กลุ่มแฮ็กเกอร์ที่เชื่อมโยงกับรัสเซีย Curly COMrades กำลังติดอาวุธ Hyper-V ของ Microsoft เพื่อซ่อนมัลแวร์บนระบบ Windows ที่ถูกบุกรุก ซึ่งถือเป็นวิวัฒนาการที่สำคัญในเทคนิคการลักลอบ
ตามรายงานเมื่อวันที่ 4 พฤศจิกายนจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Bitdefender กลุ่มจะติดตั้งเครื่องเสมือน Alpine Linux ขนาดเล็กเพื่อสร้างฐานปฏิบัติการลับ
VM นี้เรียกใช้มัลแวร์ที่กำหนดเอง ทำให้ผู้โจมตีสามารถเลี่ยงผ่านซอฟต์แวร์การตรวจจับและตอบสนองปลายทาง (EDR) ได้
สังเกตได้จากการโจมตีตั้งแต่เดือนกรกฎาคม เทคนิคนี้ทำให้กลุ่มสามารถเข้าถึงแคมเปญจารกรรมทางไซเบอร์อย่างต่อเนื่องและมองเห็นได้น้อย การสนับสนุนสำหรับการสอบสวนมาจาก CERT แห่งชาติของจอร์เจีย ซึ่งเน้นย้ำถึงลักษณะที่ซับซ้อนและเป็นสากลของภัยคุกคาม
การซ่อนตัวโดยไม่มีใครเห็น: การใช้ Hyper-V แบบเนทีฟในทางที่ผิดเพื่อการลักลอบ
ในเทคนิคการหลบเลี่ยงแบบใหม่ แฮ็กเกอร์ที่เชื่อมโยงกับรัสเซียกำลังเปลี่ยนคุณลักษณะ Windows แบบเนทีฟเพื่อต่อต้านตัวเอง ระบุครั้งแรกโดย Bitdefender ในเดือนสิงหาคม 2025 สำหรับการใช้งาน การจี้ COM ขณะนี้กลุ่มได้เปลี่ยนไปใช้ Hyper-V ซึ่งเป็นแพลตฟอร์มการจำลองเสมือนในตัวของ Microsoft ในทางที่ผิด
แทนที่จะใช้เครื่องมือภายนอกที่อาจก่อให้เกิดการรักษาความปลอดภัย การแจ้งเตือน ผู้โจมตีจะใช้ประโยชน์จากส่วนประกอบของระบบที่ถูกต้องซึ่งมีอยู่แล้วในเครื่องเป้าหมาย นี่เป็นแนวทาง”การใช้ชีวิตนอกที่ดิน”แบบคลาสสิก
การวิเคราะห์ทางนิติวิทยาศาสตร์เผยให้เห็นกระบวนการปรับใช้แบบหลายขั้นตอน ผู้โจมตีรันคำสั่ง dism ก่อนเพื่อเปิดใช้งานบทบาท Hyper-V
โดยพื้นฐานแล้ว พวกเขายังปิดการใช้งานฟีเจอร์ microsoft-hyper-v-Management-clients อีกด้วย ซึ่งทำให้ผู้ดูแลระบบตรวจพบส่วนประกอบได้ยากขึ้น
เมื่อเปิดใช้งาน Hyper-V สายคำสั่งที่เกี่ยวข้องกับ curl จะดาวน์โหลดไฟล์เก็บถาวร VM PowerShell cmdlets เช่น Import-VM และ Start-VM จากนั้นเปิดใช้งาน เพื่อหลีกเลี่ยงการสงสัยเพิ่มเติม VM จึงได้รับการตั้งชื่ออย่างหลอกลวงว่า “WSL” โดยเลียนแบบระบบย่อย Windows ที่ถูกต้องสำหรับ Linux
คลังแสงที่แยกออกมา: Alpine Linux VM และมัลแวร์แบบกำหนดเอง
การสร้างอาวุธ Hyper-V ซึ่งเป็นผู้คุกคามสร้างจุดบอดสำหรับเครื่องมือรักษาความปลอดภัยมาตรฐานจำนวนมาก
หัวใจสำคัญของกลยุทธ์นี้คือเครื่องเสมือนแบบเรียบง่ายที่ใช้ Alpine Linux ซึ่งเป็นระบบปฏิบัติการที่รู้จักกันในเรื่องขนาดที่เล็ก ทางเลือกนั้นเป็นการจงใจ สภาพแวดล้อมที่ซ่อนอยู่นั้นมีพื้นที่ดิสก์เพียง 120MB และหน่วยความจำ 256MB ซึ่งช่วยลดผลกระทบต่อระบบโฮสต์ให้เหลือน้อยที่สุด
