Yeni bir siber tehdit, VoidLink adı verilen ve özellikle Linux tabanlı bulut ortamlarına uzun süreli, sinsi erişim sağlamak amacıyla geliştirilmiş çok özellikli bir kötü amaçlı yazılım çerçevesi olarak ortaya çıkmıştır. Check Point Research tarafından açıklanan bu çerçeve, siber güvenlik alanında yeni bir tehlikenin meydana geldiğini göstermektedir.
Saldırı Nasıl Çalışıyor?
VoidLink, özelleştirilmiş yükleyiciler, implantlar, kök setleri ve modüler eklentilerden oluşan bir bulut yerel kötü amaçlı yazılım çerçevesidir. Bu çerçeve, operatörlerine yeteneklerini zamanla artırma veya değiştirme imkanı sunmakta ve hedefler değiştiğinde yön değiştirilebilmektedir. İlk olarak Aralık 2025’te keşfedilmiştir.
Check Point’ın yaptığı analizde, çerçevenin bulut ve konteyner ortamlarında uzun süreli ve güvenilir bir şekilde çalışmak üzere tasarlandığı belirtilmiştir. VoidLink’in mimarisi, Cobalt Strike’ın Beacon Object Files (BOF) yaklaşımından ilham alarak geliştirilmiş özel bir Eklenti API’si etrafında şekillenmiştir. Bu API, varsayılan olarak sunulan 30’dan fazla eklenti modülünde kullanılmaktadır.
Etkilenen Sistemler
VoidLink’in hedef aldığı sistemler arasında aşağıdakiler bulunmaktadır:
- Amazon Web Services (AWS)
- Google Cloud
- Microsoft Azure
- Alibaba
- Tencent
Bu çerçevenin yazılımcıları hedef alması, hassas verilerin çalınması veya erişim sağlanarak tedarik zinciri saldırıları gerçekleştirilmesi amacı taşıdığını göstermektedir.
Çözüm ve Korunma
VoidLink, birçok gelişmiş özelliği ile dikkat çekmektedir. Bu özelliklerden bazıları şunlardır:
- Kök seti benzeri özelliklerle süreçlerin saklanması.
- İn-memory plugin sistemi ile işlevselliğin genişletilmesi.
- Çeşitli komut ve kontrol (C2) kanalları için destek.
- Tekrar eden ağlar veya mesh tarzı ağların oluşturulması.
Bu kötü amaçlı yazılım, Çin’e bağlı siber tehdit aktörleri tarafından geliştirilmiştir. Kontrol paneli, saldırganların uzaktan implantı kontrol etmesine, özel versiyonlar oluşturmasına ve tehditlerin tüm aşamalarını yönetmesine olanak tanımaktadır.
Check Point, VoidLink’i “etkileyici” ve “tipik Linux kötü amaçlı yazılımlarından çok daha gelişmiş” olarak tanımlamıştır. Kötü amaçlı yazılım; tespit edilme ihtimalini en aza indirmek için çeşitli anti-analiz özellikleri içermektedir. Örneğin, her türlü hata ayıklayıcı ve izleme aracını tespit edebilmekte ve herhangi bir müdahale belirtisi algılandığında kendini silmektedir.
Bu bağlamda, kullanıcıların alması gereken önlemler şunlardır:
- Linux tabanlı sistemlerinizi güncelleyin.
- Bulut hizmetleri ile ilgili yapılandırmalarınızı gözden geçirin.
- Gelişmiş güvenlik duvarı ve izleme araçları kullanın.
- Açık olan portları ve zayıf noktaları kapalı tutun.
Sonuç olarak, süreçlerinizi güvence altına almak ve olası saldırılardan korunmak için yukarıdaki önlemleri almalı ve sistemlerinizi sürekli olarak güncellemelisiniz.
