與俄羅斯有關的黑客組織 Curly COMrades 正在將微軟的 Hyper-V 武器化,以隱藏受感染 Windows 系統上的惡意軟件,這標誌著隱形技術的重大發展。
根據網絡安全公司 11 月 4 日的報告Bitdefender,該組織安裝了一個小型 Alpine Linux 虛擬機來創建秘密運營基地。
該虛擬機運行自定義惡意軟件,允許攻擊者繞過端點檢測和響應 (EDR) 軟件。
在攻擊中觀察到自 7 月以來,該技術為該組織提供了持續、低可見度的網絡間諜活動訪問權限。佐治亞州國家 CERT 對調查提供了支持,強調了威脅的複雜性和全球性。
隱藏在眾目睽睽之下:濫用本機 Hyper-V 進行隱秘
在一種新穎的規避技術中,與俄羅斯有關的黑客正在利用本機 Windows 功能來攻擊自己。 Bitdefender 於 2025 年 8 月首次發現該組織使用 COM 劫持,現在該組織已轉向濫用 Microsoft 內置虛擬化平台 Hyper-V。
不再部署可能觸發安全的外部工具警報後,攻擊者利用目標計算機上已有的合法系統組件。這是典型的“靠地為生”的方式。
取證分析揭示了一個多階段的部署過程。攻擊者首先執行 dism 命令來啟用 Hyper-V 角色。
至關重要的是,他們還禁用了 microsoft-hyper-v-Management-clients 功能,使管理員更難發現組件。
激活 Hyper-V 後,涉及curl 的一系列命令會下載虛擬機存檔。然後使用 Import-VM 和 Start-VM 等 PowerShell cmdlet 啟動它。為了進一步避免懷疑,該虛擬機被欺騙性地命名為“WSL”,模仿合法的 Windows Linux 子系統。
孤立的軍火庫:Alpine Linux 虛擬機和自定義惡意軟件
威脅行為者將 Hyper-V 武器化,為許多標準安全工具創造了盲點。
該策略的核心是基於 Alpine Linux 的簡約虛擬機,該發行版以體積小而聞名。選擇是經過深思熟慮的;該隱藏環境的佔用空間很小,僅 120MB 磁盤空間和 256MB 內存,最大限度地減少了對主機系統的影響。
在這個隔離環境中,該組織運行其自定義惡意軟件套件。 “攻擊者在選定的受害者係統上啟用了 Hyper-V 角色,以部署基於 Alpine Linux 的簡約虛擬機。”
該基地託管兩個關鍵的 C++ 工具:反向 shell“CurlyShell”和反向代理“CurlCat”。
CurlyShell 通過簡單的根級 cron 作業在虛擬機內實現持久性。 CurlCat 在 SSH 客戶端中配置為 ProxyCommand,將所有傳出 SSH 流量包裝到標準 HTTP 請求中進行混合。兩個植入程序都使用非標準 Base64 字母表進行編碼以逃避檢測。
虛擬機使用 Hyper-V 的默認交換機,該交換機使用網絡地址轉換 (NAT) 通過主機的網絡堆棧路由其流量,這使得檢測更加困難。
正如 Bitdefender 所指出的,“實際上,所有惡意出站通信似乎源自合法主機的 IP 地址。”這種規避策略變得越來越普遍。
超越虛擬機:使用 PowerShell 進行持久性和橫向移動
雖然 Hyper-V 虛擬機提供了隱秘的基礎,但 Curly COMrades 使用其他工具來維持持久性和橫向移動。
調查人員發現了多個用於鞏固其立足點的惡意 PowerShell 腳本,展示了一種維護訪問的分層方法。
通過組策略部署的一個腳本旨在在加入域的計算機上創建本地用戶帳戶。該腳本會反復重置帳戶密碼,這是一種巧妙的機制,即使管理員發現並更改憑據,也可確保攻擊者保留訪問權限。
另一個複雜的 PowerShell 腳本(公共 TicketInjector 實用程序的定製版本)用於橫向移動。
它將 Kerberos 票證注入 本地安全機構子系統服務 (LSASS) 進程,允許在不需要明文密碼的情況下對其他遠程系統進行身份驗證。
這種“傳遞票據”技術使他們能夠在整個環境中執行命令、竊取數據或部署其他惡意軟件。多方面的方法凸顯了該組織的運營成熟度,這是國家支持的威脅行為者的標誌。
