חדש מסגרת תוכנות זדוניות של לינוקס שתוכננה מהיסוד עבור הענן, הוטבל כ קישור ריקזה מושך את תשומת ליבם של אנליסטים ביטחוניים בשל רמתו הטכנית, בדומה ל- תוכנה זדונית לינוקס שמסתתרת באמצעות io_uring והמוקד שלו מכוון בבירור לתשתיות מודרניות. הכלי, שזוהה לראשונה בסוף 2025, אינו דומה למשפחות תוכנות זדוניות מסורתיות: הוא מתנהג יותר כמו פלטפורמה שלמה לאחר ניצול, שנועדה לפעול במשך תקופות ארוכות מבלי לעורר חשד.
מחקר של חברות כמו צ'ק פוינט ריסרץ' הם מציינים ש-VoidLink זה עדיין בשלב פיתוח פעיל נראה כי הוא מיועד לשימוש מסחרי או ללקוחות ספציפיים מאוד, ולא לקמפיינים המוניים. למרות שעד כה לא אושרו הדבקות ממשיות, התיעוד הזמין, מגוון המודולים ואיכות הקוד מציבים אותו בין איומי הלינוקס המתקדמים ביותר שנותחו בשנים האחרונות, בהתאם לאירועים קודמים כמו התקפות בשרשרת האספקה.
VoidLink: מסגרת תוכנות זדוניות שתוכננה לענן ולקונטיינרים
VoidLink מציג את עצמו כ- יישום ענן-תחילה עבור מערכות לינוקסהמסגרת, שתוכננה לפעול ביציבות בתשתיות מבוססות ענן ובסביבות קונטיינרים, משלבת טוענים מותאמים אישית, implants, רכיבים דמויי rootkit ומגוון רחב של תוספים המאפשרים למפעילים להתאים את היכולות שלה בהתאם לכל מטרה ולשלב הפעולה.
ליבת הפלטפורמה בנויה בעיקר ב שפות כמו זיג, גו ו-Cזה מקל על הניידות והביצועים שלו על פני הפצות מרובות. הארכיטקטורה הפנימית סובבת סביב תוסף API קנייני, בהשראת גישות כמו Beacon Object Files של Cobalt Strike, המאפשר טעינת מודולים לזיכרון והרחבת פונקציונליות מבלי צורך לפרוס קבצים בינאריים חדשים בכל פעם.
על פי הניתוח הטכני, העיצוב המודולרי מאפשר את הפונקציונליות של VoidLink. מתעדכן או משתנה 'תוך כדי'הוספה או הסרה של יכולות בהתאם לצורכי המבצע: החל ממשימות סיור פשוטות ועד לפעילויות ריגול מתמשכות או התקפות פוטנציאליות על שרשרת האספקה.
זיהוי חכם של ספקי ענן וסביבות ענן
אחת הנקודות שמדאיגות ביותר את המומחים היא היכולת של VoidLink ל לזהות את הסביבה בה הוא פועלהשתל בודק אם הוא נמצא בתוך קונטיינר של Docker או פוד של Kubernetes, ומבצע שאילתה על המטא-דאטה של המופע כדי לקבוע את ספק הענן הבסיסי.
השירותים שהמסגרת מכירה בהם כוללים: שירותי האינטרנט של אמזון (AWS), פלטפורמת הענן של גוגל (GCP), מיקרוסופט ת'ור, ענן עליבאבא וענן טנסנטעם תוכניות שכבר נראות בקוד להוספת תאימות עם ספקים אחרים כמו Huawei Cloud, DigitalOcean או Vultr, הוא מתאים את התנהגותו ואת המודולים שהוא מפעיל בהתבסס על מה שהוא מוצא כדי למזער את החשיפה.
יכולת יצירת פרופילים זו משתרעת גם על מערכת המארח: VoidLink הוא אוסף מידע מפורט על הליבה, ההיפר-ויזור, התהליכים ומצב הרשת.הוא גם בודק נוכחות של פתרונות Endpoint Detection and Response (EDR), אמצעי הקשחת ליבה וכלי ניטור שעשויים לחשוף את פעילותו, ולכן מומלץ להשתמש בו. כלים לסריקת rootkits בניתוח פורנזי.
