Было раскрыто использование группировкой Curly COMrades (связанной с Россией) инфраструктуры Microsoft Hyper-V для обхода защиты на заражённых Windows-системах. Исследования, проведённые Bitdefender совместно с грузинским CERT, показывают, что злоумышленники скрытно установили виртуальную машину Alpine Linux для этой цели.
Как это происходит
Curly COMrades активируют Hyper-V, отключают интерфейс управления и настраивают виртуальную машину так, чтобы вредоносный трафик выглядел исходящим с IP хоста. В лёгкой Alpine Linux (120 МБ на диске, 256 МБ оперативной памяти) размещены два нестандартных импланта: CurlyShell и CurlCat. CurlyShell предоставляет управление тонким клиентом с использованием корневого доступа, поддерживаемого через cron и HTTPS, а CurlCat — SSH прокси-сервер, туннелирующий трафик через HTTP. Обе программы помогают злоумышленникам нарушать безопасность систем, оставаясь незамеченными средствами защиты.
Как злоумышленники используют Hyper-V для атак
Используемые инструменты
Атака использует PowerShell скрипты, один из которых внедряет Kerberos билет в LSASS для дистанционного выполнения команд, другой — разворачивает учетные записи локальных пользователей в доменных системах через Group Policy. Это позволяет злоумышленникам оставаться в системе даже после смены паролей и реструктуризации пользователей. Также эта техника изоляции обходит множество методов детекции хостовых средств EDR/XDR.
Bitdefender подчёркивает, что для защиты от таких угроз важен комплексный подход. Все индикаторы вредоносной активности Curly COMrades опубликованы на GitHub компании.
