کمیته رکن چهارم – پژوهشگران Cisco Talos از شناسایی فعالیت یک عامل تهدید ناشناس با شناسه UAT-9921 خبر دادهاند که در حملات علیه بخشهای فناوری و خدمات مالی از یک چارچوب ماژولار جدید به نام VoidLink استفاده کرده است.
بر اساس این گزارش، UAT-9921 دستکم از سال ۲۰۱۹ فعال بوده و از میزبانهای بهخطر افتاده برای استقرار زیرساخت فرمان و کنترل (C2) مبتنی بر VoidLink بهره میبرد. این زیرساخت سپس برای انجام اسکنهای داخلی و خارجی شبکه و تسهیل حرکت جانبی مورد استفاده قرار میگیرد.
چارچوب VoidLink نخستینبار توسط Check Point مستندسازی شد. این ابزار با زبان Zig نوشته شده و برای ایجاد دسترسی بلندمدت و مخفیانه در محیطهای ابری مبتنی بر لینوکس طراحی شده است. افزونههای آن با زبان C توسعه یافتهاند و بخش پشتیبان (Backend) آن با Go نوشته شده است. این چارچوب از قابلیت «کامپایل درخواستی» برای افزونهها پشتیبانی میکند که امکان سازگاری سریع با توزیعهای مختلف لینوکس را فراهم میسازد.
Talos اعلام کرده VoidLink بهعنوان یک ابزار پس از نفوذ (Post-Compromise) عمل میکند و به مهاجم اجازه میدهد پس از عبور از مرحله دسترسی اولیه، کنترل پایدار و پنهان بر سیستمهای آلوده حفظ کند. در برخی موارد مشاهده شده مهاجمان یک پراکسی SOCKS روی سرورهای آلوده مستقر کرده و با ابزارهایی مانند Fscan اقدام به شناسایی داخلی و حرکت جانبی کردهاند.
این چارچوب به قابلیتهای پیشرفته پنهانسازی مجهز است؛ از جمله:
-
سازوکارهای ضدردیابی (Anti-Forensics)
-
شناسایی و دور زدن پویای راهکارهای EDR
-
جلوگیری از حذف ایمپلنت از سیستم
-
معماری مبتنی بر نقش (RBAC) با سطوح SuperAdmin، Operator و Viewer
پژوهشگران معتقدند احتمال دارد توسعه VoidLink با کمک مدلهای زبانی بزرگ (LLM) و بر اساس رویکرد «توسعه مبتنی بر مشخصات» انجام شده باشد؛ موضوعی که میتواند سطح مهارت مورد نیاز برای تولید بدافزارهای پیشرفته را کاهش دهد.
همچنین شواهدی از نسخهای برای سیستمعامل ویندوز مشاهده شده که از تکنیک DLL Side-Loading برای بارگذاری افزونهها استفاده میکند.
با وجود برخی اختلافنظرها درباره زمان آغاز فعالیت این چارچوب، Talos تأکید کرده VoidLink یک «اثبات مفهوم نزدیک به سطح تولید» است و با توجه به انعطافپذیری و معماری ماژولار آن، میتواند به ابزاری بسیار قدرتمندتر در آینده تبدیل شود.