הארכיטקטורה המודולרית ומערכת התוספים של VoidLink
הליבה של המסגרת היא א תזמור מרכזי שמנהל את תקשורת הפיקוד והבקרה (C2) ומחלק משימות למודולים השונים. עשרות תוספים, הנטענים ישירות לזיכרון וממומשים כאובייקטי ELF אשר מקיימים אינטראקציה עם ה-API הפנימי באמצעות קריאות מערכת, מסתמכים על ליבה זו.
הגרסאות שנותחו משתמשות בין 35 ל-37 תוספים כברירת מחדלתכונות אלו מקובצות לקטגוריות כגון סיור, תנועה לרוחב, שמירה על נוכחות, זיהוי פלילי, ניהול מכולות וענן וגניבת אישורים. מבנה זה הופך את VoidLink לפלטפורמה אמיתית לאחר ניצול תקלות עבור לינוקס, ברמה של כלים מקצועיים המשמשים בבדיקות חדירה.
בחירת מערכת תוספים בזיכרון, יחד עם היעדר הצורך לכתוב קבצים בינאריים חדשים לדיסק כדי להוסיף יכולות, מאפשרת להפחית משמעותית את טביעת הרגל על צוותים מחויבים ומסבך את עבודתם של אנליסטים פורנזיים ופתרונות גילוי מבוססי קבצים.
פאנל אינטרנט לשליטה מרחוק ויצירת בנייה
למפעילי VoidLink יש לוח בקרה נגיש לאינטרנטקונסולה זו, שפותחה באמצעות טכנולוגיות מודרניות כמו React, מאפשרת למשתמשים לנהל את מחזור החיים המלא של הפריצה. היא מתועדת בסינית, ומאפשרת יצירת גרסאות מותאמות אישית של השתל, הקצאת משימות, העלאה והורדה של תוספים וניהול קבצים במערכות פרוצות.
באמצעות פאנל זה, תוקפים יכולים לתזמן את השלבים השונים של ההתקפהסיור ראשוני של הסביבה, קביעת עמידות, תנועה רוחבית בין מכונות, שימוש בטכניקות התחמקות וניקוי עקבות. הפאנל משלב אפשרויות לשינוי פרמטרים תפעוליים תוך כדי תנועה, כגון מרווחי תקשורת, רמת חמקנות או שיטות חיבור לתשתית הפיקוד.
גישה זו, הקרובה יותר למוצר מסחרי מאשר לתוכנה זדונית חד פעמית, מחזקת את ההשערה ש-VoidLink זה יכול להיות מוצע כשירות או כמסגרת לפי דרישה., במקום להיות כלי לשימוש בלעדי של קבוצה אחת.
VoidLink משתמש בערוצי פיקוד ובקרה מרובים
כדי לתקשר עם התשתית של התוקפים, VoidLink משתמש ב- מספר פרוטוקולי C2זה מספק גמישות להסתגל לתרחישי רשת שונים ורמות מעקב. ערוצים נתמכים כוללים HTTP ו-HTTPS מסורתיים, WebSocket, ICMP ואפילו מנהרות מעל DNS.
מעל פרוטוקולים קונבנציונליים אלה מונחת שכבה של הצפנה משלה, המכונה "VoidStream"ערפול זה, שנועד להסוות תעבורה ולגרום לה להידמות לבקשות אינטרנט לגיטימיות או לקריאות API, מקשה על פתרונות אבטחה מבוססי תעבורה לזהות דפוסים חריגים באמצעות חתימות פשוטות.
הודות לגמישות זו, מפעילים יכולים לבחור תצורות תקשורת דיסקרטיות יותרעל ידי הארכת מרווחי איתות או שימוש בערוצים פחות נפוצים כמו ICMP כאשר לסביבה יש בקרות רשת מחמירות יותר.
