Një grup hakerimi i lidhur me Rusinë, Curly COMrades, është duke armatosur Hyper-V të Microsoft për të fshehur malware në sistemet e komprometuara Windows, duke shënuar një evolucion të rëndësishëm në teknikat e fshehta.
Sipas një 4 nëntori raport nga firma e sigurisë kibernetike Bitdefender, grupi instalon një makinë virtuale të vogël Alpine Linux, e lejon këtë makine virtuale të sulmit të
M të sulmeve të fshehta operative
. anashkaloni softuerin e zbulimit dhe përgjigjes së pikës fundore (EDR).
Vëzhguar në sulme që nga korriku, teknika ofron aksesueshmëri të ulët për grupin me shikim të ulët për grupin fushatave. Mbështetja për hetimin erdhi nga CERT kombëtare e Gjeorgjisë, duke nënvizuar natyrën e sofistikuar dhe globale të kërcënimit.
Fshehja në pamje të thjeshtë: Abuzimi i Hyper-V vendase për vjedhje
Në një teknikë të re evazioni, hakerët e lidhur me rusët po e kthejnë një veçori vendase të Windows kundër vetvetes. I identifikuar për herë të parë nga Bitdefender në gusht 2025 për përdorimin e tij të rrëmbimi COM, grupi tani ka zhvendosur virtualizimin e një autobusi. platformë.
Në vend që të vendosin mjete të jashtme që mund të shkaktojnë alarme sigurie, sulmuesit përdorin komponentë legjitimë të sistemit tashmë të pranishëm në makinën e synuar. Kjo është një qasje klasike”të jetosh jashtë tokës”.
Analiza mjeko-ligjore zbuloi një proces vendosjeje me shumë faza. Sulmuesit fillimisht ekzekutojnë komandat dism për të aktivizuar rolin Hyper-V.
Në mënyrë thelbësore, ata çaktivizojnë gjithashtu veçorinë microsoft-hyper-v-Management-clients, duke i bërë komponentët më të vështirë për t’i dalluar nga administratorët.
Me Hyper-V të aktivizuar, një zinxhir komandash përfshin shkarkimin e VM.arch. PowerShell cmdlet si Import-VM dhe Start-VM më pas e lëshojnë atë. Për të shmangur më tej dyshimin, VM është quajtur në mënyrë mashtruese”WSL”, duke imituar nënsistemin legjitim të Windows për Linux.
Një Arsenal i izoluar: VM Alpine Linux dhe Malware i personalizuar
Armatizimi i Hyper-V, aktorët e kërcënimit krijojnë një pikë të verbër mjetesh standarde të sigurisë.
Në themel të kësaj strategjie është një makinë virtuale minimaliste e bazuar në Alpine Linux, një shpërndarje e njohur për madhësinë e saj të vogël. Zgjedhja është e qëllimshme; mjedisi i fshehur ka një gjurmë të lehtë prej vetëm 120 MB hapësirë në disk dhe 256 MB memorie, duke minimizuar ndikimin e tij në sistemin pritës.
Brenda këtij mjedisi të izoluar, grupi operon paketën e tij të personalizuar të malware.”Sulmuesit aktivizuan rolin Hyper-V në sistemet e zgjedhura të viktimave për të vendosur një makinë virtuale minimaliste, alpine të bazuar në Linux.”
Kjo bazë strehon dy mjete kyçe të C++:”CurlyShell”, një guaskë e kundërt dhe”CurlCat”, një përfaqësues i kundërt.
puna e thjeshtë e CurlyShell-it brenda c-M root arrin një punë e thjeshtë. CurlCat është konfiguruar si një ProxyCommand në klientin SSH, duke e mbështjellë të gjithë trafikun dalës SSH në kërkesat standarde HTTP për t’u përzier. Të dy implantet përdorin një alfabet jo standard të Base64 për kodim për të shmangur zbulimin.
Duke e bërë zbulimin edhe më të vështirë, VM përdor rrjetin e kalimit të”Hyper-V”përmes trafiqeve të tij. duke përdorur Përkthimin e Adresës së Rrjetit (NAT).
Siç vëren Bitdefender,”Në fakt, i gjithë komunikimi i jashtëm me qëllim të keq duket se e ka origjinën nga adresa IP e makinerisë pritëse legjitime.”Taktika të tilla evazioni po bëhen gjithnjë e më të zakonshme.
Përtej VM: Qëndrueshmëria dhe Lëvizja Laterale me PowerShell
Ndërsa Hyper-V VM ofron një bazë të fshehtë, Curly COMrades përdor mjete shtesë për të ruajtur këmbënguljen dhe për të lëvizur në mënyrë të pandërgjegjshme . skriptet e përdorura për të ngurtësuar bazën e tyre, duke demonstruar një qasje të shtresuar për ruajtjen e aksesit. Një skript, i vendosur nëpërmjet Politikës së Grupit, u projektua për të krijuar një llogari përdoruesi lokal në makinat e bashkuara me domenin. Në mënyrë të përsëritur, skripti rivendos fjalëkalimin e llogarisë, një mekanizëm i zgjuar për të siguruar që sulmuesit të kenë akses edhe nëse një administrator zbulon dhe ndryshon kredencialet. Një skript tjetër i sofistikuar PowerShell, një version i personalizuar i programit publik TicketInjector, është përdorur për lëvizjen anësore. Keraos i jepet biletës. Keraos I. href=”https://en.wikipedia.org/wiki/Local_Security_Authority_Subsystem_Service”target=”_blank”>Shërbimi i Nënsistemit të Autoritetit Lokal të Sigurisë (LSASS) procesi, duke lejuar vërtetimin në sisteme të tjera të largëta pa pasur nevojë për fjalëkalime të tekstit të thjeshtë. Kjo teknikë e ekzekutueshme e exeticon”paskets”i ekzekutueshëm. nxjerrin të dhëna, ose vendosin malware shtesë në të gjithë mjedisin. Qasja shumëplanëshe thekson pjekurinë operacionale të grupit, një shenjë dalluese e aktorëve të kërcënimit të sponsorizuar nga shteti.
