برز برمجية خبيثة متطورة لنظام لينكس تُعرف باسم VoidLink كمثال مقلق لتطوير التهديدات بمساعدة الذكاء الاصطناعي، حيث تجمع بين قدرات استهداف سحابية متعددة متقدمة وآليات تخفي على مستوى النواة.
تمثل هذه البرمجية الخبيثة جيلاً جديدًا من التهديدات السيبرانية حيث تم الاستفادة من نماذج اللغة الكبيرة لإنشاء برامج قيادة وتحكم وظيفية قادرة على اختراق البيئات السحابية والمؤسسية بكفاءة مقلقة.
ظهور VoidLink: تهديد جديد يعتمد على الذكاء الاصطناعي في الأمن السيبراني
تعمل VoidLink كإطار عمل قيادة وتحكم شامل مصمم خصيصًا لأنظمة لينكس، وتستهدف منصات سحابية رئيسية بما في ذلك Amazon Web Services، و Google Cloud Platform، و Microsoft Azure، و Alibaba Cloud، و Tencent Cloud.
تُظهر البرمجية الخبيثة تطوراً تقنياً في قدرتها على جمع بيانات الاعتماد من متغيرات البيئة، ودلائل التكوين، وواجهات برمجة تطبيقات بيانات التعريف الخاصة بالتشغيل، مع الحفاظ على الوصول المستمر من خلال وظائف جذور تكيفية.
ما يجعل هذا التهديد ملحوظًا بشكل خاص هو بنيته المعيارية، مما يسمح للبرمجية الخبيثة بتعديل سلوكها بناءً على البيئة المستهدفة التي تواجهها.
حدد محللو Ontinue مؤشرات قوية على أن VoidLink تم بناؤها باستخدام وكيل ترميز مدعوم بنماذج اللغة الكبيرة، ويتجلى ذلك في تسميات “Phase X:” المنظمة، وتسجيلات التصحيح المطولة، وأنماط التوثيق التي تم تركها سليمة داخل الثنائي الإنتاجي.
تشير هذه القطع الأثرية إلى إنشاء كود آلي مع الحد الأدنى من الإشراف البشري، مما يمثل تحولًا كبيرًا في كيفية تطوير البرمجيات الخبيثة.
على الرغم من أصولها التي تم إنشاؤها بواسطة الذكاء الاصطناعي، تظل VoidLink قادرة تقنيًا، حيث تتضمن مكونات إضافية لخروج الحاويات، ووحدات تصعيد الامتيازات في Kubernetes، وجذور نواة خاصة بإصدارات معينة تتكيف مع أساليب التخفي بناءً على إصدار نواة المضيف.
تستخدم البرمجية الخبيثة تشفير AES-256-GCM عبر HTTPS لاتصالات القيادة والتحكم، المموهة حركة المرور الخبيثة كطلبات ويب شرعية باستخدام أنماط متوافقة مع بنية استدعاء Cobalt Strike.
يوضح هذا المزيج من الوعي بالسحابات المتعددة، والاستغلال الأصلي للحاويات، وقدرات التخفي على مستوى النواة كيف يخفض التطوير بمساعدة الذكاء الاصطناعي حاجز المهارة لإنتاج برمجيات خبيثة وظيفية وصعبة الكشف.
البنية المعيارية والكشف عن البيئة
تستخدم VoidLink بنية قائمة على الإضافات حيث تعمل كل مكون بشكل مستقل ضمن إطار عمل تسجيل مشترك.
عند التنفيذ، تقوم البرمجية الخبيثة بتهيئة سجل وحداتها وتحميل أربعة مكونات أساسية: موجه مهام لتوزيع الأوامر، ومدير تخفي للمراوغة، ومدير حقن لتنفيذ التعليمات البرمجية، وكاشف مصحح لأغراض الحماية ضد التحليل.
تجري البرمجية الخبيثة تحليلًا مفصلًا للجهاز المضيف قبل تنشيط قدرات التشغيل، وتقوم بالتحقق من واجهات برمجة تطبيقات بيانات التعريف السحابية، وبيئات الحاويات مثل Docker و Kubernetes، ومؤشرات الوضع الأمني بما في ذلك اكتشاف EDR/AV وتحديد إصدار النواة.
هذا النهج المستنير بالمعلومات يمكّن VoidLink من اختيار آليات التخفي المناسبة وتقنيات الاستغلال المصممة خصيصًا لكل بيئة مكتشفة.
يقوم نظام الكشف عن البيئة بالاستعلام عن نقاط نهاية بيانات التعريف السحابية على 169.254.169.254 لـ AWS و Azure و Alibaba Cloud، بينما يستخدم نقاط نهاية خاصة بمقدمي الخدمة مثل metadata.google.internal لـ GCP و metadata.tencentyun.com لـ Tencent Cloud.
من خلال هذه الاستعلامات، تسترد VoidLink معلومات المنطقة، ومناطق التوفر، ومعرفات التشغيل، وأنواع التشغيل، مما يسمح لها بتكييف أساليب الاستمرارية وتقنيات التخفي وفقًا للبنية التحتية الخاصة بمزود السحابة.
يجب على المؤسسات تطبيق مراقبة على مستوى الشبكة للطلبات غير العادية لواجهة برمجة تطبيقات بيانات التعريف، وخاصة الطلبات المتكررة إلى 169.254.169.254 ونقاط نهاية بيانات التعريف الخاصة بالسحابة.
نشر قواعد الكشف السلوكي التي تحدد أنماط الوصول غير الطبيعية لبيانات الاعتماد من متغيرات البيئة، ودلائل مفاتيح SSH، ومواقع رموز خدمة حسابات Kubernetes.
فرض سياسات صارمة لأمان الحاويات، بما في ذلك تعطيل الحاويات المميزة وتقييد الوصول إلى مقبس Docker.
تطبيق تأمين أمان على مستوى النواة من خلال سياسات SELinux أو AppArmor، والحفاظ على حلول كشف الاستجابة النهائية المحدثة القادرة على تحديد جذور النواة المستندة إلى eBPF ووحدات نواة قابلة للتحميل.
يمكن أن يساعد التدقيق المنتظم لأدوار IAM السحابية، وأذونات حسابات الخدمة، وتكوينات وقت تشغيل الحاويات في تحديد نواقل الهجوم المحتملة قبل استغلالها.
النظر في تطبيق تقسيم الشبكة للحد من قدرات الحركة الجانبية ونشر فحص حركة المرور المشفرة حيثما كان ذلك ممكنًا للكشف عن اتصالات القيادة والتحكم المموهة كحركة مرور HTTPS شرعية.
تابعونا على Google News، LinkedIn، و X للمزيد من التحديثات الفورية، واجعلوا CSN مصدركم المفضل في Google.