ערכות שורשים וטכניקות הסתרה מתקדמות
VoidLink משלב מספר מודולים עם פונקציות rootkit המותאמות לליבת לינוקס אשר פועל על המכונה הפגועה. בהתאם לגרסה וליכולות הזמינות, הוא יכול להשתמש בטכניקות שונות כדי להסתיר את פעילותו: הזרקה דרך LD_PRELOAD, מודולי ליבה נטענים (LKM), או ערכות שורש מבוססות eBPF, כפי שנראה באיומים אחרונים כגון רוטאג'קירו, מחופש למערכת.
רכיבים אלה מאפשרים הסתר תהליכים, קבצים, שקעי רשת ואפילו את ערכת הרוטקיט עצמהמזעור סימנים גלויים עבור מנהלים וכלי ניטור. המודול המתאים נבחר לאחר ניתוח מאפייני המערכת, תוך אופטימיזציה של תאימות וביצועים.
על ידי שילוב טכניקות אלו עם מערכת טעינה בזיכרון והיכולת לפעול בסביבות קונטיינר, המסגרת... הוא מצליח לשמור על נוכחות דיסקרטית מאוד.אפילו בשרתים עם רמות פעילות גבוהות או עם מספר יישומים הפועלים בו זמנית.
תוספי VoidLink לזיהוי, התמדה ותנועה רוחבית
בתוך הקטלוג הנרחב של תוספים, אלו המתמקדים בהם בולטים. הערכת סביבה ואיסוף מידעמודולים אלה מקבלים נתונים אודות משתמשים, תהליכים פעילים, טופולוגיית רשת, שירותים חשופים ומאפיינים של המכולות והתזמורים הקיימים.
תוספים אחרים מכוונים אל שמירה על עמידות במערכות לינוקסזה כרוך בשימוש בשיטות הנעות בין שימוש לרעה בטוען דינמי ועד ליצירת עבודות cron מתוזמנות או שינוי שירותי מערכת. בעזרת טכניקות אלו, השתל יכול לשרוד אתחול מחדש ושינויי תצורה מתונים מבלי לדרוש חדירות נוספות.
בנוגע לתנועה צידית, VoidLink כולל כלים להפצה באמצעות SSHיכולת זו מאפשרת יצירת מנהרות, העברת פורטים (port forwarding) והקמת מעטפות מרוחקות המאפשרות קישוריות חלקה בין מכונות. יכולת זו רלוונטית במיוחד בתשתיות אירופאיות עם ארכיטקטורות של מיקרו-שירותים, בהן נפוצים צמתים רבים המחוברים באמצעות SSH ורשתות פנימיות.
גניבת אישורים ומיקוד במפתחים
חלק משמעותי מהמסגרת מוקדש ל חילוץ של אישורים וסודותזה כולל נתונים משירותי ענן וכן כלים המשמשים מדי יום צוותי פיתוח ותפעול. תוספי איסוף יכולים להשיג מפתחות SSH, אישורי Git, אסימוני גישה, מפתחות API, סיסמאות מקומיות ואפילו נתונים המאוחסנים על ידי דפדפני אינטרנט.
הנחיה זו נועדה להבטיח שלמפעילי VoidLink יהיו את ה... יעד עדיפות עבור מפתחים, מנהלי מערכת ואנשי DevOpsגישה שבדרך כלל מעניקה גישה למאגרי קוד קריטיים ולוחות מחוונים לניהול. מנקודת מבט אירופאית, סוג זה של איום מתאים לתרחישים של ריגול תעשייתי או הכנה למתקפות על שרשרת אספקת התוכנה.
בנוסף לתוספי אישורים, המסגרת מספקת מודולים ספציפיים עבור Kubernetes ו-Dockerכלים אלה מסוגלים למנות אשכולות, לזהות תצורות שגויות, לנסות בריחות ממכולות ולחפש הרשאות עודפות. בדרך זו, גישה מוגבלת בתחילה יכולה להתפתח לשליטה רחבה הרבה יותר על סביבת הענן של הארגון.
מנגנוני אנטי-פורנזיקה והתחמקות אוטומטיים
VoidLink לא רק מבקש לחדור, אלא גם למחוק את עקבות מעשיהםהתוספים האנטי-פורנזיים שלה כוללים פונקציות לעריכה או מחיקה של רשומות יומן, ניקוי היסטוריית מעטפת ותפעול חותמות זמן של קבצים (timestomping), מה שמקשה על ניתוח עתידי של מה שקרה.
