🌟 Atualização imperdível para quem gosta de estar bem informado!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaça até então desconhecido, rastreado como UAT-9921, foi observado aproveitando uma nova estrutura modular chamada VoidLink em suas campanhas direcionadas aos setores de tecnologia e serviços financeiros, de acordo com descobertas do Cisco Talos.
“Este ator de ameaça parece estar ativo desde 2019, embora não tenha necessariamente usado o VoidLink durante sua atividade”, disseram os pesquisadores Nick Biasini, Aaron Boyd, Asheer Malhotra e Vitor Ventura. "O UAT-9921 usa hosts comprometidos para instalar o comando e controle VoidLink (C2), que são então usados para iniciar atividades de varredura internas e externas à rede."
O VoidLink foi documentado pela primeira vez pela Check Point no mês passado, descrevendo-o como uma estrutura de malware rica em recursos escrita em Zig, projetada para acesso furtivo e de longo prazo a ambientes em nuvem baseados em Linux. É avaliado como o trabalho de um único desenvolvedor com a ajuda de um grande modelo de linguagem (LLM) para desenvolver seus aspectos internos com base em um paradigma chamado desenvolvimento orientado a especificações.
Em outra análise publicada no início desta semana, Ontinue apontou que o surgimento do VoidLink apresenta uma nova preocupação onde implantes gerados por LLM, repletos de rootkits em nível de kernel e recursos para ambientes de nuvem direcionados, podem reduzir ainda mais a barreira de habilidade necessária para produzir malware difícil de detectar.
De acordo com Talos, acredita-se que o UAT-9921 possua conhecimento da língua chinesa, dada a linguagem da estrutura, e o kit de ferramentas parece ser uma adição recente. Acredita-se também que o desenvolvimento foi dividido entre equipas, embora a extensão da demarcação entre o desenvolvimento e as operações reais permaneça obscura.
“Os operadores que implantam o VoidLink têm acesso ao código-fonte de alguns módulos [do kernel] e a algumas ferramentas para interagir com os implantes sem o C2”, observaram os pesquisadores. “Isso indica conhecimento interno dos protocolos de comunicação dos implantes”.
O VoidLink é implantado como uma ferramenta pós-comprometimento, permitindo que o adversário evite a detecção. O ator da ameaça também foi observado implantando um proxy SOCKS em servidores comprometidos para iniciar varreduras para reconhecimento interno e movimento lateral usando ferramentas de código aberto como o Fscan.
A empresa de segurança cibernética disse estar ciente de várias vítimas relacionadas ao VoidLink desde setembro de 2025, indicando que o trabalho no malware pode ter começado muito antes do cronograma de novembro de 2025 elaborado pela Check Point.
VoidLink usa três linguagens de programação diferentes: ZigLang para o implante, C para os plugins e GoLang para o backend. Ele oferece suporte à compilação sob demanda de plug-ins, fornecendo suporte para as diferentes distribuições Linux que podem ser alvo. Os plugins permitem a coleta de informações, movimentação lateral e anti-forense.
A estrutura também vem equipada com uma ampla gama de mecanismos furtivos para dificultar a análise, impedir sua remoção dos hosts infectados e até mesmo detectar soluções de detecção e resposta de endpoint (EDR) e elaborar uma estratégia de evasão em tempo real.
“O C2 fornecerá ao implante um plugin para ler um banco de dados específico que o operador encontrou ou uma exploração para uma vulnerabilidade conhecida, que por acaso está em um servidor web interno”, disse Talos.
"O C2 não precisa necessariamente ter todas essas ferramentas disponíveis - ele pode ter um agente que fará sua pesquisa e preparará a ferramenta para o operador usar. Com a capacidade atual de compilação sob demanda do VoidLink, a integração de tal recurso não deve ser complexa. Tenha em mente que tudo isso acontecerá enquanto o operador continua a explorar o ambiente."
Outra característica definidora do VoidLink é sua auditabilidade e a existência de um mecanismo de controle de acesso baseado em função (RBAC), que consiste em três níveis de função: SuperAdmin, Operador e Visualizador. Isto sugere que os desenvolvedores da estrutura tiveram em mente a supervisão ao projetá-la, levantando a possibilidade de que a atividade possa fazer parte de exercícios da equipe vermelha.
Além do mais, há sinais de que existe um implante principal que foi compilado para Windows e pode carregar plug-ins por meio de uma técnica chamada carregamento lateral de DLL.
