"ИИ, создай идеальный вирус для Linux, который умеет всё" — результат превзошел ожидания хакеров: встречайте VoidLink
NewsMakerЭто не просто вредонос, а целая империя из зараженных серверов.
Исследователи из Cisco Talos разобрали новый вредоносный фреймворк VoidLink , рассчитанный на системы под управлением Linux. Речь идет о модульной платформе для управления зараженными узлами и загрузки плагинов. Такой класс инструментов давно используют в атаках и пентест -операциях. Среди известных примеров: Cobalt Strike, Manjusaka , Alchimist и SuperShell. Появление VoidLink показывает, что подобные платформы выпускают все быстрее, а цикл разработки заметно сокращается.
Talos отслеживает оператора, который первым начал применять VoidLink, под обозначением UAT-9921. По оценке исследователей, эта группа активна как минимум с 2019 года, хотя сам VoidLink появился в их арсенале недавно. Захваченные серверы злоумышленники используют для разворачивания узлов управления, а затем запускают сканирование как внутри сети жертвы, так и во внешнем сегменте.
Аналитики считают, что разработчики и операторы инструментария знакомы с китайским языком. На это указывают строки в коде, комментарии и заметки по планированию, сделанные в среде разработки с ИИ-функциями. При этом Talos не видит признаков того, что во время самих атак и постэксплуатационных действий применяются ИИ-инструменты. Помощь таких средств заметна именно на этапе написания кода.
Установлено, что операторы имеют доступ к исходникам части модулей и к отдельным утилитам для работы с зараженными узлами напрямую, без центрального сервера управления. Это означает знание внутренних протоколов обмена между компонентами. Разработка VoidLink, по всей видимости, распределена между несколькими командами, но степень изоляции между авторами кода и теми, кто проводит атаки, пока неясна. Известно, что у операторов есть исходные тексты модулей ядра и инструменты для прямого взаимодействия с внедренными компонентами.
Исследователи из Cisco Talos разобрали новый вредоносный фреймворк VoidLink , рассчитанный на системы под управлением Linux. Речь идет о модульной платформе для управления зараженными узлами и загрузки плагинов. Такой класс инструментов давно используют в атаках и пентест -операциях. Среди известных примеров: Cobalt Strike, Manjusaka , Alchimist и SuperShell. Появление VoidLink показывает, что подобные платформы выпускают все быстрее, а цикл разработки заметно сокращается.
Talos отслеживает оператора, который первым начал применять VoidLink, под обозначением UAT-9921. По оценке исследователей, эта группа активна как минимум с 2019 года, хотя сам VoidLink появился в их арсенале недавно. Захваченные серверы злоумышленники используют для разворачивания узлов управления, а затем запускают сканирование как внутри сети жертвы, так и во внешнем сегменте.
Аналитики считают, что разработчики и операторы инструментария знакомы с китайским языком. На это указывают строки в коде, комментарии и заметки по планированию, сделанные в среде разработки с ИИ-функциями. При этом Talos не видит признаков того, что во время самих атак и постэксплуатационных действий применяются ИИ-инструменты. Помощь таких средств заметна именно на этапе написания кода.
Установлено, что операторы имеют доступ к исходникам части модулей и к отдельным утилитам для работы с зараженными узлами напрямую, без центрального сервера управления. Это означает знание внутренних протоколов обмена между компонентами. Разработка VoidLink, по всей видимости, распределена между несколькими командами, но степень изоляции между авторами кода и теми, кто проводит атаки, пока неясна. Известно, что у операторов есть исходные тексты модулей ядра и инструменты для прямого взаимодействия с внедренными компонентами.