Специалисты компании Check Point выявили новый модульный инструмент для атак, который работает незаметно и эффективно в облачных и контейнерных средах на базе Linux. Называемый VoidLink, этот фреймворк включает в себя загрузчики, написанные на языке Zig, руткиты и множество плагинов, интегрированных с кастомным API, что напоминает функционал Cobalt Strike.
Архитектура VoidLink позволяет злоумышленникам легко адаптировать и расширять возможности инструмента, который может обнаруживать основные облачные платформы, такие как AWS, Google Cloud, Microsoft Azure, Alibaba и Tencent, и изменять свои действия в зависимости от среды, в которой он запущен, будь то Docker или Kubernetes.
Инструмент также включает механизмы обеспечения безопасности операций, например, шифрование неиспользуемого кода и самоудаление при подозрительной активности. Связь с командным сервером осуществляется через различные каналы, поддерживающие HTTP/HTTPS, WebSocket, ICMP и DNS-туннелирование.
С возможностью добавления до 37 плагинов, оператор может выполнять многопрофильные задачи, включая разведку и обход защитных мер. Хотя цель использования VoidLink еще не ясна, судя по оформлению, разработчики, вероятно, планируют коммерциализацию продукта, нацеливаясь на разработчиков ПО для кражи данных и атак на цепочки поставок.
