資安研究人員發現名為
VoidLink 的進階惡意軟體框架,專門針對 Linux 系統設計,具備高度模組化架構與雲端優先的攻擊能力。資安業者 Check Point Research 於 2024 年 12 月首次發現這款工具,研判與中國駭客組織有關。目前尚未發現實際攻擊案例,但其技術成熟度已引起資安界高度關注。
雲端優先的攻擊設計
VoidLink 專為現代雲端環境設計,能自動識別目標系統所使用的雲端服務供應商。目前支援 Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure、阿里雲與騰訊雲,開發者計劃擴充至華為雲、DigitalOcean 與 Vultr 等平台。
成功感染系統後,VoidLink 會立即檢測是否運行於 Kubernetes 或 Docker 等容器環境,並據此調整行為模式,使其能在不同雲端基礎架構中保持隱蔽。
高度模組化與智慧躲避
VoidLink 採用靈活的模組化架構,核心是一套自訂的外掛 API,並參考 Cobalt Strike 的 Beacon Object Files(BOF)機制,預設提供超過 30 個外掛模組。整個框架使用 Zig 程式語言開發,同時具備使用者模式與核心層級的 rootkit 能力。
VoidLink的核心設計理念是「盡可能自動化規避偵測」。它會先分析 Linux 環境特性,然後在LD_PRELOAD、eBPF或LKM(Loadable Kernel Module,可載入核心模組)三種 rootkit 技術間智慧選擇最適合的隱藏策略。
在通訊方面,VoidLink 使用名為 VoidStream 的自訂協定,能將竊取的資料偽裝成 PNG 圖片或 JavaScript、CSS 程式碼,藉此躲避網路監控。它會掃描目標環境中的資安防護產品並給予風險評分。當風險較高時,會放慢動作以降低被發現機率。如果偵測到資安分析人員正在檢查系統,便會立即自我刪除以消滅證據。
VoidLink 能收集雲端環境憑證,也能竊取如 Git等服務的管理員登入資訊。研究人員認為軟體工程師可能是主要攻擊目標。駭客一旦取得開發人員憑證,就能存取原始碼儲存庫,植入後門、竊取智慧財產權,甚至透過供應鏈污染軟體。
開發進度快速接近完成
Check Point 研究團隊判斷 VoidLink 出自中國開發者之手,但確切的組織歸屬仍不明確。
開發者具高度技術專業,精通 Go、Zig、C 及 React 等程式語言,並對作業系統底層運作有深入理解。介面採用中文設計,搭配專業的網頁儀表板。
最新樣本顯示大部分元件已接近完成,具備功能完整的 C2 伺服器與前端儀表板。快速的迭代更新顯示開發團隊正積極推進,力求盡快讓工具達到可實際部署的成熟度。
防護建議
雖然目前尚未發現實際攻擊案例,Check Point 仍呼籲企業採取主動防護措施:
- 強化雲端與容器環境的監控機制,特別注意異常的網路流量與系統行為
- 定期檢查並輪換雲端服務與版本控制系統的存取憑證
- 部署針對 Linux 環境的進階威脅偵測方案
- 監控容器與 Kubernetes 環境中的異常活動
- 建立完整的日誌記錄與稽核機制
研究人員指出,VoidLink 的最終目標是建立隱密的長期存取管道,用於監控與資料收集。這款惡意軟體比多數 Linux 防護人員過去遇到的威脅更為先進,值得資安社群密切關注。
本文轉載自 DarkReading、Hackread。