Les chercheurs de Check Point ont découvert un cadre modulaire de logiciels malveillants probablement conçu par des développeurs chinois pour récolter des informations d’identification pour les environnements cloud.
Les chercheurs ont découvert un nouveau cadre de malware sophistiqué et modulaire conçu pour fonctionner furtivement dans les systèmes et conteneurs Linux. Le framework semble avoir été conçu par des développeurs chinois possédant une connaissance approfondie des composants internes de Linux et a été créé pour être utilisé sur des serveurs cloud.
« Le framework, appelé en interne par ses développeurs d’origine sous le nom de VoidLink, est un implant cloud-first écrit en Zig et conçu pour fonctionner dans une infrastructure moderne », ont déclaré les chercheurs de la société de sécurité Check Point dans leur rapport. « Il peut reconnaître les principaux environnements cloud et détecter quand il s’exécute dans Kubernetes ou Docker, puis adapter son comportement en conséquence. »
Check Point n’a trouvé que des échantillons de logiciels malveillants qui semblent être un projet en cours plutôt qu’un produit terminé. Cependant, le projet est mature et les chercheurs de l’entreprise pensent qu’il ne faudra pas longtemps avant que le malware soit utilisé dans des attaques réelles, éventuellement à des fins de cyberespionnage ou de compromission de la chaîne d’approvisionnement, car il collecte des informations d’identification pour les environnements cloud et les systèmes de gestion des référentiels de code source.
Hautement extensible et personnalisable
VoidLink s’inspire de l’implantation de balise de Cobalt Strike, un cadre de simulation d’adversaire qui a été largement adopté et utilisé à mauvais escient par les attaquants au fil des ans. Le malware utilise une API pour communiquer avec des plug-ins supplémentaires qui ajoutent un ensemble diversifié de fonctionnalités.
Par défaut, la plateforme est livrée avec 37 plug-ins qui peuvent être sélectionnés et fournis à la victime pour activer des fonctionnalités supplémentaires. Cependant, l’opérateur peut également fournir des plug-ins personnalisés. Ceci est contrôlé via un tableau de bord de commande et de contrôle (C2) Web d’aspect professionnel.
« Cette interface est localisée pour les opérateurs affiliés à la Chine, mais la navigation suit une disposition C2 familière : une barre latérale gauche regroupe les pages en tableau de bord, attaque et infrastructure », ont indiqué les chercheurs. « La section Tableau de bord couvre la boucle principale de l’opérateur (gestionnaire d’agents, terminal intégré et constructeur d’implants). En revanche, la section Attaque organise les activités post-exploitation telles que la reconnaissance, l’accès aux informations d’identification, la persistance, le mouvement latéral, l’injection de processus, la furtivité et l’effacement des preuves. «
Le framework du malware est écrit en Zig, un langage de programmation relativement nouveau qui constitue une alternative au C et constitue un choix inhabituel pour le développement de malware. Cependant, les développeurs ont également démontré leur maîtrise d’autres langages tels que Go, C et les frameworks JavaScript tels que React.
Les chercheurs notent que VoidLink est beaucoup plus avancé qu’un malware Linux classique, avec un composant de base bien conçu qui gère l’état, la communication et l’exécution des tâches, fourni via un chargeur en deux étapes. Les opérateurs peuvent fournir du code supplémentaire à exécuter sous forme de plug-ins.
Reconnaissance et adaptabilité du cloud
Le logiciel malveillant a été conçu pour détecter s’il est exécuté sur diverses plates-formes cloud telles qu’AWS, GCP, Azure, Alibaba et Tencent, puis pour commencer à exploiter les API de gestion de ces fournisseurs. Le code suggère que les développeurs prévoient d’ajouter des détections pour Huawei, DigitalOcean et Vultr à l’avenir.
Le malware collecte de grandes quantités d’informations sur la machine et l’environnement dans lequel il s’exécute, notamment s’il s’agit d’un conteneur Docker ou d’un pod Kubernetes. Il peut ensuite exécuter des modules de post-exploitation qui tentent d’augmenter les privilèges via des évasions de conteneurs ou des mouvements latéraux vers d’autres conteneurs.
« En fin de compte, l’objectif de cet implant semble être un accès furtif et à long terme, une surveillance et une collecte de données », ont déclaré les chercheurs, ajoutant que les développeurs pourraient être une cible pour une livraison initiale.
Un autre aspect intéressant est que le malware dispose d’un algorithme sophistiqué grâce auquel il adapte ses opérations en fonction de la posture de sécurité de l’environnement. Il recherchera les outils Linux courants de point de terminaison et de réponse de détection (EDR) et les technologies de renforcement du noyau, puis calculera un score de risque pour l’environnement, qui sera ensuite utilisé pour sélectionner une stratégie d’évasion de détection.
Le malware possède également plusieurs composants rootkit avec des stratégies de déploiement pour différentes versions du noyau Linux et les déploiera en fonction de l’environnement dans lequel il s’exécute. Ces modules de rootkit masquent les processus, les fichiers et les sockets réseau du malware.
Le trafic C2 est masqué de plusieurs manières, notamment sous forme de données chiffrées dans des fichiers PNG ou JS, HTML ou CSS, ce qui le rend difficile à détecter au niveau de la couche réseau.
« VoidLink vise à automatiser autant que possible l’évasion, en profilant un environnement et en choisissant la stratégie la plus appropriée pour y opérer », ont déclaré les chercheurs. « Augmenté par le mode noyau et un vaste écosystème de plugins, VoidLink permet à ses opérateurs de se déplacer dans les environnements cloud et les écosystèmes de conteneurs avec une furtivité adaptative. »
Bien que les logiciels malveillants pour Linux soient moins courants et souvent moins sophistiqués que les programmes malveillants pour Windows, VoidLink se distingue comme un framework unique et hautement performant. Même s’il n’est pas tout à fait clair si ce malware est destiné à être un produit destiné aux cybercriminels ou comme futur cadre de test d’intrusion commercial, il sert d’exemple du type de menaces que les organisations devraient être prêtes à défendre dans leurs environnements cloud basés sur Linux.
