Группа кибершпионажа Curly COMrades использует Hyper-V на Windows для запуска виртуальных машин с минималистической Alpine Linux, затрудняя обнаружение вредоносных программ. Новые данные от компании Bitdefender показывают, как злоумышленники устанавливают Hyper-V на компрометированных системах при помощи утилиты DISM.
Технические детали атаки
Curly COMrades развертывают Alpine Linux на виртуальных машинах емкостью около 120 МБ на диске и используют для этого роли Hyper-V. Они маскируют VM под безобидные процессы, такие как "WSL", чтобы обойти системы обнаружения EDR. VM содержит два импланта: CurlyShell и CurlCat, которые используют libcurl. Эти инструменты создают обратные шеллы и проксируют SSH-трафик через HTTP(S), затрудняя идентификацию.
Тактические вызовы и рекомендации
Злоумышленники блокируют GUI управления Hyper-V и используют PowerShell для запуска виртуальных машин. Curly COMrades демонстрирует растущую тенденцию использования изоляции в ВМ для обхода современных систем обнаружения угроз. Bitdefender подчеркивает необходимость сетевого анализа C2-трафика и проактивного ограничения системных бинарников для защиты.
Последствия и рекомендации
Bitdefender подчеркивает, что с распространением EDR и XDR угрозы начинают активно использовать новые методы сокрытия, такие как изоляция в ВМ. Компания рекомендует внедрение многослойных оборонительных мер и создание сложной для злоумышленников инфраструктуры, чтобы противостоять подобным атакам. Подробности исследования опубликованы на GitHub.
