Un grup de hacking legat de Rusia, Curly COMrades, armonizează Hyper-V de la Microsoft pentru a ascunde programele malware pe sistemele Windows compromise, marcând o evoluție semnificativă a tehnicilor de ascundere.
Conform unui raport de la firma de securitate cibernetică Bitdefender, grupul instalează o mică mașină virtuală Alpine Linux pentru a crea o bază operațională secretă.
Această VM rulează malware personalizat, permițând atacatorilor să ocolească software-ul de detectare și răspuns la punctele finale (EDR).
Observată în atacuri din iulie, tehnica oferă grupului acces persistent, cu vizibilitate scăzută pentru campaniile de spionaj cibernetic. Sprijinul pentru investigație a venit de la CERT-ul național al Georgiei, subliniind natura sofisticată și globală a amenințării.
Ascunderea la vedere: abuzarea de Hyper-V nativ pentru stealth
Într-o tehnică nouă de evaziune, hackerii legați de Rusia transformă o caracteristică Windows nativă împotriva lor. Identificat pentru prima dată de Bitdefender în august 2025 pentru utilizarea deturnarea COM, grupul a trecut acum la abuzarea de platforme de virtualizare Hyper-V, în loc de desfășurarea virtuală a platformelor Microsoft. instrumente externe care ar putea declanșa alerte de securitate, atacatorii folosesc componentele legitime ale sistemului deja prezente pe mașina țintă. Aceasta este o abordare clasică „a trăi din pământ”.
Analiza criminalistică a relevat un proces de implementare în mai multe etape. Atacatorii execută mai întâi comenzi dism pentru a activa rolul Hyper-V.
În mod esențial, ei dezactivează și caracteristica Microsoft-hyper-v-Management-clients, făcând componentele mai greu de detectat de către administratori.
Cu Hyper-V activat, un lanț de comenzi care implică descărcări curl arhivei VM. Cmdleturile PowerShell precum Import-VM și Start-VM apoi lansează-l. Pentru a evita și mai mult suspiciunea, VM-ul este denumit în mod înșelător „WSL”, imitând subsistemul Windows legitim pentru Linux.
Un arsenal izolat: VM-ul Alpine Linux și programul malware personalizat
Armând Hyper-V, actorii amenințărilor creează un punct orb pentru multe instrumente standard de securitate.
La baza acestei strategii se află o mașină virtuală minimalistă bazată pe Alpine Linux, o distribuție cunoscută pentru dimensiunea sa mică. Alegerea este deliberată; mediul ascuns are o amprentă ușoară de doar 120 MB de spațiu pe disc și 256 MB de memorie, minimizând impactul său asupra sistemului gazdă.
În acest mediu izolat, grupul își operează suita personalizată de malware. „Atacatorii au permis rolului Hyper-V pe sistemele victime selectate să implementeze o mașină virtuală minimalistă, bazată pe Alpine Linux.”
Această bază găzduiește două instrumente cheie C++: „CurlyShell,” un shell invers, și „CurlCat”, un proxy invers.
CurlyShell realizează o persistență simplă în cadrul VM-ului. CurlCat este configurat ca ProxyCommand în clientul SSH, împachetând tot traficul SSH de ieșire în solicitări HTTP standard pentru a se amesteca. Ambele implanturi folosesc un alfabet non-standard Base64 pentru codificare pentru a evita detectarea.
Făcând detectarea și mai dificilă, VM folosește Hyper-V, care utilizează rețeaua de traducere a lui Hyper-V, care direcționează traficul de rețea a gazdei prin Adresa de traducere implicită. (NAT).
Așa cum notează Bitdefender, „De fapt, toate comunicările rău intenționate par să provină de la adresa IP a mașinii gazdă legitime.” Astfel de tactici de evaziune devin din ce în ce mai obișnuite.
Dincolo de VM: persistență și mișcare laterală cu PowerShell
În timp ce Hyper-V VM oferă o bază ascunsă, Curly COMrades folosește instrumente suplimentare pentru a menține persistența și a deplasa lateral pentru mai mulți investigatori neacoperiți.
să-și consolideze punctul de sprijin, demonstrând o abordare stratificată pentru menținerea accesului.
Un script, implementat prin Politica de grup, a fost conceput pentru a crea un cont de utilizator local pe mașinile conectate la domeniu. În mod repetat, scriptul resetează parola contului, un mecanism inteligent pentru a se asigura că atacatorii păstrează accesul chiar dacă un administrator descoperă și modifică acreditările.
Un alt script PowerShell sofisticat, o versiune personalizată a utilitarului public TicketInjector, a fost folosit pentru deplasarea laterală.
Injectează într-un bilet Keraberos. href=”https://en.wikipedia.org/wiki/Local_Security_Authority_Subsystem_Service”target=”_blank”>Local Security Authority Subsystem Service (LSASS), permițând autentificarea la alte sisteme de la distanță fără a avea nevoie de parole în text simplu.
Această tehnică „pass-the-ticket” le permite să execute comenzi suplimentare de date, să execute programe malware sau să implementeze medii suplimentare. Abordarea cu mai multe fațete evidențiază maturitatea operațională a grupului, un semn distinctiv al actorilor de amenințări sponsorizați de stat.
