VoidLink: Nuevo Malware Linux Ataca la Nube

by Editor de Tecnologia

Un nuevo malware para Linux, denominado VoidLink, está apuntando a la infraestructura en la nube de sus víctimas con más de 30 plugins que permiten a los atacantes llevar a cabo una amplia gama de actividades ilícitas, desde el reconocimiento silencioso y el robo de credenciales hasta el movimiento lateral y el abuso de contenedores.

Cuando VoidLink detecta manipulación o análisis de malware en una máquina infectada, puede eliminarse a sí mismo e invocar módulos anti-forenses diseñados para eliminar rastros de su actividad.

En diciembre, Check Point Research descubrió muestras de malware previamente desconocidas, escritas en Zig para Linux, que parecen originarse en un entorno de desarrollo afiliado a China con una interfaz de comando y control localizada para operadores chinos.

Los desarrolladores se refieren internamente a él como «VoidLink», y las muestras parecen indicar un marco de malware en progreso en lugar de una herramienta terminada.

El propósito previsto del framework aún no está claro, y hasta el momento no se han observado evidencias de infecciones en el mundo real, según indicó el equipo de investigación en un informe del martes. Sin embargo, su estructura sugiere que podría posicionarse finalmente para uso comercial, ya sea como una oferta de producto o como un framework desarrollado para un cliente.

Es especialmente notable por dos cosas. En primer lugar, VoidLink está diseñado específicamente para ejecutarse en entornos de nube basados en Linux. Después de infectar una máquina víctima, escanea y detecta AWS, Google Cloud Platform, Microsoft Azure, Alibaba y Tencent, y sus desarrolladores planean agregar detecciones para Huawei, DigitalOcean y Vultr.

Si bien los operadores de malware tradicionalmente se han centrado en sistemas basados en Windows, el enfoque de VoidLink en la nube es significativo. Las agencias gubernamentales, las empresas globales, la infraestructura crítica y otros objetivos de ataque de alto valor ejecutan cada vez más servicios basados en la nube y alojan sus sistemas más sensibles en la nube, por lo que el malware que busca proveedores de nube pública en máquinas infectadas probablemente obtendrá mayores recompensas tanto para espías patrocinados por el gobierno como para bandas de ransomware con motivaciones financieras.

leer más  Chat GPT Reimagina Neumarkt: Alucinaciones IA de la Ciudad

Además de sus capacidades de detección en la nube, VoidLink es notable por sus cargadores personalizados, implantes, rootkits y numerosos módulos que brindan a los atacantes una amplia gama de capacidades sigilosas y de seguridad operativa, lo que lo convierte en «mucho más avanzado que el malware típico de Linux», según Check Point.

El framework incluye múltiples rootkits a nivel de kernel y elige cuál implementar según el entorno en el que se ejecuta. VoidLink también utiliza los rootkits para ocultar sus procesos, archivos, sockets de red y los propios módulos del rootkit.

Utiliza una API personalizada, que los investigadores describen como muy similar e inspirada probablemente en la API Beacon de Cobalt Strike. Y tiene al menos 37 plugins, todos detallados en el análisis de Check Point, que los desarrolladores organizan por categoría.

Algunas de estas capacidades incluyen:

  • Plugins de reconocimiento que proporcionan perfiles del sistema y del entorno, enumeración de usuarios y grupos, descubrimiento de procesos y servicios, y mapeo del sistema de archivos y la red.
  • Descubrimiento de Kubernetes y Docker, ayudantes de escalada de privilegios y comprobaciones de escape de contenedores.
  • Múltiples plugins para robar credenciales y secretos.
  • Herramientas de post-explotación que incluyen shells, reenvío y túnel de puertos, y un gusano basado en SSH que puede conectarse a hosts conocidos y propagarse lateralmente.
  • Plugins que establecen la persistencia.
  • Componentes anti-forenses que borran o editan registros e historial de shell.

«El framework está diseñado para el acceso a largo plazo, la vigilancia y la recopilación de datos en lugar de la interrupción a corto plazo», indicó Check Point research en una publicación de blog posterior sobre VoidLink. «Su diseño refleja un nivel de planificación e inversión típicamente asociado con actores de amenazas profesionales en lugar de atacantes oportunistas, lo que aumenta los riesgos para los defensores que quizás nunca se den cuenta de que su infraestructura ha sido tomada silenciosamente.» ®

You may also like

Leave a Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.