近期,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现,VoidLink恶意软件持续活跃,主要针对云环境中的Linux服务器发起攻击,可造成供应链攻击、服务器被控和业务中断等风险。
VoidLink是一个高度模块化的恶意软件,专为攻击云与容器环境设计,其样本于2025年底首次被发现。攻击者通过供应链污染、云环境配置漏洞及容器逃逸等手段植入具备环境感知能力的恶意加载器,利用未签名的容器镜像、泄露的凭证等配置弱点,实现隐蔽初始入侵。当VoidLink在受害Linux系统激活后,会收集主机详细信息,并通过LD_PRELOAD、eBPF、LKM模块等内核级Rootkit技术隐藏自身进程、文件及网络活动,实现持久化驻留并规避常规检测。随后,VoidLink使用名为“VoidStream”的自定义协议连接其主控C2服务器,该协议支持HTTP/S、WebSocket、DNS、ICMP等多种隐蔽信道及P2P网状网络。借此,攻击者可以远程下发指令,实现对受感染系统的完全控制,进行数据窃取和横向移动等恶意操作。
建议相关单位及用户加强监测,及时修复系统、云组件及开发工具已知漏洞,防范开发工具链及容器镜像污染风险;部署带行为检测的终端安全工具,重点监控异常进程、隐蔽网络连接及未知内核模块加载行为;将相关威胁指标纳入监控体系,持续追踪分析异常网络流量与可疑云环境感知活动,有效识别并阻断此类高级威胁。
相关IOC信息
SHA256:
05eac3663d47a29da0d32f67e10d161f831138e10958dcd88b9dc97038948f69
13025f83ee515b299632d267f94b37c71115b22447a0425ac7baed4bf60b95cd
28c4a4df27f7ce8ced69476cc7923cf56625928a7b4530bc7b484eec67fe3943
4c4201cc1278da615bacf48deef461bf26c343f8cbb2d8596788b41829a39f3f
6850788b9c76042e0e29a318f65fceb574083ed3ec39a34bc64a1292f4586b41
70aa5b3516d331e9d1876f3b8994fc8c18e2b1b9f15096e6c790de8cdadb3fc9
7b75ce1d60d3c38d7eb63627e4d3a8c7e6a0f8f65c70d0b0cc4756aab98e9ab7
SHA1:
3355f84f97e06a74586fdb170d023ebc7545fa1a
5ffe44b04c0c47c83c1cd694b28c432fcde5867d
87158bda34066ce732da8b593746f5516aedbd66
9cdbc16912dcf188a0f0765ac21777b23b4b2bea
MD5:
17dd7ee893698205c715eeff87496b37
2c1d348131c4e3e1cb00002f226bad7e
4d8671ffc41252bc189b62699cb8cf90
bb1200ff20a257135e845c2388e46c90
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
