VoidLink đã xuất hiện như một mối đe dọa mạng phức tạp dành cho Linux, đại diện cho một ví dụ đáng lo ngại về phát triển mã độc được hỗ trợ bởi trí tuệ nhân tạo (AI). Khung công tác này kết hợp khả năng nhắm mục tiêu đa đám mây tiên tiến với các cơ chế che giấu cấp độ kernel, cho thấy một thế hệ mới của các mối đe dọa mạng nơi các mô hình ngôn ngữ lớn (LLM) được tận dụng để tạo ra các implant điều khiển và kiểm soát (C2) hiệu quả.

Các implant VoidLink có khả năng xâm nhập vào môi trường đám mây và doanh nghiệp với hiệu quả đáng báo động, minh chứng cho sự tinh vi kỹ thuật trong khả năng thu thập thông tin xác thực và duy trì quyền truy cập dai dẳng.

Kiến trúc và Cơ chế Hoạt động của VoidLink

Nguồn gốc và Phát triển Hỗ trợ bởi AI

Các nhà phân tích của Ontinue đã xác định các chỉ số mạnh mẽ cho thấy VoidLink được xây dựng bằng cách sử dụng một tác nhân mã hóa LLM. Bằng chứng bao gồm các nhãn có cấu trúc “Phase X:”, nhật ký gỡ lỗi chi tiết và các mẫu tài liệu còn nguyên vẹn trong tệp nhị phân sản phẩm.

Những hiện vật này cho thấy quá trình tạo mã tự động với sự giám sát tối thiểu của con người, đánh dấu một sự thay đổi đáng kể trong cách mã độc có thể được phát triển. Bất chấp nguồn gốc được tạo bởi AI, VoidLink vẫn duy trì khả năng kỹ thuật cao.

Khả năng Nhắm mục tiêu Đa đám mây và Kỹ thuật Che giấu

VoidLink hoạt động như một khung C2 toàn diện được thiết kế đặc biệt cho các hệ thống Linux, nhắm mục tiêu vào các nền tảng đám mây lớn bao gồm Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure, Alibaba Cloud và Tencent Cloud.

Implant này thể hiện sự tinh vi kỹ thuật trong khả năng thu thập thông tin xác thực từ các biến môi trường, thư mục cấu hình và API siêu dữ liệu của instance.

Nó duy trì quyền truy cập dai dẳng thông qua chức năng rootkit thích ứng, đảm bảo sự hiện diện liên tục trên các hệ thống bị xâm nhập.

Kiến trúc mô-đun của VoidLink cho phép mã độc điều chỉnh hành vi của nó dựa trên môi trường mục tiêu mà nó gặp phải. Điều này bao gồm các plugin thoát khỏi container, mô-đun leo thang đặc quyền Kubernetes và các rootkit kernel cụ thể theo phiên bản, điều chỉnh các phương pháp che giấu dựa trên phiên bản kernel của máy chủ.

Sự kết hợp giữa nhận thức đa đám mây, khai thác gốc container và khả năng ẩn mình cấp độ kernel cho thấy quá trình phát triển được hỗ trợ bởi AI đang hạ thấp rào cản kỹ năng để sản xuất mã độc Linux chức năng, khó phát hiện.

Cấu trúc Plugin và Thành phần Cốt lõi

VoidLink sử dụng kiến trúc dựa trên plugin, trong đó mỗi thành phần hoạt động độc lập trong một khung đăng ký chia sẻ. Khi thực thi, mã độc sẽ khởi tạo sổ đăng ký mô-đun của nó và tải bốn thành phần cốt lõi:

• Task Router: Để phân phối lệnh và quản lý tác vụ C2.
• Stealth Manager: Quản lý các kỹ thuật né tránh và ẩn mình để tránh bị phát hiện.
• Injection Manager: Xử lý việc chèn mã và thực thi trên hệ thống mục tiêu.
• Debugger Detector: Cung cấp khả năng chống phân tích, ngăn chặn các nhà nghiên cứu bảo mật gỡ lỗi mã độc.

Hệ thống Phát hiện Môi trường và Thu thập Thông tin

Mã độc tiến hành lập hồ sơ máy chủ chi tiết trước khi kích hoạt các khả năng hoạt động. Quá trình này bao gồm việc thăm dò các API siêu dữ liệu đám mây, môi trường container như Docker và Kubernetes, và các chỉ số tư thế bảo mật bao gồm phát hiện EDR/AV và nhận dạng phiên bản kernel.

