Pesquisadores em cibersegurança revelaram detalhes sobre um malware sofisticado e até então desconhecido, batizado de VoidLink, desenvolvido para garantir acesso furtivo e prolongado a ambientes Linux baseados em nuvem.
Segundo um relatório recente da Check Point Research, o VoidLink é um framework nativo para Linux formado por uma série de loaders personalizados, implantes, rootkits e plugins modulares.
Essa arquitetura permite que os invasores ampliem ou modifiquem suas funcionalidades ao longo do tempo, adaptando-se conforme mudam seus objetivos.
A descoberta inicial ocorreu em dezembro de 2023.
A análise da empresa destaca que o VoidLink traz múltiplas capacidades especialmente voltadas para ambientes de nuvem e containers, projetado para operar de forma estável por longos períodos nesses cenarios.
Sua estrutura é altamente flexível e modular, com uma API de plugins personalizada, inspirada na abordagem Beacon Object Files (BOF) do Cobalt Strike.
Atualmente, o malware conta com mais de 30 plugins ativados por padrão.
Esse desenvolvimento representa uma mudança no foco dos atacantes, que têm migrado do Windows para sistemas Linux, hoje pilares dos serviços em nuvem e operações críticas.
O VoidLink está em constante evolução e, segundo a análise, tem ligações com grupos de ameaças vinculados à China.
Programado na linguagem Zig, o malware identifica diversos ambientes de nuvem, incluindo Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Alibaba e Tencent.
Ele detecta ainda quando está sendo executado em containers Docker ou em pods Kubernetes, adaptando seu comportamento conforme o ambiente.
Entre suas ações estão o roubo de credenciais relacionadas à nuvem e acessos a sistemas populares de controle de versão, como Git.
Dentre as funcionalidades do VoidLink, destacam-se:
- Técnicas tipo rootkit utilizando LD_PRELOAD, módulos de kernel carregáveis (LKM) e eBPF para ocultar processos, com adaptações conforme a versão do kernel Linux.
- Sistema de plugins em memória para expansão de funcionalidades.
- Suporte a múltiplos canais de comando e controle (C2), como HTTP/HTTPS, WebSocket, ICMP e tunelamento DNS.
- Capacidade de formar redes peer-to-peer (P2P) ou em malha entre hosts comprometidos.
Os invasores controlam o malware remotamente por meio de um painel web hospedado na China, que permite criar versões personalizadas sob demanda, gerenciar arquivos, tarefas e plugins, conduzindo todas as etapas do ataque, desde reconhecimento e persistência até movimentação lateral e evasão, eliminando rastros das atividades maliciosas.
O framework oferece 37 plugins que abrangem funções como anti-forense, escalonamento de privilégios, movimentação lateral e coleta de credenciais.
Entre as ações estão a remoção ou edição de logs e históricos de shell, exploração de vulnerabilidades e falhas de configuração em ambientes Kubernetes e Docker, além da propagação lateral via worm baseado em SSH.
A Check Point descreve o VoidLink como "impressionante" e muito mais avançado do que o malware típico de Linux.
Seu componente central orquestra as comunicações com os servidores de comando e a execução das tarefas, incorporando diversas técnicas de anti-análise.
O malware detecta depuradores e ferramentas de monitoramento, podendo se autoexcluir ao perceber qualquer tentativa de interferência.
Também utiliza código auto modificável que encripta e decripta trechos dinamicamente para escapar de scanners de memória em tempo real.
Além disso, avalia os produtos de segurança instalados e as medidas de proteção ativadas no sistema comprometido para calcular um índice de risco.
Com base nessa avaliação, adapta suas estratégias de evasão, como desacelerar scans de portas em ambientes que oferecem maior resistência.
Os desenvolvedores do VoidLink demonstram alto nível técnico, com proficiência em diversas linguagens, como Go, Zig e C, e frameworks modernos como React.
Seu profundo conhecimento dos sistemas operacionais permitiu a criação de soluções complexas e avançadas.
A metodologia do malware é automatizar ao máximo suas técnicas de evasão, analisando o ambiente para selecionar as melhores táticas.
Aliado a um vasto ecossistema de plugins e recursos em modo kernel, o VoidLink possibilita que seus operadores se movam com discrição e adaptabilidade por ambientes de nuvem e ecossistemas de containers.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...