安全研究人員已經識別出一個突破性的框架,它通過部署多樣化的模組來危害 Linux 系統,每個模組都以其高級和對攻擊者友好的功能而著稱。
該框架依據其源代碼被命名為VoidLink,包括超過 30 個模組,可以根據攻擊者在妥協機器上的需求進行定制。這些模組增強了隱蔽性並促進了偵察、特權提升和在滲透網絡中的橫向移動的工具,使攻擊者能夠隨著其目標在整個行動期間的變化輕鬆修改其武器庫。
專注於雲中的 Linux
VoidLink 因其能夠通過判斷受感染機器是否位於 AWS、GCP、Azure、阿里巴巴或騰訊等環境來針對熱門雲平台上的系統而脫穎而出。VoidLink 的開發者已表示計劃在未來版本中擴展其檢測能力以識別華為、DigitalOcean 和 Vultr。這些檢測依賴於通過雲提供者的 API 分析元數據。
雖然這類框架以前曾針對 Windows 服務器,但在 Linux 系統上相對罕見。發現 VoidLink 的 Checkpoint 公司的安全專業人員指出,該框架的廣泛功能「遠比典型的 Linux 惡意軟件先進」。VoidLink 的開發標誌著攻擊者的重心轉移,現在越來越多地包含了 Linux 系統、雲基礎設施和應用程序部署設置,因為組織經常將工作負載轉移到這些環境中。
「VoidLink 是一個完整的生態系統,旨在維持對受損 Linux 系統的長期隱蔽訪問,特別是那些在公共雲平台和容器化環境中運行的系統。」研究人員在後續文章中闡述道。「其設計表明了一定程度的戰略性和投資,通常與專業威脅行為者相關,而非機會主義的攻擊者,增加了防禦者可能對其基礎設施的靜默接管不知情的挑戰。」