연구원들은 공격자에게 제공하는 다양한 고급 기능으로 주목할만한 다양한 모듈로 Linux 시스템을 감염시키는 이전에는 볼 수 없었던 프레임워크를 발견했습니다.
소스 코드에서 VoidLink라고 불리는 이 프레임워크는 감염된 각 시스템에 대한 공격자의 요구 사항을 충족하도록 기능을 사용자 정의하는 데 사용할 수 있는 30개 이상의 모듈을 갖추고 있습니다. 이러한 모듈은 손상된 네트워크 내부의 정찰, 권한 상승 및 측면 이동을 위한 추가 은폐 및 특정 도구를 제공할 수 있습니다. 캠페인 과정에서 목표가 변경되면 구성 요소를 쉽게 추가하거나 제거할 수 있습니다.
VoidLink는 감염된 시스템이 AWS, GCP, Azure, Alibaba 및 Tencent 내부에서 호스팅되는지 감지하여 널리 사용되는 클라우드 서비스 내의 시스템을 표적으로 삼을 수 있으며, 개발자가 향후 릴리스에서 Huawei, DigitalOcean 및 Vultr에 대한 감지 기능을 추가할 계획이라는 징후가 있습니다. 어떤 클라우드 서비스가 시스템을 호스팅하는지 감지하기 위해 VoidLink는 해당 공급업체의 API를 사용하여 메타데이터를 검사합니다.
Windows 서버를 대상으로 하는 유사한 프레임워크가 수년 동안 번창해 왔습니다. Linux 시스템에서는 덜 일반적입니다. VoidLink를 발견한 보안 회사인 Checkpoint의 연구원들은 이 기능 세트가 매우 광범위하며 "일반적인 Linux 악성 코드보다 훨씬 더 발전했습니다"라고 말했습니다. 이러한 생성은 조직이 점점 더 작업 부하를 이러한 환경으로 이동함에 따라 공격자의 초점이 Linux 시스템, 클라우드 인프라 및 애플리케이션 배포 환경을 포함하도록 점점 더 확장되고 있음을 나타낼 수 있습니다.
“VoidLink는 손상된 Linux 시스템, 특히 퍼블릭 클라우드 플랫폼과 컨테이너화된 환경에서 실행되는 Linux 시스템에 장기간 은밀하게 액세스할 수 있도록 설계된 포괄적인 생태계입니다.”라고 연구원들은 별도의 게시물에서 밝혔습니다. "그 디자인은 기회주의적인 공격자가 아닌 일반적으로 전문적인 위협 행위자와 관련된 계획 및 투자 수준을 반영하여 인프라가 조용히 장악되었다는 사실을 결코 깨닫지 못할 수 있는 방어자의 위험을 높입니다."