Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Хакеры скрываются в Hyper‑V виртуалках

2
1 мин
Изображение: recraft Эксперты по киберугрозам из Bitdefender сообщили о новой тактике, применяемой хакерской группой Curly COMrades, связанной с кибершпионажем. В ходе недавнего расследования было установлено, что злоумышленники используют виртуализацию на платформе Microsoft Hyper‑V для запуска вредоносного кода в малозаметной виртуальной машине на базе Alpine Linux, тем самым обходя стандартные механизмы защиты конечных точек. Деятельность Curly COMrades отслеживается с середины 2024 года. Исследователи связывают её с российскими интересами в ряде постсоветских государств. Ранее в отчётах Bitdefender указывалось на атаки против органов власти и энергетических предприятий в Грузии и Молдове. Последняя операция, по данным аналитиков, была раскрыта при поддержке грузинского национального центра реагирования CERT. В начале июля хакеры получили удалённый доступ к двум системам и активировали на них компоненты Hyper‑V, отключив при этом стандартный интерфейс управления. Это дало возможност

Изображение: recraft

Эксперты по киберугрозам из Bitdefender сообщили о новой тактике, применяемой хакерской группой Curly COMrades, связанной с кибершпионажем. В ходе недавнего расследования было установлено, что злоумышленники используют виртуализацию на платформе Microsoft Hyper‑V для запуска вредоносного кода в малозаметной виртуальной машине на базе Alpine Linux, тем самым обходя стандартные механизмы защиты конечных точек.

Деятельность Curly COMrades отслеживается с середины 2024 года. Исследователи связывают её с российскими интересами в ряде постсоветских государств. Ранее в отчётах Bitdefender указывалось на атаки против органов власти и энергетических предприятий в Грузии и Молдове. Последняя операция, по данным аналитиков, была раскрыта при поддержке грузинского национального центра реагирования CERT.

В начале июля хакеры получили удалённый доступ к двум системам и активировали на них компоненты Hyper‑V, отключив при этом стандартный интерфейс управления. Это дало возможность скрытно развернуть виртуальную машину, конфигурация которой была минималистичной — всего 120 МБ на диске и 256 МБ оперативной памяти. Несмотря на ограниченные ресурсы, внутри этой среды размещались специализированные инструменты злоумышленников: обратная оболочка CurlyShell и прокси‑сервис CurlCat, обеспечивавшие связь с командным сервером и контроль над заражённой инфраструктурой.

В Bitdefender указали, что Curly COMrades использовали наименование виртуальной машины «WSL» — сокращение, обычно ассоциирующееся с подсистемой Windows для Linux. Такой выбор должен был отвлечь внимание администраторов и не вызывать подозрений при беглом просмотре процессов.

Виртуализация выполнялась с использованием сетевого адаптера Default Switch, встроенного в Hyper‑V. Через него весь исходящий трафик вредоносных программ маскировался под обычный сетевой обмен с IP‑адреса основной системы. Это позволяло Curly COMrades ускользнуть от обнаружения средствами защиты, ориентированными на активность внутри хоста.

Оригинал публикации на сайте CISOCLUB: ""Русские хакеры" Curly COMrades используют Hyper‑V для сокрытия вредоносной активности в виртуальной среде Linux".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.