Nhóm hack có liên hệ với Nga, Curly COMrades, đang trang bị vũ khí cho Hyper-V của Microsoft để ẩn phần mềm độc hại trên các hệ thống Windows bị xâm nhập, đánh dấu bước phát triển đáng kể về kỹ thuật tàng hình.
Theo báo cáo ngày 4 tháng 11 từ công ty an ninh mạng Bitdefender, nhóm cài đặt một máy ảo Alpine Linux nhỏ để tạo cơ sở hoạt động bí mật.
VM này chạy phần mềm độc hại tùy chỉnh, cho phép kẻ tấn công vượt qua phần mềm phát hiện và phản hồi điểm cuối (EDR).
Được quan sát thấy trong các cuộc tấn công kể từ tháng 7, kỹ thuật này cung cấp cho nhóm khả năng bảo vệ liên tục, quyền truy cập có khả năng hiển thị thấp cho các chiến dịch gián điệp mạng. Sự hỗ trợ cho cuộc điều tra đến từ CERT quốc gia của Georgia, nhấn mạnh tính chất phức tạp và toàn cầu của mối đe dọa.
Ẩn mình trong tầm nhìn rõ ràng: Lạm dụng Hyper-V gốc để tàng hình
Trong một kỹ thuật lẩn tránh mới, các tin tặc có liên quan đến Nga đang biến một tính năng gốc của Windows chống lại chính nó. Lần đầu tiên được Bitdefender xác định vào tháng 8 năm 2025 vì sử dụng chiếm quyền điều khiển COM, nhóm này hiện đã chuyển sang lạm dụng Hyper-V, nền tảng ảo hóa tích hợp của Microsoft.
Thay vì triển khai các công cụ bên ngoài có thể kích hoạt cảnh báo bảo mật, nhóm này kẻ tấn công tận dụng các thành phần hệ thống hợp pháp đã có trên máy mục tiêu. Đây là cách tiếp cận “sống xa xứ” cổ điển.
Phân tích pháp y cho thấy một quá trình triển khai gồm nhiều giai đoạn. Trước tiên, những kẻ tấn công thực thi các lệnh gỡ bỏ để kích hoạt vai trò Hyper-V.
Điều quan trọng là chúng cũng vô hiệu hóa tính năng microsoft-hyper-v-management-clients, khiến các quản trị viên khó phát hiện ra các thành phần hơn.
Khi Hyper-V được kích hoạt, một chuỗi lệnh liên quan đến việc tải xuống kho lưu trữ VM. Các lệnh ghép ngắn PowerShell như Import-VM và Start-VM sau đó khởi chạy nó. Để tránh bị nghi ngờ hơn nữa, VM được đặt tên nhầm là “WSL”, bắt chước Hệ thống con Windows hợp pháp dành cho Linux.
Một kho vũ khí biệt lập: Máy ảo Alpine Linux và phần mềm độc hại tùy chỉnh
Vũ khí hóa Hyper-V, các tác nhân đe dọa tạo ra một điểm mù cho nhiều công cụ bảo mật tiêu chuẩn.
Cốt lõi của chiến lược này là một máy ảo tối giản dựa trên Alpine Linux, một bản phân phối nổi tiếng với kích thước nhỏ. Sự lựa chọn là có chủ ý; môi trường ẩn có dung lượng nhẹ chỉ 120 MB dung lượng ổ đĩa và 256 MB bộ nhớ, giảm thiểu tác động của nó lên hệ thống máy chủ.
Bên trong môi trường biệt lập này, nhóm vận hành bộ phần mềm độc hại tùy chỉnh của mình. “Những kẻ tấn công đã kích hoạt vai trò Hyper-V trên các hệ thống nạn nhân được chọn để triển khai một máy ảo dựa trên Alpine Linux theo phong cách tối giản.”
Cơ sở này lưu trữ hai công cụ C++ chính: ‘CurlyShell’, một trình bao đảo ngược và ‘CurlCat’, một proxy ngược.
CurlyShell đạt được tính bền vững trong VM thông qua một công việc định kỳ cấp cơ sở đơn giản. CurlCat được định cấu hình như một ProxyCommand trong máy khách SSH, gói tất cả lưu lượng SSH gửi đi vào các yêu cầu HTTP tiêu chuẩn để hòa trộn. Cả hai bộ cấy đều sử dụng bảng chữ cái Base64 không chuẩn để mã hóa nhằm tránh bị phát hiện.
Việc phát hiện thậm chí còn khó khăn hơn, VM sử dụng Công tắc mặc định của Hyper-V, định tuyến lưu lượng truy cập của nó thông qua ngăn xếp mạng của máy chủ bằng cách sử dụng Dịch địa chỉ mạng (NAT).
Như Bitdefender lưu ý, “Trên thực tế, tất cả các giao tiếp gửi đi độc hại dường như đều bắt nguồn từ máy chủ hợp pháp địa chỉ IP của máy.”Các chiến thuật né tránh như vậy ngày càng trở nên phổ biến.
Ngoài VM: Kiên trì và di chuyển theo chiều ngang với PowerShell
Trong khi Hyper-V VM cung cấp một căn cứ tàng hình, Curly COMrades sử dụng các công cụ bổ sung để duy trì sự bền bỉ và di chuyển theo chiều ngang.
Các nhà điều tra đã phát hiện ra một số tập lệnh PowerShell độc hại được sử dụng để củng cố chỗ đứng của chúng, thể hiện cách tiếp cận nhiều lớp để duy trì quyền truy cập.
Một tập lệnh, được triển khai thông qua Chính sách nhóm, đã được sử dụng được thiết kế để tạo tài khoản người dùng cục bộ trên các máy đã tham gia miền. Tập lệnh nhiều lần sẽ đặt lại mật khẩu của tài khoản, một cơ chế thông minh để đảm bảo kẻ tấn công giữ được quyền truy cập ngay cả khi quản trị viên phát hiện và thay đổi thông tin xác thực.
Một tập lệnh PowerShell tinh vi khác, một phiên bản tùy chỉnh của tiện ích TicketInjector công cộng, đã được sử dụng để di chuyển bên trong.
Nó đưa một vé Kerberos vào Dịch vụ hệ thống con của cơ quan bảo mật cục bộ (LSASS), cho phép xác thực với các hệ thống từ xa khác mà không cần mật khẩu văn bản gốc.
Kỹ thuật”chuyển vé”này cho phép chúng thực thi lệnh, lọc dữ liệu hoặc triển khai phần mềm độc hại bổ sung trên môi trường. Cách tiếp cận nhiều mặt nêu bật sự trưởng thành trong hoạt động của nhóm, một dấu hiệu đặc trưng của các tác nhân đe dọa được nhà nước bảo trợ.
