Venäjään linkitetty hakkerointiryhmä Curly COMrades aseistaa Microsoftin Hyper-V:tä piilottaakseen haittaohjelmat vaarantuneissa Windows-järjestelmissä, mikä merkitsee merkittävää kehitystä varkaintekniikoissa.
4. marraskuuta tehdyn kyberturvallisuusyrityksen Bitdefenderin raportin mukaan ryhmä asentaa pienen Alpine Linux-virtuaalikoneen luodakseen salaisen toiminnallisen tukikohdan, jonka avulla haittaohjelmat voivat suorittaa räätälöidyn hyökkäyksen.
Detection and Response (EDR)-ohjelmisto.
Heinäkuusta lähtien havaittu hyökkäyksissä tekniikka tarjoaa ryhmälle jatkuvan, heikosti näkyvän pääsyn verkkokampanjoihin. Tutkinnan tuki tuli Georgian kansalliselta CERT:ltä, joka korosti uhan kehittyneellistä ja maailmanlaajuista luonnetta.
Piiloutuminen selkeästi: Natiivin Hyper-V:n väärinkäyttö varkain
Venäjään linkitetyt hakkerit käännetään uudella kiertotekniikalla Windows-ominaisuutta vastaan. Bitdefender tunnisti ensimmäisen kerran elokuussa 2025 COM-kaappauksen. Ryhmä on nyt siirtynyt käyttämään COM-kaappausta. ottamalla käyttöön ulkoisia työkaluja, jotka saattavat laukaista suojaushälytyksiä, hyökkääjät hyödyntävät kohdekoneessa jo olevia laillisia järjestelmäkomponentteja. Tämä on klassinen”elä maan ulkopuolella”lähestymistapa.
Oikeuslääketieteellinen analyysi paljasti monivaiheisen käyttöönottoprosessin. Hyökkääjät suorittavat ensin dism-komentoja Hyper-V-roolin ottamiseksi käyttöön.
Tärkeintä on, että he poistavat käytöstä myös microsoft-hyper-v-Management-clients-ominaisuuden, mikä tekee komponenteista järjestelmänvalvojien vaikeampaa havaita.
Kun Hyper-V on aktivoitu, käskyketju, johon kuuluu curl archive, lataa VM:n. Käynnistä sitten PowerShell-cmdlet, kuten Import-VM ja Start-VM. Epäilysten välttämiseksi virtuaalikoneelle on annettu harhaanjohtava nimi”WSL”, joka jäljittelee Linuxin laillista Windows-alijärjestelmää.
Erillinen arsenaali: Alpine Linux VM ja mukautetut haittaohjelmat
Hyper-V:tä aseistamalla uhkatoimijat luovat sokean kulman monille tavallisille suojaustyökaluille.
Tämän strategian ytimessä on minimalistinen virtuaalikone, joka perustuu Alpine Linuxiin, joka on pienestä koostaan tunnettu jakelu. Valinta on tahallinen; Piilotettu ympäristö sisältää vain 120 megatavua levytilaa ja 256 megatavua muistia, mikä minimoi sen vaikutuksen isäntäjärjestelmään.
Tässä eristetyssä ympäristössä ryhmä käyttää mukautettua haittaohjelmasarjaansa.”Hyökkääjät mahdollistivat Hyper-V-roolin valituissa uhrijärjestelmissä ottamaan käyttöön minimalistisen, Alpine Linux-pohjaisen virtuaalikoneen.”
Tämä tukikanta isännöi kahta keskeistä C++-työkalua:”CurlyShell”, käänteinen kuori, ja”CurlCat”, käänteinen välityspalvelin.
CurlyShell VM saavuttaa pysyvyyden yksinkertaisen päätyön kautta. CurlCat on määritetty välityskomentoksi SSH-asiakkaassa, ja se kääri kaiken lähtevän SSH-liikenteen tavallisiksi HTTP-pyynnöiksi sulautuakseen sisään. Molemmat implantit käyttävät ei-standardia Base64-aakkostoa koodaukseen välttääkseen havaitsemisen.
Tunnistaminen on entistä vaikeampaa, koska virtuaalikone käyttää Hyper-V:n verkkoliikennettä käyttämällä isäntäverkkonsa oletusosoitetta. Käännös (NAT).
Kuten Bitdefender huomauttaa:”Itse asiassa kaikki haitallinen lähtevä viestintä näyttää olevan peräisin laillisen isäntäkoneen IP-osoitteesta.”Tällaiset kiertotaktiikat ovat yhä yleisempiä.
VM:n lisäksi: pysyvyys ja sivusuuntainen liikkuvuus PowerShellin avulla
Vaikka Hyper-V-VM tarjoaa salaperäisen pohjan, Curly COMrades käyttää useita lisätyökaluja pysyvyyden ylläpitämiseen ja sijoittajien liikkumiseen sivusuunnassa. PowerShell-komentosarjoja käytettiin vahvistamaan jalansijaa, mikä esitteli tasokasta lähestymistapaa pääsyn ylläpitämiseen.
Yksi ryhmäkäytännön kautta käyttöön otettu komentosarja suunniteltiin luomaan paikallinen käyttäjätili toimialueeseen liitettyihin koneisiin. Komentosarja nollaa toistuvasti tilin salasanan. Tämä on näppärä mekanismi, jolla varmistetaan, että hyökkääjät säilyttävät pääsyn, vaikka järjestelmänvalvoja havaitsi ja muuttaa kirjautumistietoja.
Toista hienostunutta PowerShell-komentosarjaa, julkisen TicketInjector-apuohjelman mukautettua versiota, käytettiin sivusuunnassa tapahtuvaan siirtoon.
It injects Kera os-lippuun. href=”https://en.wikipedia.org/wiki/Local_Security_Authority_Subsystem_Service”target=”_blank”>Local Security Authority Subsystem Service (LSASS)-prosessi, joka mahdollistaa todentamisen muihin etäjärjestelmiin ilman, että tarvitaan selkeitä salasanoja.
Tämä”pass-the-ticket”-lisätietotekniikka mahdollistaa niiden käyttöönoton, suorittamisen tai suodatusympäristön. Monipuolinen lähestymistapa korostaa ryhmän toiminnallista kypsyyttä, joka on valtion tukemien uhkatoimijoiden tunnusmerkki.
