Pro-ryska hackare kända som Curly COMrades utnyttjar Microsofts Hyper-V-teknik för att bädda in lätta Alpine Linux-virtuella maskiner i komprometterade Windows-system. Denna taktik gör det möjligt för dem att köra anpassad skadlig kod som CurlyShell och CurlCat utan att upptäckas av traditionella verktyg för slutpunktsskydd. Kampanjen, som upptäcktes av Bitdefender i samarbete med den georgiska CERT, riktar sig mot organisationer i Europa och bortom.
Attacken börjar med den initiala kompromissen av Windows-maskiner, ofta genom sårbarheter eller social engineering. Angriparna aktiverar sedan Hyper-V — en inbyggd virtualiseringsfunktion i Windows 10 — med Deployment Image Servicing and Management Tools (DISM) samtidigt som de inaktiverar hanteringsgränssnitt för att undvika upptäckt. Observerat så tidigt som juli 2024, distribuerar de ett litet RAR-arkiv maskerat som en videofil, som innehåller konfigurationsfiler och en virtuell disk för en förkonfigurerad Alpine Linux-miljö. Denna VM, namngiven 'WSL' för att efterlikna det legitima Windows Subsystem for Linux, kräver endast 120 MB diskutrymme och 256 MB RAM, vilket gör den resurseffektiv och stealthy.
Inuti VM kör hackarna CurlyShell, en anpassad reverse shell byggd med libcurl-biblioteket för kommandoutförning via HTTPS-anslutningar till kommandot- och kontrollservrar, och CurlCat, en reverse proxy för trafik-tunnling. VM använder standardnätverksadaptrar och Hyper-V:s interna NAT-tjänst, och dirigerar skadlig kommunikation genom värd-Windows IP-adress för att maskera ursprung och kringgå slutpunktsskydd och respons (EDR)-lösningar. Ytterligare persistens uppnås med verktyg som Ligolo-ng, CCProxy, Stunnel, SSH, Resocks och Rsockstun, tillsammans med PowerShell-skript som injicerar Kerberos-biljetter i LSASS-processen och skapar lokala konton via Group Policy.
Bitdefenders seniora säkerhetsforskare Victor Vrabie förklarade: 'Genom att isolera skadlig koden och dess exekveringsmiljö inom en VM skapar angriparna effektivt en parallell värld som är osynlig för de flesta säkerhetslösningar på värden.' Gruppen, som är i linje med ryska geopolitiska intressen och kopplad till alias som Void Blizzard eller LAUNDRY BEAR, har riktat sig mot institutioner i Georgien, Moldavien, Europa, Nordamerika och möjligen Ukraina, med fokus på regerings-, försvars- och hälso- och sjukvårdssektorer. Denna metod representerar en växande trend att använda Linux-skadlig kod mot Windows för att undvika sofistikerade EDR, liknande taktiker i Qilin-ransomwareattacker. Experter rekommenderar övervakning av oväntade Hyper-V-aktiveringar, implementering av beteendeanalys i virtuella miljöer och förstärkning av nätverksbaserade inspektioner för att motverka sådana hot.
