🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma estrutura avançada de malware Linux nativa da nuvem recém-descoberta chamada VoidLink se concentra em ambientes de nuvem, fornecendo aos invasores carregadores, implantes, rootkits e plug-ins personalizados projetados para infraestruturas modernas.
VoidLink é escrito em Zig, Go e C, e seu código mostra sinais de um projeto em desenvolvimento ativo, com extensa documentação e provavelmente destinado a fins comerciais.
Analistas de malware da empresa de segurança cibernética Check Point dizem que o VoidLink pode determinar se ele é executado em ambientes Kubernetes ou Docker e ajustar seu comportamento de acordo.
No entanto, nenhuma infecção ativa foi confirmada, o que apoia a suposição de que o malware foi criado “seja como uma oferta de produto ou como uma estrutura desenvolvida para um cliente”.
Os pesquisadores observam que o VoidLink parece ser desenvolvido e mantido por desenvolvedores que falam chinês, com base na localidade e nas otimizações da interface.
Painel do construtor VoidLinkFonte: Check Point
Capacidades do VoidLink
VoidLink é uma estrutura modular pós-exploração para sistemas Linux que permite que hackers controlem máquinas comprometidas enquanto permanecem ocultos, estendam a funcionalidade com plug-ins e adaptem o comportamento a ambientes especÃficos de nuvem e contêiner.
Depois que o implante é ativado, ele verifica se está sendo executado em Docker ou Kubernetes e consulta metadados de instâncias de nuvem para provedores como AWS, GCP, Azure, Alibaba e Tencent, com planos de adicionar Huawei, DigitalOcean e Vultr.
A estrutura coleta detalhes do sistema, como versão do kernel, hipervisor, processos e estado da rede, e verifica EDRs, proteção do kernel e ferramentas de monitoramento.
Todas as informações e uma pontuação de risco calculada com base nas soluções de segurança instaladas e medidas de proteção são entregues ao operador, permitindo que ele ajuste o comportamento do módulo, como varredura de porta mais lenta e intervalos de beacon mais longos.
O implante se comunica com a operadora usando vários protocolos (HTTP, WebSocket, túnel DNS, ICMP), envoltos em uma camada de mensagens criptografadas personalizada chamada 'VoidStream', que camufla o tráfego para se assemelhar à atividade normal da Web ou da API.
Visão geral operacional do VoidLinkFonte: Check Point
Os plug-ins do VoidLink são arquivos de objetos ELF carregados diretamente na memória e chamam APIs de estrutura por meio de syscalls.
De acordo com a análise da Check Point, as versões atuais do VoidLink usam 35 plugins na configuração padrão:
Reconhecimento (sistema, usuários, processos, rede)
Enumeração de nuvem e contêiner e auxiliares de escape
Coleta de credenciais (chaves SSH, credenciais Git, tokens, chaves de API, dados do navegador)
Movimento lateral (shells, encaminhamento de porta e tunelamento, propagação baseada em SSH)
Mecanismos de persistência (abuso de vinculador dinâmico, cron jobs, serviços do sistema)
Anti-forense (limpeza de log, limpeza de histórico, registro de data e hora)
Selecionando plugins para ativaçãoFonte: Check Point
Para garantir que essas operações não sejam detectadas, o VoidLink usa um conjunto de módulos de rootkit que ocultam processos, arquivos, soquetes de rede ou o próprio rootkit.
Dependendo da versão do kernel do host, a estrutura usa LD_PRELOAD (versões mais antigas), LKMs (módulos de kernel carregáveis) ou rootkits baseados em eBPF.
Além disso, o VoidLink pode detectar depuradores no ambiente, usar criptografia de código de tempo de execução e realizar verificações de integridade para detectar ganchos e adulterações, todos mecanismos avançados de anti-análise.
Se a violação for detectada, o implante se autoexclui e os módulos antiforenses apagam logs, histórico de shell, registros de login e sobrescrevem com segurança todos os arquivos descartados no host, minimizando a exposição a investigações forenses.
Os pesquisadores da Check Point dizem que o VoidLink foi desenvolvido com a furtividade em mente, pois “visa automatizar a evasão tanto quanto possÃvel”, traçando minuciosamente o perfil do ambiente alvo antes de escolher a melhor estratégia.
Eles observam que a nova estrutura “é muito mais avançada do que o malware tÃpico do Linux” e é o trabalho de desenvolvedores com “um alto nÃvel de conhecimento técnico” e muito qualificados em múltiplas linguagens de programação.
“O grande número de recursos e sua arquitetura modular mostram que os autores pretendiam criar uma estrutura sofisticada, moderna e rica em recursos”, dizem os pesquisadores.
A Check Point fornece hoje no relatório um conjunto de indicadores de comprometimento junto com detalhes técnicos sobre os módulos e uma lista de plug-ins descobertos.
7 práticas recomendadas de segurança para MCP
À medida que o MCP (Model Context Protocol) se torna o padrão para conectar LLMs a ferramentas e dados, as equipes de segurança estão agindo rapidamente para manter esses novos serviços seguros.
Esta folha de dicas gratuita descreve 7 práticas recomendadas que você pode começar a usar hoje.
