Illustration of Russian hackers using Linux VMs to hide malware on Windows systems, showing a computer screen with Hyper-V and malware elements in a dark setting.
صورة مولدة بواسطة الذكاء الاصطناعي

قراصنة روس يستخدمون آلات افتراضية لينكس لإخفاء البرمجيات الضارة على ويندوز

صورة مولدة بواسطة الذكاء الاصطناعي
العربية

قراصنة مؤيدون لروسيا المعروفون باسم Curly COMrades يستغلون تقنية Hyper-V من مايكروسوفت لزرع آلات افتراضية خفيفة الوزن من Alpine Linux داخل أنظمة ويندوز المخترقة. تسمح هذه الطريقة لهم بتشغيل برمجيات ضارة مخصصة مثل CurlyShell وCurlCat دون اكتشاف من قبل أدوات الكشف التقليدية لنقاط النهاية. الحملة، التي كشفت عنها Bitdefender بالتعاون مع CERT الجورجي، تستهدف منظمات في أوروبا وخارجها.

يبدأ الهجوم باختراق أولي لآلات ويندوز، غالبًا من خلال ثغرات أمنية أو هندسة اجتماعية. ثم يفعل المهاجمون Hyper-V —ميزة الافتراضية المدمجة في ويندوز 10— باستخدام أدوات خدمات صورة النشر وإدارة الصور (DISM) مع تعطيل واجهات الإدارة لتجنب الكشف. تم ملاحظتها منذ يوليو 2024، ينشرون أرشيف RAR صغيرًا مقنعًا كملف فيديو، يحتوي على ملفات تكوين وقرص افتراضي لمحيط Alpine Linux المُعد مسبقًا. هذه الآلة الافتراضية، المسماة 'WSL' لتقليد الـ Windows Subsystem for Linux الشرعي، تتطلب فقط 120 ميغابايت من مساحة القرص و256 ميغابايت من الذاكرة العشوائية، مما يجعلها فعالة في الموارد وخفية.

داخل الآلة الافتراضية، يشغل القراصنة CurlyShell، وهو shell عكسي مخصص مبني بمكتبة libcurl لتنفيذ الأوامر عبر اتصالات HTTPS إلى خوادم التحكم والقيادة، وCurlCat، وهو وكيل عكسي لنفق الترافيك. تستخدم الآلة الافتراضية محولات الشبكة الافتراضية وخدمة NAT الداخلية لـ Hyper-V، موجهة الاتصالات الضارة عبر عنوان IP لاستضافة ويندوز لإخفاء الأصول وتجاوز حلول الكشف والاستجابة لنقاط النهاية (EDR). يتم تحقيق الاستمرارية الإضافية بأدوات مثل Ligolo-ng، CCProxy، Stunnel، SSH، Resocks، وRsockstun، إلى جانب نصوص PowerShell التي تحقن تذاكر Kerberos في عملية LSASS وتنشئ حسابات محلية عبر Group Policy.

شرح الباحث الأول في الأمن السيبراني في Bitdefender، Victor Vrabie: 'من خلال عزل البرمجيات الضارة وبيئتها التنفيذية داخل آلة افتراضية، يخلق المهاجمون عالمًا موازيًا غير مرئي لمعظم حلول الأمان على الاستضافة.' المجموعة، المتماشية مع المصالح الجيوسياسية الروسية وربطها بأسماء مستعارة مثل Void Blizzard أو LAUNDRY BEAR، استهدفت مؤسسات في جورجيا، مولدوفا، أوروبا، أمريكا الشمالية، وربما أوكرانيا، مع التركيز على القطاعات الحكومية والدفاعية والصحية. يمثل هذا الطريقة اتجاهًا متزايدًا لاستخدام برمجيات ضارة لينكس ضد ويندوز للتهرب من EDR المتطورة، مشابهًا لتكتيكات في هجمات ransomware Qilin. يوصي الخبراء بمراقبة تفعيلات Hyper-V غير المتوقعة، تنفيذ تحليل سلوكي في البيئات الافتراضية، وتعزيز التفتيش القائم على الشبكة لمواجهة مثل هذه التهديدات.

مقالات ذات صلة

Illustration depicting the Linux CopyFail vulnerability enabling root access exploits alongside Ubuntu's DDoS-induced outage.
صورة مولدة بواسطة الذكاء الاصطناعي

Linux CopyFail exploit threatens root access amid Ubuntu outage

من إعداد الذكاء الاصطناعي صورة مولدة بواسطة الذكاء الاصطناعي

A critical Linux vulnerability known as CopyFail, tracked as CVE-2026-31431, allows attackers to gain root access on systems running kernels since 2017. Publicly released exploit code has heightened risks for data centers and personal devices. Ubuntu's infrastructure has been offline for over a day due to a DDoS attack, hampering security communications.

New SysUpdate malware variant targets Linux systems

A new variant of the SysUpdate malware has been discovered targeting Linux systems, featuring advanced encryption for command-and-control communications. Security researchers at LevelBlue identified the threat during a digital forensics engagement and developed a tool to decrypt its traffic. The malware disguises itself as a legitimate system service to evade detection.

Researchers uncover new SysUpdate malware variant targeting Linux

من إعداد الذكاء الاصطناعي

Researchers at LevelBlue have identified a new variant of the SysUpdate malware aimed at Linux systems during a digital forensics and incident response engagement. The malware disguises itself as a legitimate system service and employs advanced encryption for command-and-control communications. By reverse-engineering it, the team created tools to decrypt its traffic more quickly.

Researchers identify ClipXDaemon malware targeting Linux cryptocurrency users

Security researchers at Cyble have discovered a new Linux malware called ClipXDaemon, which hijacks cryptocurrency wallet addresses by altering clipboard content on X11-based systems. The malware operates without command-and-control servers, monitoring and replacing addresses in real time to redirect funds to attackers. It uses a multi-stage infection process and employs stealth techniques to evade detection.

Malicious npm packages harvest crypto keys and secrets

من إعداد الذكاء الاصطناعي

Nineteen malicious packages on the npm registry are spreading a worm known as SANDWORM_MODE. These packages steal crypto keys, CI secrets, API tokens, and AI API keys. The theft occurs through MCP injection.

10 مايو 2026 02:50

FBI urges router security steps after Russian GRU attacks

05 مايو 2026 12:10

Daemon Tools app hit by monthlong supply-chain attack

04 أبريل 2026 14:25

Daniel Stenberg warns of risks in curl project

06 مارس 2026 04:23

Linux rootkits advance with eBPF and io_uring techniques

14 فبراير 2026 06:39

SSHStalker botnet uses IRC to target Linux servers

يستخدم هذا الموقع ملفات تعريف الارتباط

نستخدم ملفات تعريف الارتباط للتحليلات لتحسين موقعنا. اقرأ سياسة الخصوصية الخاصة بنا سياسة الخصوصية لمزيد من المعلومات.
رفض