详细内容或原文请订阅后点击阅览
据称与俄罗斯有联系的 Curly COMrades 利用 Windows Hyper-V 逃避 EDR
Curly COMrades 威胁参与者利用 Windows Hyper-V 隐藏 Linux VM、逃避 EDR 工具并部署自定义恶意软件而不被发现。 Bitdefender 研究人员在格鲁吉亚 CERT 的协助下发现,与俄罗斯利益相关的 Curly COMrades 组织滥用 Windows Hyper-V 来秘密、长期接触受害者。威胁参与者创建了隐藏的 Alpine Linux VM (120MB/256MB),托管自定义 [...]
来源:Security Affairs _恶意软件据称与俄罗斯有联系的 Curly COMrades 利用 Windows Hyper-V 逃避 EDR
皮耶路易吉·帕格尼尼 2025 年 11 月 6 日Curly COMrades 威胁参与者利用 Windows Hyper-V 隐藏 Linux VM、逃避 EDR 工具并部署自定义恶意软件而不被发现。
Bitdefender 研究人员在格鲁吉亚 CERT 的协助下发现,与俄罗斯利益相关的 Curly COMrades 组织滥用 Windows Hyper-V 来秘密、长期接触受害者。威胁参与者创建了隐藏的 Alpine Linux VM (120MB/256MB),托管 CurlyShell 和 CurlCat 等自定义工具来逃避 EDR。联合调查揭示了高级虚拟化滥用,并通过受损的代理站点追踪操作。
“攻击者在选定的受害者系统上启用了 Hyper-V 角色,以部署基于 Alpine Linux 的简约虚拟机。这个隐藏环境占用空间小(仅 120MB 磁盘空间和 256MB 内存),托管他们的自定义反向 shell CurlyShell 和反向代理 CurlCat。”阅读 Bitdefender 发布的报告。 “通过隔离虚拟机内的恶意软件及其执行环境,攻击者有效地绕过了许多传统的基于主机的 EDR 检测。”
Hyper-V Alpine Linux 卷壳 卷毛猫 报告据研究人员称,Curly COMrades 至少从 2023 年底就开始活跃。
Curly COMrades 持续维护反向代理访问,部署了 Resocks、Ligolo-ng 和 Stunnel 等多种隧道工具。调查人员还发现 PowerShell 脚本利用 Kerberos 票证并使用组策略通过本地帐户创建来保持持久性,展示了灵活的分层入侵策略。
攻击者最终在隐藏的 Hyper-V Linux VM 中部署了 CurlyShell 和 CurlCat C++ ELF 植入程序(基于 libcurl)。两者都作为后台守护进程无头运行,初始化自定义非标准 Base64 方案并生成在 PHP 风格的 C2 握手中使用的唯一 Base64 编码会话 cookie。
to_run()
popen()
主动强化和攻击面减少 (PHASR)
@securityaffairs
脸书