قراصنة روس يستخدمون آلات افتراضية لينكس لإخفاء البرمجيات الضارة على ويندوز

يبدأ الهجوم باختراق أولي لآلات ويندوز، غالبًا من خلال ثغرات أمنية أو هندسة اجتماعية. ثم يفعل المهاجمون Hyper-V —ميزة الافتراضية المدمجة في ويندوز 10— باستخدام أدوات خدمات صورة النشر وإدارة الصور (DISM) مع تعطيل واجهات الإدارة لتجنب الكشف. تم ملاحظتها منذ يوليو 2024، ينشرون أرشيف RAR صغيرًا مقنعًا كملف فيديو، يحتوي على ملفات تكوين وقرص افتراضي لمحيط Alpine Linux المُعد مسبقًا. هذه الآلة الافتراضية، المسماة 'WSL' لتقليد الـ Windows Subsystem for Linux الشرعي، تتطلب فقط 120 ميغابايت من مساحة القرص و256 ميغابايت من الذاكرة العشوائية، مما يجعلها فعالة في الموارد وخفية.

داخل الآلة الافتراضية، يشغل القراصنة CurlyShell، وهو shell عكسي مخصص مبني بمكتبة libcurl لتنفيذ الأوامر عبر اتصالات HTTPS إلى خوادم التحكم والقيادة، وCurlCat، وهو وكيل عكسي لنفق الترافيك. تستخدم الآلة الافتراضية محولات الشبكة الافتراضية وخدمة NAT الداخلية لـ Hyper-V، موجهة الاتصالات الضارة عبر عنوان IP لاستضافة ويندوز لإخفاء الأصول وتجاوز حلول الكشف والاستجابة لنقاط النهاية (EDR). يتم تحقيق الاستمرارية الإضافية بأدوات مثل Ligolo-ng، CCProxy، Stunnel، SSH، Resocks، وRsockstun، إلى جانب نصوص PowerShell التي تحقن تذاكر Kerberos في عملية LSASS وتنشئ حسابات محلية عبر Group Policy.

شرح الباحث الأول في الأمن السيبراني في Bitdefender، Victor Vrabie: 'من خلال عزل البرمجيات الضارة وبيئتها التنفيذية داخل آلة افتراضية، يخلق المهاجمون عالمًا موازيًا غير مرئي لمعظم حلول الأمان على الاستضافة.' المجموعة، المتماشية مع المصالح الجيوسياسية الروسية وربطها بأسماء مستعارة مثل Void Blizzard أو LAUNDRY BEAR، استهدفت مؤسسات في جورجيا، مولدوفا، أوروبا، أمريكا الشمالية، وربما أوكرانيا، مع التركيز على القطاعات الحكومية والدفاعية والصحية. يمثل هذا الطريقة اتجاهًا متزايدًا لاستخدام برمجيات ضارة لينكس ضد ويندوز للتهرب من EDR المتطورة، مشابهًا لتكتيكات في هجمات ransomware Qilin. يوصي الخبراء بمراقبة تفعيلات Hyper-V غير المتوقعة، تنفيذ تحليل سلوكي في البيئات الافتراضية، وتعزيز التفتيش القائم على الشبكة لمواجهة مثل هذه التهديدات.