详细内容或原文请订阅后点击阅览
俄罗斯间谍将自定义恶意软件打包到 Windows 计算机上的隐藏虚拟机中
Curly COMrades 再次出击俄罗斯的 Curly COMrades 在受感染的 Windows 机器中滥用 Microsoft 的 Hyper-V 虚拟机管理程序,创建一个隐藏的基于 Alpine Linux 的虚拟机,绕过端点安全工具,使间谍能够长期访问网络来窥探和部署恶意软件。
来源:The Register _恶意软件俄罗斯的 Curly COMrades 在受感染的 Windows 计算机中滥用微软的 Hyper-V 虚拟机管理程序,创建一个隐藏的基于 Alpine Linux 的虚拟机,绕过端点安全工具,使间谍能够长期网络访问来窥探和部署恶意软件。
Bitdefender 高级安全研究员 Victor Vrabie 在周二的报告中表示:“这个隐藏环境占用空间小(仅 120MB 磁盘空间和 256MB 内存),托管了他们的自定义反向 shell CurlyShell 和反向代理 CurlCat。”
说罗马尼亚安全机构与格鲁吉亚计算机紧急响应小组 (CERT) 合作,发现了这一最新的恶意软件传播活动。它揭示了工作人员如何利用合法的虚拟化技术(在本例中为 Hyper-V)来绕过端点检测和响应 (EDR) 产品。
“通过隔离虚拟机内的恶意软件及其执行环境,攻击者有效地绕过了许多传统的基于主机的 EDR 检测,”Vrabie 写道。
Bitdefender 自 2024 年以来一直在追踪 Curly COMrades,并表示支持俄罗斯地缘政治利益,但并未明确将其与俄罗斯政府联系起来。八月份,该研究中心记录了该组织对格鲁吉亚司法和政府机构以及摩尔多瓦一家能源分销公司的攻击。
已记录这项最新活动于 7 月开始。 Bitdefender 尚未公开确认受害者的身份(我们已询问过,如果收到回复,我们将更新此报道),但表示俄罗斯工作人员在两台计算机上执行远程命令以启用 microsoft-hyper-v 虚拟化功能,同时禁用其管理界面。几天后,他们下载了一个基于 Alpine Linux 的轻量级虚拟机,其中包含自定义恶意软件。
犯罪分子将虚拟机配置为使用 Hyper-V 中的默认交换机网络适配器,以确保虚拟机的流量使用 Hyper-V 的内部网络通过主机的网络堆栈。
在此活动中,攻击者使用格鲁吉亚网站进行 C2。
EDR 杀手