkit με βάση την έκδοση πυρήνα που εντοπίζει.

Για πυρήνες κάτω από την έκδοση 4.0, χρησιμοποιεί τεχνικές LD_PRELOAD. Για την έκδοση πυρήνα 5.5 και νεότερη με υποστήριξη eBPF, αναπτύσσει rootkits που βασίζονται σε eBPF.

Για πυρήνες έκδοση 4.0 και νεότερη, εγκαθιστά μονάδες πυρήνα με δυνατότητα φόρτωσης. Αυτά τα rootkit κρύβουν διεργασίες, αρχεία, υποδοχές δικτύου, ακόμη και τις ίδιες τις μονάδες rootkit από διαχειριστές συστήματος και εργαλεία ασφαλείας.

Το VoidLink περιλαμβάνει αυτοτροποποιούμενο κώδικα που αποκρυπτογραφεί τις προστατευμένες περιοχές κατά το χρόνο εκτέλεσης και τις κρυπτογραφεί όταν δεν χρησιμοποιούνται.

Αυτή η τεχνική βοηθά το κακόβουλο λογισμικό να αποφύγει τους σαρωτές μνήμης που αναζητούν ύποπτα μοτίβα κώδικα. Το πλαίσιο εκτελεί συνεχώς ελέγχους ακεραιότητας χρόνου εκτέλεσης για να ανιχνεύσει άγκιστρα και ενημερώσεις κώδικα που ενδέχεται να εισάγουν τα εργαλεία ασφαλείας.

Εάν το VoidLink εντοπίσει τυχόν προσπάθειες παραβίασης ή εντοπισμού σφαλμάτων, ενεργοποιεί αμέσως τον μηχανισμό αυτοδιαγραφής του, αφαιρώντας όλα τα ίχνη από το μολυσμένο σύστημα και αποτρέποντας την εγκληματολογική ανάλυση.