ภายในสภาพแวดล้อมที่แยกส่วนนี้ กลุ่มจะดำเนินการชุดมัลแวร์แบบกำหนดเอง “ผู้โจมตีเปิดใช้งานบทบาท Hyper-V บนระบบของเหยื่อที่เลือกเพื่อปรับใช้เครื่องเสมือนที่ใช้ Alpine Linux แบบเรียบง่าย”
ฐานนี้โฮสต์เครื่องมือ C++ หลักสองรายการ:’CurlyShell’ซึ่งเป็น Reverse Shell และ’CurlCat’ซึ่งเป็นพร็อกซีย้อนกลับ
CurlyShell บรรลุความคงอยู่ภายใน VM ผ่านงาน cron ระดับรูทที่เรียบง่าย CurlCat ได้รับการกำหนดค่าเป็น ProxyCommand ในไคลเอนต์ SSH โดยรวมการรับส่งข้อมูล SSH ขาออกทั้งหมดเข้ากับคำขอ HTTP มาตรฐานเพื่อผสมผสาน การปลูกถ่ายทั้งสองใช้ตัวอักษร Base64 ที่ไม่ได้มาตรฐานสำหรับการเข้ารหัสเพื่อหลีกเลี่ยงการตรวจจับ
ทำให้การตรวจจับยากยิ่งขึ้น VM ใช้สวิตช์เริ่มต้นของ Hyper-V ซึ่งกำหนดเส้นทางการรับส่งข้อมูลผ่านสแต็กเครือข่ายของโฮสต์โดยใช้ Network Address Translation (NAT)
ดังที่ Bitdefender ตั้งข้อสังเกตว่า “มีผล การสื่อสารขาออกที่เป็นอันตรายทั้งหมดดูเหมือนจะมาจากที่อยู่ IP ของเครื่องโฮสต์ที่ถูกต้องตามกฎหมาย”กลยุทธ์การหลีกเลี่ยงดังกล่าวกำลังกลายเป็นเรื่องปกติมากขึ้น
เหนือกว่า VM: การคงอยู่และการเคลื่อนไหวด้านข้างด้วย PowerShell
ในขณะที่ Hyper-V VM มอบฐานที่ซ่อนเร้น Curly COMrades ใช้เครื่องมือเพิ่มเติมเพื่อรักษาความคงอยู่และการเคลื่อนไหวในแนวขวาง
ผู้ตรวจสอบได้ค้นพบสคริปต์ PowerShell ที่เป็นอันตรายหลายตัวที่ใช้ในการเสริมความมั่นคงโดยแสดงให้เห็นถึงเลเยอร์ แนวทางในการรักษาการเข้าถึง
สคริปต์หนึ่งตัวที่ใช้งานผ่านนโยบายกลุ่มได้รับการออกแบบเพื่อสร้างบัญชีผู้ใช้ในเครื่องบนเครื่องที่เข้าร่วมโดเมน สคริปต์จะรีเซ็ตรหัสผ่านของบัญชีซ้ำแล้วซ้ำอีก ซึ่งเป็นกลไกที่ชาญฉลาดเพื่อให้แน่ใจว่าผู้โจมตียังคงสามารถเข้าถึงได้แม้ว่าผู้ดูแลระบบจะค้นพบและเปลี่ยนแปลงข้อมูลรับรองก็ตาม
สคริปต์ PowerShell ที่ซับซ้อนอีกตัวหนึ่ง ซึ่งเป็นเวอร์ชันที่กำหนดเองของยูทิลิตี้ TicketInjector สาธารณะ ถูกนำมาใช้สำหรับการเคลื่อนไหวด้านข้าง
โดยแทรกตั๋ว Kerberos ลงใน Local Security Authority Subsystem Service (LSASS) ประมวลผล ทำให้สามารถตรวจสอบสิทธิ์ระบบระยะไกลอื่นๆ ได้โดยไม่ต้องใช้รหัสผ่านข้อความธรรมดา
เทคนิค”pass-the-ticket”นี้ช่วยให้สามารถดำเนินการคำสั่ง กรองข้อมูล หรือปรับใช้มัลแวร์เพิ่มเติมทั่วทั้งสภาพแวดล้อม แนวทางที่มีหลายแง่มุมเน้นย้ำถึงความพร้อมในการปฏิบัติงานของกลุ่ม ซึ่งเป็นจุดเด่นของผู้แสดงภัยคุกคามที่ได้รับการสนับสนุนจากรัฐ