Cách tiếp cận dựa trên thông tin tình báo này cho phép VoidLink chọn các cơ chế ẩn mình và kỹ thuật khai thác phù hợp, được điều chỉnh cho từng môi trường được phát hiện.

Hệ thống phát hiện môi trường truy vấn các điểm cuối siêu dữ liệu đám mây:

• 169.254.169.254: Dành cho AWS, Azure và Alibaba Cloud.
• metadata.google.internal: Dành cho Google Cloud Platform (GCP).
• metadata.tencentyun.com: Dành cho Tencent Cloud.

Thông qua các truy vấn này, VoidLink truy xuất thông tin khu vực, vùng khả dụng (availability zones), ID instance và loại instance. Điều này cho phép mã độc điều chỉnh các phương pháp duy trì và kỹ thuật ẩn mình theo cơ sở hạ tầng nhà cung cấp đám mây cụ thể. Thông tin chi tiết về cơ chế hoạt động của VoidLink có thể được tìm thấy tại phân tích của Ontinue.

Kỹ thuật Giao tiếp C2 và Che đậy

VoidLink sử dụng mã hóa AES-256-GCM qua HTTPS cho các giao tiếp điều khiển và kiểm soát (C2). Phương pháp này giúp che giấu lưu lượng độc hại như các yêu cầu web hợp pháp, sử dụng các mẫu nhất quán với kiến trúc beacon của Cobalt Strike.

Việc giả mạo lưu lượng hợp pháp làm cho việc phát hiện các kênh C2 trở nên khó khăn hơn đối với các giải pháp an ninh mạng truyền thống, đặc biệt là khi chúng không thực hiện kiểm tra sâu lưu lượng được mã hóa.

Chỉ số Thỏa hiệp (IOC) và Biện pháp Đối phó

Chỉ số Thỏa hiệp (IOC) Mạng

Các tổ chức nên triển khai giám sát cấp độ mạng để phát hiện các truy vấn API siêu dữ liệu bất thường, đặc biệt là các yêu cầu lặp lại tới các địa chỉ sau:

• 169.254.169.254
• metadata.google.internal
• metadata.tencentyun.com

Các truy vấn này có thể là dấu hiệu của hoạt động thu thập thông tin tình báo của VoidLink hoặc các mã độc tương tự.

Khuyến nghị Tăng cường An ninh mạng

Để bảo vệ hệ thống khỏi các mối đe dọa như VoidLink, các tổ chức nên thực hiện các biện pháp sau:

• Giám sát Mạng: Triển khai giám sát cấp độ mạng để tìm các truy vấn API siêu dữ liệu bất thường, đặc biệt là các yêu cầu lặp lại tới 169.254.169.254 và các điểm cuối siêu dữ liệu cụ thể của đám mây.
• Quy tắc Phát hiện Hành vi: Triển khai các quy tắc phát hiện hành vi xác định các mẫu truy cập thông tin xác thực bất thường từ các biến môi trường, thư mục khóa SSH và vị trí mã thông báo tài khoản dịch vụ Kubernetes.
• Chính sách Bảo mật Container: Áp dụng các chính sách bảo mật container nghiêm ngặt, bao gồm vô hiệu hóa các container có đặc quyền và hạn chế quyền truy cập vào socket Docker.
• Tăng cường Bảo mật Kernel: Áp dụng tăng cường bảo mật cấp độ kernel thông qua các chính sách SELinux hoặc AppArmor. Duy trì các giải pháp phát hiện và phản hồi điểm cuối (EDR) được cập nhật, có khả năng xác định các rootkit dựa trên eBPF và mô-đun kernel có thể tải.
• Kiểm toán Định kỳ: Kiểm toán thường xuyên các vai trò IAM đám mây, quyền tài khoản dịch vụ và cấu hình thời gian chạy container có thể giúp xác định các vector tấn công tiềm ẩn trước khi chúng bị khai thác.
• Phân đoạn Mạng: Cân nhắc triển khai phân đoạn mạng để hạn chế khả năng di chuyển ngang và triển khai kiểm tra lưu lượng được mã hóa nếu khả thi để phát hiện các giao tiếp C2 được ngụy trang thành lưu lượng HTTPS hợp pháp.