Μια ομάδα hacking που συνδέεται με τη Ρωσία, η Curly COMrades, εξοπλίζει το Hyper-V της Microsoft για να κρύψει κακόβουλο λογισμικό σε παραβιασμένα συστήματα Windows, σηματοδοτώντας μια σημαντική εξέλιξη στις τεχνικές μυστικότητας.
Σύμφωνα με μια 4 Νοεμβρίου αναφορά από την εταιρεία κυβερνοασφάλειας Bitdefender, η ομάδα εγκαθιστά μια μικρή εικονική μηχανή Alpine Linux, επιτρέπει τη δημιουργία μιας μυστικής επιχειρησιακής βάσης για επίθεση από τους χρήστες του
σε αυτό το λογισμικό επιθέσεων. παράκαμψη του λογισμικού ανίχνευσης και απόκρισης τελικού σημείου (EDR).
Παρατηρούμενη σε επιθέσεις από τον Ιούλιο, η τεχνική παρέχει χαμηλή πρόσβαση στην ομάδα για κάθε όραση εκστρατείες. Υποστήριξη για την έρευνα προήλθε από το εθνικό CERT της Γεωργίας, υπογραμμίζοντας τον εξελιγμένο και παγκόσμιο χαρακτήρα της απειλής.
Hiding in Plain Sight: Abusing Native Hyper-V for Stealth
Σε μια νέα τεχνική φοροδιαφυγής, οι ρωσικοί χάκερ στρέφουν μια εγγενή λειτουργία των Windows εναντίον του εαυτού τους. Εντοπίστηκε για πρώτη φορά από το Bitdefender τον Αύγουστο του 2025 για τη χρήση του πειρατεία COM, η ομάδα έχει πλέον μετατραπεί σε μια εικονική λειτουργία Hybus-in’s πλατφόρμα.
Αντί να αναπτύσσουν εξωτερικά εργαλεία που θα μπορούσαν να ενεργοποιήσουν ειδοποιήσεις ασφαλείας, οι εισβολείς αξιοποιούν τα νόμιμα στοιχεία του συστήματος που υπάρχουν ήδη στο μηχάνημα-στόχο. Αυτή είναι μια κλασική προσέγγιση”ζωής εκτός της γης”.
Η εγκληματολογική ανάλυση αποκάλυψε μια διαδικασία ανάπτυξης πολλαπλών σταδίων. Οι εισβολείς εκτελούν πρώτα εντολές dim για να ενεργοποιήσουν τον ρόλο Hyper-V.
Κυρίως, απενεργοποιούν επίσης τη δυνατότητα microsoft-hyper-v-Management-clients, καθιστώντας τα στοιχεία πιο δύσκολο να εντοπίσουν οι διαχειριστές.
Με το Hyper-V ενεργοποιημένο, μια αλυσίδα εντολών περιλαμβάνει τη λήψη του VM.arch. Τα cmdlet του PowerShell όπως το Import-VM και το Start-VM και στη συνέχεια το εκκινούν. Για την περαιτέρω αποφυγή υποψιών, η εικονική μηχανή ονομάζεται παραπλανητικά”WSL”, μιμούμενη το νόμιμο υποσύστημα των Windows για Linux.
Ένα απομονωμένο οπλοστάσιο: Το Alpine Linux VM και προσαρμοσμένο κακόβουλο λογισμικό
Το όπλο Hyper-V, οι παράγοντες απειλών δημιουργούν ένα τυφλό σημείο εργαλείων ασφαλείας για πολλά τυπικά εργαλεία ασφαλείας.
Στον πυρήνα αυτής της στρατηγικής βρίσκεται μια μινιμαλιστική εικονική μηχανή που βασίζεται στο Alpine Linux, μια διανομή γνωστή για το μικρό της μέγεθος. Η επιλογή είναι σκόπιμη. το κρυφό περιβάλλον έχει ένα ελαφρύ αποτύπωμα μόνο 120 MB χώρου στο δίσκο και 256 MB μνήμης, ελαχιστοποιώντας τον αντίκτυπό του στο κεντρικό σύστημα.