“Esta é uma prova de conceito quase pronta para produção”, disse Talos. "O VoidLink está posicionado para se tornar uma estrutura ainda mais poderosa com base em suas capacidades e flexibilidade."
“Este ator de ameaça parece estar ativo desde 2019, embora não tenha necessariamente usado o VoidLink durante sua atividade”, disseram os pesquisadores Nick Biasini, Aaron Boyd, Asheer Malhotra e Vitor Ventura. "O UAT-9921 usa hosts comprometidos para instalar o comando e controle VoidLink (C2), que são então usados para iniciar atividades de varredura internas e externas à rede."
O VoidLink foi documentado pela primeira vez pela Check Point no mês passado, descrevendo-o como uma estrutura de malware rica em recursos escrita em Zig, projetada para acesso furtivo e de longo prazo a ambientes em nuvem baseados em Linux. É avaliado como o trabalho de um único desenvolvedor com a ajuda de um grande modelo de linguagem (LLM) para desenvolver seus aspectos internos com base em um paradigma chamado desenvolvimento orientado a especificações.
Em outra análise publicada no início desta semana, Ontinue apontou que o surgimento do VoidLink apresenta uma nova preocupação onde implantes gerados por LLM, repletos de rootkits em nível de kernel e recursos para ambientes de nuvem direcionados, podem reduzir ainda mais a barreira de habilidade necessária para produzir malware difícil de detectar.
De acordo com Talos, acredita-se que o UAT-9921 possua conhecimento da língua chinesa, dada a linguagem da estrutura, e o kit de ferramentas parece ser uma adição recente. Acredita-se também que o desenvolvimento foi dividido entre equipas, embora a extensão da demarcação entre o desenvolvimento e as operações reais permaneça obscura.
“Os operadores que implantam o VoidLink têm acesso ao código-fonte de alguns módulos [do kernel] e a algumas ferramentas para interagir com os implantes sem o C2”, observaram os pesquisadores. “Isso indica conhecimento interno dos protocolos de comunicação dos implantes”.
O VoidLink é implantado como uma ferramenta pós-comprometimento, permitindo que o adversário evite a detecção. O ator da ameaça também foi observado implantando um proxy SOCKS em servidores comprometidos para iniciar varreduras para reconhecimento interno e movimento lateral usando ferramentas de código aberto como o Fscan.
A empresa de segurança cibernética disse estar ciente de várias vítimas relacionadas ao VoidLink desde setembro de 2025, indicando que o trabalho no malware pode ter começado muito antes do cronograma de novembro de 2025 elaborado pela Check Point.
VoidLink usa três linguagens de programação diferentes: ZigLang para o implante, C para os plugins e GoLang para o backend. Ele oferece suporte à compilação sob demanda de plug-ins, fornecendo suporte para as diferentes distribuições Linux que podem ser alvo. Os plugins permitem a coleta de informações, movimentação lateral e anti-forense.
A estrutura também vem equipada com uma ampla gama de mecanismos furtivos para dificultar a análise, impedir sua remoção dos hosts infectados e até mesmo detectar soluções de detecção e resposta de endpoint (EDR) e elaborar uma estratégia de evasão em tempo real.
“O C2 fornecerá ao implante um plugin para ler um banco de dados específico que o operador encontrou ou uma exploração para uma vulnerabilidade conhecida, que por acaso está em um servidor web interno”, disse Talos.
"O C2 não precisa necessariamente ter todas essas ferramentas disponíveis - ele pode ter um agente que fará sua pesquisa e preparará a ferramenta para o operador usar. Com a capacidade atual de compilação sob demanda do VoidLink, a integração de tal recurso não deve ser complexa. Tenha em mente que tudo isso acontecerá enquanto o operador continua a explorar o ambiente."
Outra característica definidora do VoidLink é sua auditabilidade e a existência de um mecanismo de controle de acesso baseado em função (RBAC), que consiste em três níveis de função: SuperAdmin, Operador e Visualizador. Isto sugere que os desenvolvedores da estrutura tiveram em mente a supervisão ao projetá-la, levantando a possibilidade de que a atividade possa fazer parte de exercícios da equipe vermelha.
Além do mais, há sinais de que existe um implante principal que foi compilado para Windows e pode carregar plug-ins por meio de uma técnica chamada carregamento lateral de DLL.
“Esta é uma prova de conceito quase pronta para produção”, disse Talos. "O VoidLink está posicionado para se tornar uma estrutura ainda mais poderosa com base em suas capacidades e flexibilidade."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #uat9921 #implanta #malware #voidlink #para #setores #de #tecnologia #e #financeiros #direcionados
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário