قراصنة مؤيدون لروسيا المعروفون باسم Curly COMrades يستغلون تقنية Hyper-V من مايكروسوفت لزرع آلات افتراضية خفيفة الوزن من Alpine Linux داخل أنظمة ويندوز المخترقة. تسمح هذه الطريقة لهم بتشغيل برمجيات ضارة مخصصة مثل CurlyShell وCurlCat دون اكتشاف من قبل أدوات الكشف التقليدية لنقاط النهاية. الحملة، التي كشفت عنها Bitdefender بالتعاون مع CERT الجورجي، تستهدف منظمات في أوروبا وخارجها.
يبدأ الهجوم باختراق أولي لآلات ويندوز، غالبًا من خلال ثغرات أمنية أو هندسة اجتماعية. ثم يفعل المهاجمون Hyper-V —ميزة الافتراضية المدمجة في ويندوز 10— باستخدام أدوات خدمات صورة النشر وإدارة الصور (DISM) مع تعطيل واجهات الإدارة لتجنب الكشف. تم ملاحظتها منذ يوليو 2024، ينشرون أرشيف RAR صغيرًا مقنعًا كملف فيديو، يحتوي على ملفات تكوين وقرص افتراضي لمحيط Alpine Linux المُعد مسبقًا. هذه الآلة الافتراضية، المسماة 'WSL' لتقليد الـ Windows Subsystem for Linux الشرعي، تتطلب فقط 120 ميغابايت من مساحة القرص و256 ميغابايت من الذاكرة العشوائية، مما يجعلها فعالة في الموارد وخفية.
داخل الآلة الافتراضية، يشغل القراصنة CurlyShell، وهو shell عكسي مخصص مبني بمكتبة libcurl لتنفيذ الأوامر عبر اتصالات HTTPS إلى خوادم التحكم والقيادة، وCurlCat، وهو وكيل عكسي لنفق الترافيك. تستخدم الآلة الافتراضية محولات الشبكة الافتراضية وخدمة NAT الداخلية لـ Hyper-V، موجهة الاتصالات الضارة عبر عنوان IP لاستضافة ويندوز لإخفاء الأصول وتجاوز حلول الكشف والاستجابة لنقاط النهاية (EDR). يتم تحقيق الاستمرارية الإضافية بأدوات مثل Ligolo-ng، CCProxy، Stunnel، SSH، Resocks، وRsockstun، إلى جانب نصوص PowerShell التي تحقن تذاكر Kerberos في عملية LSASS وتنشئ حسابات محلية عبر Group Policy.
شرح الباحث الأول في الأمن السيبراني في Bitdefender، Victor Vrabie: 'من خلال عزل البرمجيات الضارة وبيئتها التنفيذية داخل آلة افتراضية، يخلق المهاجمون عالمًا موازيًا غير مرئي لمعظم حلول الأمان على الاستضافة.' المجموعة، المتماشية مع المصالح الجيوسياسية الروسية وربطها بأسماء مستعارة مثل Void Blizzard أو LAUNDRY BEAR، استهدفت مؤسسات في جورجيا، مولدوفا، أوروبا، أمريكا الشمالية، وربما أوكرانيا، مع التركيز على القطاعات الحكومية والدفاعية والصحية. يمثل هذا الطريقة اتجاهًا متزايدًا لاستخدام برمجيات ضارة لينكس ضد ويندوز للتهرب من EDR المتطورة، مشابهًا لتكتيكات في هجمات ransomware Qilin. يوصي الخبراء بمراقبة تفعيلات Hyper-V غير المتوقعة، تنفيذ تحليل سلوكي في البيئات الافتراضية، وتعزيز التفتيش القائم على الشبكة لمواجهة مثل هذه التهديدات.
