🚨 استفاده هکرهای روسی از Hyper‑V برای مخفیسازی بدافزار در ماشینهای مجازی لینوکس؛ گروه Curly COMrades در حال دورزدن EDR
گروه هکری روسی Curly COMrades که از میانهٔ ۲۰۲۴ فعال شده، از فناوری Hyper‑V در ویندوز برای ایجاد یک ماشین مجازی مخفی مبتنی بر Alpine Linux استفاده میکند. این روش باعث میشود که EDR نتواند بدافزار را شناسایی کند، چون کد مخرب داخل یک محیط مجازی ایزوله اجرا میشود. عملیات این گروه با منافع ژئوپلیتیکی روسیه همسو بوده و پیشتر نهادهای دولتی و قضایی در گرجستان و همچنین شرکتهای انرژی در مولداو را هدف قرار داده است.
Curly COMrades
گروه Curly COMrades یک تیم سایبری جاسوسی روسی است که از mid‑2024 فعال شده و فعالیت آن با اهداف ژئوپلیتیکی روسیه هماهنگ است. شرکت Bitdefender با همکاری CERT گرجستان گزارش جدیدی از این گروه منتشر کرده که شامل حملات انجامشده روی دو سیستم در اوایل ژوئیهٔ ۲۰۲۴ است.
جزئیات فنی حمله
پس از بهدستآوردن دسترسی اولیه remote روی ویندوز (نسخههای Pro، Enterprise یا Server)، مهاجمان مراحل زیر را انجام میدهند:
• فعالسازی نقش Hyper‑V و غیرفعالکردن رابط مدیریتی آن.
• ایجاد یک VM بسیار سبک Alpine Linux (با دیسک ۱۲۰ مگابایت و ۲۵۶ مگابایت RAM) با نام جعلی WSL برای شبیهسازی Windows Subsystem for Linux و فرار از تشخیص.
• پیکربندی VM با Default Switch تا ترافیک از طریق شبکهٔ هاست عبور کند و خروجی با IP معتبر هاست نمایش داده شود.
این VM میزبان دو ایمپلنت ELF سفارشی مبتنی بر libcurl است:
• CurlyShell:
یک reverse shell که دستورات را در حالت headless اجرا میکند، از طریق HTTPS به C2 متصل میشود و با cron job پایداری دارد.
• CurlCat:
یک reverse proxy که تونلسازی انجام میدهد، SOCKS proxy ایجاد میکند و ترافیک SSH را داخل درخواستهای HTTPS مخفی کرده و برای pivoting استفاده میشود.
تکنیکهای evasion و persistence
• اجرای بدافزار داخل VM باعث دورزدن EDRهای host‑based میشود که network inspection ندارند.
• استفاده از payloadهای رمزنگاریشده و اجرای PowerShell برای کاهش ردپای forensic
• وجود دو اسکریپت PowerShell:
– یکی برای تزریق Kerberos ticket به LSASS جهت احراز هویت remote
– دیگری برای ایجاد حساب محلی از طریق Group Policy
این روش بهخاطر نبود ابزارهای multi‑layered در بسیاری از شبکهها مؤثر باقی میماند.
تأثیر و گستردگی
• اهداف: نهادهای دولتی و قضایی در گرجستان و همچنین شرکتهای انرژی در مولداو
• ریسکها: دسترسی کامل remote، pivoting شبکه، سرقت داده بدون ردپای واضح؛ ترافیک مخرب به شکل ترافیک مشروع دیده میشود.
جزئیات بیشتر:
bitdefender.com
securityaffairs.com
theregister.com
@GoSecurity
#CyberEspionage #HyperV #Malware #LinuxVM #APT #Infosec #RussianHackers
گروه هکری روسی Curly COMrades که از میانهٔ ۲۰۲۴ فعال شده، از فناوری Hyper‑V در ویندوز برای ایجاد یک ماشین مجازی مخفی مبتنی بر Alpine Linux استفاده میکند. این روش باعث میشود که EDR نتواند بدافزار را شناسایی کند، چون کد مخرب داخل یک محیط مجازی ایزوله اجرا میشود. عملیات این گروه با منافع ژئوپلیتیکی روسیه همسو بوده و پیشتر نهادهای دولتی و قضایی در گرجستان و همچنین شرکتهای انرژی در مولداو را هدف قرار داده است.
Curly COMrades
گروه Curly COMrades یک تیم سایبری جاسوسی روسی است که از mid‑2024 فعال شده و فعالیت آن با اهداف ژئوپلیتیکی روسیه هماهنگ است. شرکت Bitdefender با همکاری CERT گرجستان گزارش جدیدی از این گروه منتشر کرده که شامل حملات انجامشده روی دو سیستم در اوایل ژوئیهٔ ۲۰۲۴ است.
جزئیات فنی حمله
پس از بهدستآوردن دسترسی اولیه remote روی ویندوز (نسخههای Pro، Enterprise یا Server)، مهاجمان مراحل زیر را انجام میدهند:
• فعالسازی نقش Hyper‑V و غیرفعالکردن رابط مدیریتی آن.
• ایجاد یک VM بسیار سبک Alpine Linux (با دیسک ۱۲۰ مگابایت و ۲۵۶ مگابایت RAM) با نام جعلی WSL برای شبیهسازی Windows Subsystem for Linux و فرار از تشخیص.
• پیکربندی VM با Default Switch تا ترافیک از طریق شبکهٔ هاست عبور کند و خروجی با IP معتبر هاست نمایش داده شود.
این VM میزبان دو ایمپلنت ELF سفارشی مبتنی بر libcurl است:
• CurlyShell:
یک reverse shell که دستورات را در حالت headless اجرا میکند، از طریق HTTPS به C2 متصل میشود و با cron job پایداری دارد.
• CurlCat:
یک reverse proxy که تونلسازی انجام میدهد، SOCKS proxy ایجاد میکند و ترافیک SSH را داخل درخواستهای HTTPS مخفی کرده و برای pivoting استفاده میشود.
تکنیکهای evasion و persistence
• اجرای بدافزار داخل VM باعث دورزدن EDRهای host‑based میشود که network inspection ندارند.
• استفاده از payloadهای رمزنگاریشده و اجرای PowerShell برای کاهش ردپای forensic
• وجود دو اسکریپت PowerShell:
– یکی برای تزریق Kerberos ticket به LSASS جهت احراز هویت remote
– دیگری برای ایجاد حساب محلی از طریق Group Policy
این روش بهخاطر نبود ابزارهای multi‑layered در بسیاری از شبکهها مؤثر باقی میماند.
تأثیر و گستردگی
• اهداف: نهادهای دولتی و قضایی در گرجستان و همچنین شرکتهای انرژی در مولداو
• ریسکها: دسترسی کامل remote، pivoting شبکه، سرقت داده بدون ردپای واضح؛ ترافیک مخرب به شکل ترافیک مشروع دیده میشود.
جزئیات بیشتر:
bitdefender.com
securityaffairs.com
theregister.com
@GoSecurity
#CyberEspionage #HyperV #Malware #LinuxVM #APT #Infosec #RussianHackers