Linux恶意软件VoidLink威胁云与容器环境
网络安全研究人员近日曝光了一个此前未被公开披露、能力强大的恶意软件框架,其代号为VoidLink,专为在Linux平台的云基础设施中实现长期、隐蔽的控制而设计。
据Check Point Research最新发布的分析报告披露,这一面向云原生环境的Linux恶意软件框架集成了多个定制化加载器、植入体、rootkit组件及模块化扩展插件,赋予攻击者随时间演进其攻击能力、动态适配新目标并实施“战术转向”的灵活性。该框架最早于2025年12月被首次捕获。
该公司在今日公开的技术报告中指出:“该框架内置多项专为云场景优化的功能与模块,整体架构旨保障其在云服务及容器化环境中长期稳定驻留。VoidLink采用高度可扩展的设计理念,其核心围绕一套自研插件接口构建——该接口的设计思路明显借鉴了Cobalt Strike Beacon对象文件机制。默认配置下,已有逾30个功能插件通过此统一API接入运行。”
此类发现印证了当前高级威胁组织正加速将攻击重心从传统Windows系统迁移至Linux平台——后者如今已成为云计算服务与企业核心业务系统的底层支柱。目前评估显示,VoidLink仍处于持续开发与迭代阶段,且初步溯源线索指向与中国背景相关的黑客团体。
作为一款以Zig语言编写的“云优先”型植入程序,该工具包具备识别主流公有云平台的能力,包括亚马逊AWS、谷歌GCP、微软Azure、阿里云以及腾讯云;同时可准确判断自身是否运行于Docker容器或Kubernetes Pod内,并据此调整行为策略。此外,它还能自动采集与云环境相关的关键凭证,以及Git等主流源代码版本管理工具的认证凭据。
上述特性表明,VoidLink极有可能将软件开发人员作为主要攻击目标,意在窃取高价值数据,或借由已获取的访问权限发动供应链层面的渗透攻击。
其余关键能力如下所示:
- 具备类rootkit级的隐藏机制,涵盖LD_PRELOAD劫持、可加载内核模块(LKM)注入及eBPF技术,用以掩盖恶意进程;
- 内置进程内插件加载系统,支持运行时动态扩展功能;
- 支持多种C2通信通道,包括HTTP/HTTPS、WebSocket、ICMP隧道及DNS隧道;
- 可在受控主机之间构建点对点(P2P)或网状(Mesh)网络结构;
- 配备一个基于Web界面的中文控制台,使攻击者能远程操控所有植入节点,按需生成定制化载荷、统一管理文件、任务与插件,并完整覆盖从初始侦察、持久驻留、横向渗透到防御规避(如清除操作痕迹)在内的全链路攻击流程。
VoidLink目前已集成37个功能插件,覆盖反取证、环境侦察、容器攻防、权限提升、横向移动等多个维度,构成一套完备的后渗透利用平台:
- 反取证:依据预设关键词擦除或篡改系统日志与Shell历史记录,并对指定文件执行时间戳伪造,干扰逆向分析;
- 云环境专项:支持Kubernetes与Docker资产发现、权限提权、容器逃逸尝试及常见配置错误检测;
- 凭证窃取:广泛采集各类身份凭据与密钥,含SSH私钥、Git账户信息、本地密码数据库、浏览器保存的账号密码与Cookie、OAuth令牌及各类云API密钥;
- 横向移动:依托SSH协议实现自动化蠕虫式传播;
- 持久化机制:通过滥用动态链接器配置、cron定时任务及systemd服务等方式维持长期驻留;
- 环境侦察:全面采集主机系统信息、运行环境特征及网络拓扑细节。
Check Point将其评价为“极为成熟”且“显著超越常规Linux恶意软件的技术水准”,并强调VoidLink依赖一个中央协调模块来统管C2指令分发与任务调度执行。
该框架还整合了大量反调试与反分析能力以逃避检测。除能识别并标记主流调试器与监控工具外,一旦察觉运行环境存在可疑干预行为(如内存dump、进程挂起),便会立即触发自毁逻辑。更进一步地,它支持运行时代码解密与重加密——即仅在实际调用时才解密保护区域,其余时间保持加密状态,从而有效绕过内存扫描类检测手段。
此外,VoidLink会在感染主机上主动枚举已部署的安全防护产品与系统加固措施,并据此生成风险评分,进而制定精细化规避策略。例如,在检测到高对抗性环境时,会降低端口扫描频率、缩小探测范围,并启用更隐蔽的控制方式。
Check Point总结称:“开发者展现出卓越的工程素养,熟练掌握Go、Zig、C及React等多种现代开发语言与框架。与此同时,他们对操作系统底层机制(尤其是Linux内核)拥有深刻理解,这使得VoidLink不仅具备强大的功能性,也展现出高度的适应性与隐蔽性。该框架致力于实现最大程度的自动化规避:它会对目标环境进行深度画像,智能选取最匹配的对抗策略,并融合内核级技术与庞大的插件生态,使其操控者得以在云与容器生态中展开灵活、隐匿且可持续的攻击行动。”
热门专题
热门推荐
公安部就电子数据取证规则公开征求意见,拟将网络安全等行政案件纳入适用范围,并规范取证流程与核心概念。新规特别明确了获取密码、调取通讯内容等特殊程序,需经严格审批并保障当事人权利。配套法律文书也同步优化,以构建更规范且注重权利保障的取证体系。
理想L9和LIvis的定价策略刚掀起波澜,小鹏GX的最终价格就给出了更猛烈的回应——从近40万元的预售价直降至27万元起。用小鹏产品矩阵负责人吴安飞的话说,这叫“9系的产品,8系的价格”。 这12万元的下调,效果堪称立竿见影。发布会次日,小鹏集团港股股价一度大涨超8%。更关键的是市场订单:上市12小
5月21日,环塔拉力赛新疆且末赛段大营迎来了一位备受瞩目的访客——知名零售企业胖东来的创始人于东来。他专程前往长城汽车车队营地,与参赛车手及后勤团队进行了深度交流。据悉,于东来此次自驾越野之旅已历时一月,随行车队中包含多款国产越野车型。经过实地驾驶与多维度对比,他对以长城汽车为代表的国产越野车品质给
比特币官方入口在哪里?一个核心门户的权威指南 说起比特币,很多人第一反应是去找它的“官网”或“官方App”。但这里有个关键点需要先理清:比特币本质上是一种去中心化的全球数字货币,它不属于任何一家公司或机构,而是由一个庞大的、遍布全球的社区共同维护。因此,它并没有传统意义上由某个企业运营的“官方网站”
Ring-2 5-1T是什么 在当今大模型技术激烈竞争的赛道上,追求更长的上下文处理能力和更强大的深度推理性能已成为核心焦点。近日,蚂蚁集团旗下的inclusionAI团队重磅开源了Ring-2 5-1T模型,这是一个参数规模高达万亿级别的混合线性思考大语言模型。该模型基于先进的Ling 2 5架构