ロシア支持のハッカー集団Curly COMradesは、MicrosoftのHyper-V技術を悪用して、侵害されたWindowsシステム内に軽量のAlpine Linux仮想マシンを埋め込んでいます。この戦術により、CurlyShellやCurlCatなどのカスタムマルウェアを、従来のエンドポイント検知ツールに検知されずに実行できます。このキャンペーンは、BitdefenderがグルジアCERTと協力して発見したもので、ヨーロッパおよびその他の地域の組織を標的にしています。
攻撃は、Windowsマシンの初期侵害から始まり、しばしば脆弱性やソーシャルエンジニアリングを介して行われます。攻撃者は次に、Windows 10に組み込まれた仮想化機能であるHyper-Vを、展開イメージサービスおよび管理ツール(DISM)を使用して有効化し、検知を避けるために管理インターフェースを無効化します。2024年7月から観測されており、小さなRARアーカイブをビデオファイルに偽装して展開し、構成ファイルと事前設定されたAlpine Linux環境用の仮想ディスクが含まれています。このVMは、正当なWindows Subsystem for Linuxを模倣するために'WSL'と名付けられており、ディスクスペース120 MBとRAM 256 MBのみを必要とし、リソース効率が高くステルス性があります。
VM内部で、ハッカーはlibcurlライブラリを使用して構築されたカスタムリバースシェルであるCurlyShellを、HTTPS経由のコマンド実行のためにコマンド・アンド・コントロールサーバーへ接続し、トラフィックのトンネリングのためのリバースプロキシであるCurlCatを実行します。VMはデフォルトのネットワークアダプタとHyper-Vの内部NATサービスを使用し、悪意ある通信をホストWindowsのIPアドレス経由でルーティングして起源を隠蔽し、エンドポイント検知・応答(EDR)ソリューションを回避します。追加の永続性は、Ligolo-ng、CCProxy、Stunnel、SSH、Resocks、Rsockstunなどのツール、およびPowerShellスクリプトで達成され、これらはKerberosチケットをLSASSプロセスに注入し、Group Policy経由でローカルアカウントを作成します。
Bitdefenderの上級セキュリティ研究員Victor Vrabie氏は説明しました:「マルウェアとその実行環境をVM内に隔離することで、攻撃者はホスト上のほとんどのセキュリティソリューションから見えない並行世界を効果的に作成します。」このグループは、ロシアの地政学的利益に沿ったもので、Void BlizzardやLAUNDRY BEARなどの別名と関連付けられており、グルジア、モルドバ、ヨーロッパ、北米、およびおそらくウクライナの機関を標的にしており、政府、防衛、医療セクターに焦点を当てています。この方法は、洗練されたEDRを回避するためのLinuxマルウェアをWindowsに対して使用する傾向の増加を表しており、Qilinランサムウェア攻撃の戦術と類似しています。専門家は、予期せぬHyper-Vの活性化の監視、仮想環境での行動分析の実施、およびネットワークベースの検査の強化を推奨します。