Μέσα σε αυτό το απομονωμένο περιβάλλον, η ομάδα λειτουργεί την προσαρμοσμένη σουίτα κακόβουλου λογισμικού.”Οι εισβολείς επέτρεψαν στον ρόλο Hyper-V σε επιλεγμένα συστήματα θυμάτων να αναπτύξουν μια μινιμαλιστική εικονική μηχανή βασισμένη σε Alpine Linux.”
Αυτή η βάση φιλοξενεί δύο βασικά εργαλεία C++: το”CurlyShell”, ένα αντίστροφο κέλυφος και το”CurlCat”, έναν αντίστροφο διακομιστή μεσολάβησης.
Το CurlyShell σε απλό c-M root. Το CurlCat έχει ρυθμιστεί ως ProxyCommand στο πρόγραμμα-πελάτη SSH, αναδιπλώνοντας όλη την εξερχόμενη κίνηση SSH σε τυπικά αιτήματα HTTP για ανάμειξη. Και τα δύο εμφυτεύματα χρησιμοποιούν ένα μη τυποποιημένο αλφάβητο Base64 για κωδικοποίηση για να αποφύγουν τον εντοπισμό.
Κάνοντας την ανίχνευση ακόμη πιο δύσκολη, το VM χρησιμοποιεί την κίνηση του κεντρικού υπολογιστή Default Switch. χρησιμοποιώντας τη Μετάφραση Διεύθυνσης Δικτύου (NAT).
Όπως σημειώνει το Bitdefender,”Στην πραγματικότητα, όλη η κακόβουλη εξερχόμενη επικοινωνία φαίνεται να προέρχεται από τη διεύθυνση IP του νόμιμου κεντρικού υπολογιστή.”Τέτοιες τακτικές φοροδιαφυγής γίνονται ολοένα και πιο κοινές.
Πέρα από το VM: Επιμονή και πλευρική κίνηση με το PowerShell
Ενώ το Hyper-V VM παρέχει μια κρυφή βάση, το Curly COMrades χρησιμοποιεί πρόσθετα εργαλεία για να διατηρήσει την επιμονή και να κινηθεί πλευρικά με την επιμονή και να κινηθεί πλευρικά. δέσμες ενεργειών που χρησιμοποιούνται για να σταθεροποιήσουν τη θέση τους, επιδεικνύοντας μια πολυεπίπεδη προσέγγιση για τη διατήρηση της πρόσβασης.
Ένα σενάριο, που αναπτύχθηκε μέσω της Πολιτικής ομάδας, σχεδιάστηκε για τη δημιουργία ενός τοπικού λογαριασμού χρήστη σε μηχανήματα που συνδέονται με τομέα. Επανειλημμένα, το σενάριο επαναφέρει τον κωδικό πρόσβασης του λογαριασμού, έναν έξυπνο μηχανισμό για να διασφαλίσει ότι οι εισβολείς διατηρούν την πρόσβαση ακόμα κι αν ένας διαχειριστής ανακαλύψει και αλλάξει τα διαπιστευτήρια.
Ένα άλλο εξελιγμένο σενάριο PowerShell, μια προσαρμοσμένη έκδοση του δημόσιου βοηθητικού προγράμματος TicketInjector, χρησιμοποιήθηκε για την πλευρική μετακίνηση.
στο Keraosbert. href=”https://en.wikipedia.org/wiki/Local_Security_Authority_Subsystem_Service”target=”_blank”>Local Security Authority Subsystem Service (LSASS) διαδικασία, που επιτρέπει τον έλεγχο ταυτότητας σε άλλα απομακρυσμένα συστήματα χωρίς να χρειάζονται κωδικούς πρόσβασης απλού κειμένου.
Αυτή η τεχνική”exetic thempaskets”με δυνατότητα ελέγχου ταυτότητας. διηθήσουν δεδομένα ή αναπτύξτε πρόσθετο κακόβουλο λογισμικό σε όλο το περιβάλλον. Η πολύπλευρη προσέγγιση υπογραμμίζει την επιχειρησιακή ωριμότητα του ομίλου, χαρακτηριστικό γνώρισμα των φορέων απειλών που υποστηρίζονται από το κράτος.