Baixe agora
VoidLink é escrito em Zig, Go e C, e seu código mostra sinais de um projeto em desenvolvimento ativo, com extensa documentação e provavelmente destinado a fins comerciais.
Analistas de malware da empresa de segurança cibernética Check Point dizem que o VoidLink pode determinar se ele é executado em ambientes Kubernetes ou Docker e ajustar seu comportamento de acordo.
No entanto, nenhuma infecção ativa foi confirmada, o que apoia a suposição de que o malware foi criado “seja como uma oferta de produto ou como uma estrutura desenvolvida para um cliente”.
Os pesquisadores observam que o VoidLink parece ser desenvolvido e mantido por desenvolvedores que falam chinês, com base na localidade e nas otimizações da interface.
Painel do construtor VoidLinkFonte: Check Point
Capacidades do VoidLink
VoidLink é uma estrutura modular pós-exploração para sistemas Linux que permite que hackers controlem máquinas comprometidas enquanto permanecem ocultos, estendam a funcionalidade com plug-ins e adaptem o comportamento a ambientes especÃficos de nuvem e contêiner.
Depois que o implante é ativado, ele verifica se está sendo executado em Docker ou Kubernetes e consulta metadados de instâncias de nuvem para provedores como AWS, GCP, Azure, Alibaba e Tencent, com planos de adicionar Huawei, DigitalOcean e Vultr.
A estrutura coleta detalhes do sistema, como versão do kernel, hipervisor, processos e estado da rede, e verifica EDRs, proteção do kernel e ferramentas de monitoramento.
Todas as informações e uma pontuação de risco calculada com base nas soluções de segurança instaladas e medidas de proteção são entregues ao operador, permitindo que ele ajuste o comportamento do módulo, como varredura de porta mais lenta e intervalos de beacon mais longos.
O implante se comunica com a operadora usando vários protocolos (HTTP, WebSocket, túnel DNS, ICMP), envoltos em uma camada de mensagens criptografadas personalizada chamada 'VoidStream', que camufla o tráfego para se assemelhar à atividade normal da Web ou da API.
Visão geral operacional do VoidLinkFonte: Check Point
Os plug-ins do VoidLink são arquivos de objetos ELF carregados diretamente na memória e chamam APIs de estrutura por meio de syscalls.
De acordo com a análise da Check Point, as versões atuais do VoidLink usam 35 plugins na configuração padrão:
Reconhecimento (sistema, usuários, processos, rede)
Enumeração de nuvem e contêiner e auxiliares de escape
Coleta de credenciais (chaves SSH, credenciais Git, tokens, chaves de API, dados do navegador)
Movimento lateral (shells, encaminhamento de porta e tunelamento, propagação baseada em SSH)
Mecanismos de persistência (abuso de vinculador dinâmico, cron jobs, serviços do sistema)
Anti-forense (limpeza de log, limpeza de histórico, registro de data e hora)
Selecionando plugins para ativaçãoFonte: Check Point
Para garantir que essas operações não sejam detectadas, o VoidLink usa um conjunto de módulos de rootkit que ocultam processos, arquivos, soquetes de rede ou o próprio rootkit.
Dependendo da versão do kernel do host, a estrutura usa LD_PRELOAD (versões mais antigas), LKMs (módulos de kernel carregáveis) ou rootkits baseados em eBPF.
Além disso, o VoidLink pode detectar depuradores no ambiente, usar criptografia de código de tempo de execução e realizar verificações de integridade para detectar ganchos e adulterações, todos mecanismos avançados de anti-análise.
Se a violação for detectada, o implante se autoexclui e os módulos antiforenses apagam logs, histórico de shell, registros de login e sobrescrevem com segurança todos os arquivos descartados no host, minimizando a exposição a investigações forenses.
Os pesquisadores da Check Point dizem que o VoidLink foi desenvolvido com a furtividade em mente, pois “visa automatizar a evasão tanto quanto possÃvel”, traçando minuciosamente o perfil do ambiente alvo antes de escolher a melhor estratégia.
Eles observam que a nova estrutura “é muito mais avançada do que o malware tÃpico do Linux” e é o trabalho de desenvolvedores com “um alto nÃvel de conhecimento técnico” e muito qualificados em múltiplas linguagens de programação.
“O grande número de recursos e sua arquitetura modular mostram que os autores pretendiam criar uma estrutura sofisticada, moderna e rica em recursos”, dizem os pesquisadores.
A Check Point fornece hoje no relatório um conjunto de indicadores de comprometimento junto com detalhes técnicos sobre os módulos e uma lista de plug-ins descobertos.
7 práticas recomendadas de segurança para MCP
À medida que o MCP (Model Context Protocol) se torna o padrão para conectar LLMs a ferramentas e dados, as equipes de segurança estão agindo rapidamente para manter esses novos serviços seguros.
Esta folha de dicas gratuita descreve 7 práticas recomendadas que você pode começar a usar hoje.
Baixe agora
#samirnews #samir #news #boletimtec #nova #estrutura #de #malware #voidlink #tem #como #alvo #servidores #em #nuvem #linux
🚀 Mais conteúdos incrÃveis estão por vir, fique atento!
Postar um comentário