Egy orosz kötődésű hackercsoport, a Curly COMrades fegyveressé teszi a Microsoft Hyper-V-jét, hogy elrejtse a rosszindulatú programokat a feltört Windows rendszereken, ami jelentős fejlődést jelent a lopakodó technikák terén.
Egy november 4-i adat szerint a Bitdefender kiberbiztonsági cég jelentése szerint a csoport egy kis Alpine Linux virtuális gépet telepít, hogy titkos működési bázist hozzon létre. Ez a VM lehetővé teszi a támadások egyéni végpontjainak futtatását.
észlelési és válaszadási (EDR) szoftver.
Július óta megfigyelhető támadások során a technika folyamatos, kevéssé látható hozzáférést biztosít a csoportnak a kiberkampányokhoz. A nyomozást Grúzia nemzeti CERT-je támogatta, hangsúlyozva a fenyegetés kifinomult és globális természetét.
Bújós szemmel: visszaélés a natív Hyper-V-vel lopakodó célokra
Egy új kijátszási technikával az oroszokhoz kötődő hackerek saját maguk ellen fordítják a Windows natív funkcióját. A Bitdefender először 2025 augusztusában azonosította a COM-eltérítést. A csoport most a COM-eltérítést használta, a csoport most átállt a COM-eltérítés használatára. olyan külső eszközöket telepítve, amelyek biztonsági riasztásokat válthatnak ki, a támadók a célgépen már meglévő legitim rendszerkomponenseket használják fel. Ez egy klasszikus „a földön kívüli élet” megközelítés.
A törvényszéki elemzés többlépcsős telepítési folyamatot tárt fel. A támadók először a dism parancsokat hajtják végre, hogy engedélyezzék a Hyper-V szerepkört.
Lényeges, hogy letiltják a microsoft-hyper-v-Management-clients funkciót is, így a rendszergazdák nehezebben észlelhetik az összetevőket.
A Hyper-V aktiválásával a curl arch-ot tartalmazó parancslánc letölti a VM-et. A PowerShell-parancsmagok, például az Import-VM és a Start-VM, majd indítsa el. A gyanú további elkerülése érdekében a virtuális gépet megtévesztően „WSL-nek” nevezik, utánozva a legitim Windows alrendszert Linuxhoz.
Elszigetelt arzenál: Az Alpine Linux virtuális gép és az egyéni kártevők
A Hyper-V fegyverével a fenyegetés szereplői vakfoltot teremtenek számos szabványos biztonsági eszköz számára.
E stratégia középpontjában egy minimalista virtuális gép áll, amely a kis méretéről ismert Alpine Linux disztribúción alapul. A választás szándékos; a rejtett környezet mindössze 120 MB lemezterülettel és 256 MB memóriával rendelkezik, ami minimálisra csökkenti a gazdarendszerre gyakorolt hatást.
Ebben az elszigetelt környezetben a csoport saját rosszindulatú programcsomagját üzemelteti.”A támadók lehetővé tették a Hyper-V szerepkört a kiválasztott áldozatrendszereken, hogy minimalista, Alpine Linux-alapú virtuális gépet telepítsenek.”
Ez az alap két kulcsfontosságú C++ eszközt tartalmaz: a’CurlyShell’egy fordított parancsértelmezőt és a’CurlCat’egy fordított proxy.
A CurlyShell VM egy egyszerű root-feladattal éri el a tartósságot a gyökérben. A CurlCat ProxyCommandként van konfigurálva az SSH-kliensben, amely az összes kimenő SSH-forgalmat szabványos HTTP-kérésekbe csomagolja a beolvadás érdekében. Mindkét implantátum nem szabványos Base64 ábécét használ a kódoláshoz, hogy elkerülje az észlelést.
Az észlelést még megnehezíti, a virtuális gép a Hyper-V forgalmát használja a gazdagép hálózatán keresztül, amely a hálózati cím alapértelmezett Sstack címe. Fordítás (NAT).
Ahogy a Bitdefender megjegyzi: „Valójában úgy tűnik, hogy minden rosszindulatú kimenő kommunikáció a legitim gazdagép IP-címéről származik.” Az ilyen kijátszási taktikák egyre gyakoribbak.
Túl a virtuális gépen: kitartás és oldalirányú mozgás a PowerShell segítségével
Míg a Hyper-V virtuális gép rejtett alapot biztosít, a Curly COMrades több további eszközt is alkalmaz a kitartás fenntartására és az oldalirányú mozgásra. A PowerShell-szkriptek megerősítették a lábukat, és a hozzáférés fenntartásának többrétegű megközelítését demonstrálták.
Egy szkriptet a csoportházirenden keresztül telepítettek arra, hogy helyi felhasználói fiókot hozzon létre a tartományhoz csatlakoztatott gépeken. A szkript többször is visszaállítja a fiók jelszavát, ami egy okos mechanizmus, amely biztosítja, hogy a támadók még akkor is megőrizzék a hozzáférést, ha a rendszergazda felfedezi és megváltoztatja a hitelesítő adatokat.
Egy másik kifinomult PowerShell-szkriptet, a nyilvános TicketInjector segédprogram testreszabott változatát használták az oldalirányú mozgáshoz.
It injects a Keraos jegybe. href=”https://en.wikipedia.org/wiki/Local_Security_Authority_Subsystem_Service”target=”_blank”>Helyi biztonsági hatósági alrendszer-szolgáltatás (LSASS) folyamata, amely lehetővé teszi a hitelesítést más távoli rendszerek számára egyszerű szöveges jelszavak nélkül.
Ez a „pass-the-ticket” további rosszindulatú adatok, parancsok futtatása és végrehajtása lehetővé teszi számukra a környezeten keresztül. A sokoldalú megközelítés rávilágít a csoport működési érettségére, ami az államilag támogatott fenyegetés szereplőinek egyik jellemzője.