השתל משלב גם מנגנוני הגנה מפני ניתוח וניקויהיא יכולה לזהות נוכחות של ניפוי באגים וכלי ניטור מתקדמים, לבדוק את שלמות הקוד שלה ולאתר קוד פתוח (hooks) פוטנציאלי המצביע על כך שהיא מנוטרת. אם היא מזהה סימנים של חבלה, היא יכולה להשמיד את עצמה ולהפעיל שגרות ניקוי המסירות קבצים ועקבות של פעילותה.
אלמנט בולט במיוחד הוא השימוש ב- קוד בעל שינוי עצמי עם הצפנת זמן ריצהחלקים מסוימים בתוכנית מפוענחים רק בעת הצורך ומוצפנים מחדש כאשר אינם בשימוש, מה שמסבך את משימת פתרונות ניתוח הזיכרון ומצמצם את החלון שבו תוכן זדוני גלוי בטקסט רגיל.
הערכת סיכונים המבוססת על הגנות שהותקנו
המסגרת מבצעת פרופיל מקיף של סביבת האבטחה על כל מכונה שנפגעה. היא מפרטת מוצרי הגנה מותקנים, טכנולוגיות הקשחת ליבה ואמצעי ניטור, ומתוך מידע זה מחשבת סוג של ציון סיכון שמנחה את התנהגותה.
אם הוא מזהה שהמערכת מוגנת היטב, VoidLink יכול האטת פעילויות מסוימותכגון סריקות פורטים או תקשורת לשרת C2, ולבחור בטכניקות פחות רועשות. בסביבות הנחשבות בעלות סיכון נמוך, המערכת יכולה לפעול בצורה אגרסיבית יותר, תוך מתן עדיפות למהירות על פני חמקנות מוחלטת.
יכולת הסתגלות זו מתאימה באופן אוטומטי למטרה המוצהרת של אוטומציה של משימות התחמקות ככל האפשרהמאפשר למפעילים להקדיש יותר זמן לקביעת יעדים ופחות זמן להתאמת פרמטרים טכניים באופן ידני לכל סביבה ספציפית.
מקור VoidLink וייחוס הפרויקט
הראיות שנאספו על ידי אנליסטים מצביעות על כך על פי הדיווחים, VoidLink פותח על ידי צוות דובר סינית.מיקום ממשק פאנל האינטרנט, הערות מסוימות בקוד והאופטימיזציות שנצפו מצביעים בכיוון זה, אם כי, כמקובל במחקר מסוג זה, אין מדובר בייחוס סופי.
איכות הפיתוח, השימוש בשפות מודרניות מרובות ושילוב מסגרות אינטרנט קיימות מצביעים על כך ניסיון רב בתכנות וידע מעמיק במורכבויות של מערכות הפעלהכל זה מחזק את הרעיון שהפרויקט חורג מניסוי מבודד ומתקרב לפלטפורמה מקצועית המתוחזקת לאורך זמן.
במקביל, העובדה שהם טרם תועדו קמפיינים פעילים להדבקה בקנה מידה גדול ממצא זה תומך בהשערה שהמסגרת נמצאת בשלב הבדיקה, מוצעת תחת מודלים של גישה מוגבלת מאוד, או נמצאת בשימוש רק בפעולות ממוקדות מאוד, מה שמקשה על גילויה באירופה ובאזורים אחרים.
הופעתו של VoidLink מאשרת זאת התחכום של תוכנות זדוניות המכוונות לסביבות לינוקס וענן מתקדם במהירות.היא מתקרבת לרמה של מודלים בוגרים שנראו עד לאחרונה בעיקר בכלים פוגעניים עבור Windows. הארכיטקטורה המודולרית שלה, הדגש על התחמקות אוטומטית וההתמקדות באישורים ובקונטיינרים הופכים אותה לאיום שכל ארגון עם תשתית מבוססת ענן, הן בספרד והן בשאר אירופה, חייב להתייחס אליו ברצינות רבה.
