Nový pokročilý linuxový malware VoidLink cílí na cloudová a kontejnerová prostředí

Výzkumníci v oblasti kybernetické bezpečnosti zveřejnili podrobnosti o dosud nedokumentovaném a funkčně bohatém malwarovém frameworku s kódovým označením VoidLink, který je speciálně navržen pro dlouhodobý a skrytý přístup do linuxových cloudových prostředí.

Podle nové zprávyse tento cloudově nativní linuxový malwarový framework skládá z řady vlastních zavaděčů, implantátů, rootkitů a modulárních pluginů, které umožňují jeho operátorům postupem času rozšiřovat nebo měnit jeho schopnosti a také měnit směr při změně cílů. Byl poprvé objeven v prosinci 2025.

„Framework zahrnuje několik funkcí a modulů zaměřených na cloud a je navržen tak, aby spolehlivě fungoval v cloudových a kontejnerových prostředích po delší časová období,“ uvedla společnost zabývající se kybernetickou bezpečností v analýze. „Architektura VoidLink je extrémně flexibilní a vysoce modulární, soustředěná kolem vlastního Plugin API, které se zdá být inspirováno přístupem Beacon Object Files (BOF) od Cobalt Strike. Toto API je použito ve více než 30+ pluginových modulech dostupných ve výchozím nastavení.“

Zjištění odrážejí posun v zaměření aktérů hrozeb z Windows na linuxové systémy, které se staly základem cloudových služeb a kritických operací. Aktivně udržovaný a vyvíjející se VoidLink je hodnocen jako dílo aktérů hrozeb spojených s Čínou.

Tento cloudově primární implantát napsaný v programovacím jazyce Zig dokáže detekovat hlavní cloudová prostředí, konkrétně Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Alibaba a Tencent, a přizpůsobit své chování, pokud rozpozná, že běží v Docker kontejneru nebo Kubernetes podu. Může také shromažďovat přihlašovací údaje spojené s cloudovými prostředími a populárními systémy pro správu verzí zdrojového kódu, jako je Git.

Cílení na tyto služby naznačuje, že VoidLink je pravděpodobně navržen k útokům na vývojáře softwaru, buď s úmyslem ukrást citlivá data, nebo využít přístup k provádění útoků na dodavatelský řetězec.

Některé z jeho dalších schopností jsou uvedeny níže:

Funkce podobné rootkitu využívající LD_PRELOAD, loadable kernel module (LKM) a eBPF ke skrytí svých procesů na základě verze linuxového jádra
Systém pluginů v paměti pro rozšíření funkčnosti
Podpora různých kanálů pro řízení a kontrolu (C2), jako jsou HTTP/HTTPS, WebSocket, ICMP a DNS tunelování
Vytvoření peer-to-peer (P2P) nebo mesh-style sítě mezi kompromitovanými hostiteli
Čínský webový dashboard, který útočníkům umožňuje vzdáleně ovládat implantát, vytvářet vlastní verze za běhu, spravovat soubory, úkoly a pluginy a provádět různé fáze útočného cyklu od průzkumu a persistence přes laterální pohyb až po vyhýbání se obraně mazáním stop škodlivé aktivity.

VoidLink podporuje 37 pluginů, které pokrývají anti-forenzní analýzu, průzkum, kontejnery, eskalaci oprávnění, laterální pohyb a další, čímž se transformuje v plnohodnotný post-exploitační framework:

Anti-forenzní analýza, pro mazání nebo úpravu logů a historie shellu na základě klíčových slov a provádění timestompingu souborů pro ztížení analýzy
Cloud, pro usnadnění objevování Kubernetes a Docker a eskalaci oprávnění, úniky z kontejnerů a sondování chybných konfigurací
Sběr přihlašovacích údajů, pro shromažďování přihlašovacích údajů a tajemství, včetně SSH klíčů, git přihlašovacích údajů, lokálního hesla, přihlašovacích údajů prohlížeče a cookies, tokenů a API klíčů
Laterální pohyb, pro šíření laterálně pomocí SSH-založeného červa
Persistence, pro pomoc při vytváření persistence prostřednictvím zneužití dynamického linkeru, cron jobů a systémových služeb
Průzkum, pro shromažďování podrobných informací o systému a prostředí

Zahrnuje také množství anti-analytických funkcí pro obcházení detekce. Kromě označování různých debuggerů a monitorovacích nástrojů se může smazat, pokud jsou detekovány jakékoli známky manipulace. Obsahuje také možnost samo-modifikujícího kódu, který může dešifrovat chráněné oblasti kódu za běhu a šifrovat je, když nejsou používány, čímž obchází runtime skenery paměti.

Co víc, malwarový framework vyčísluje nainstalované bezpečnostní produkty a zpevňovací opatření na kompromitovaném hostiteli, aby vypočítal skóre rizika a dospěl k evasivní strategii napříč celou platformou. To může například zahrnovat zpomalení skenování portů a větší kontrolu ve vysoce rizikových prostředích.

Zdroj: thehackernews.com

security

30 000 účtů na Facebooku napadeno prostřednictvím phishingové kampaně využívající Google AppSheet

Bezpečnostní výzkumníci odhalili rozsáhlou phishingovou kampaň, při které útočníci zneužili platformu Google AppSheet k tomu, aby kompromitovali přibližně 30 000 uživatelských účtů na sociální síti

ČÍST DÁLE »

Radek Vyškovský 12 května, 2026

security

Phishingová kampaň zasáhla více než 80 organizací pomocí nástrojů SimpleHelp a ScreenConnect RMM

Bezpečnostní výzkumníci odhalili sofistikovanou phishingovou kampaň, která se zaměřila na více než 80 organizací po celém světě. Útočníci přitom zneužili legitimní nástroje pro vzdálenou správu,

ČÍST DÁLE »

Radek Vyškovský 11 května, 2026

security

2026: Rok útoků s podporou umělé inteligence

Rok 2026 přinesl zásadní zlom v oblasti kybernetické bezpečnosti. Útoky podporované umělou inteligencí se staly novou normou a obránci po celém světě se potýkají s

ČÍST DÁLE »

Radek Vyškovský 8 května, 2026