Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Хакерите ја искористуваат Windows Hyper-V за да ја сокријат Linux виртуелната машина и да избегнат EDR детекција

Објавено: 06.11.2025

Актерот на закана познат како Curly COMrades е набљудуван како експлоатира виртуелизациски технологии за да ги заобиколи безбедносните решенија и да извршува прилагоден malware.

Според нов извештај од Bitdefender, се тврди дека напаѓачот овозможил Hyper‑V улогата на избрани жртвени системи за да постави минималистичка виртуелна машина базирана на Alpine Linux.

„Оваа скриена околина, со мал отисок (само 120 MB диск‑простор и 256 MB меморија), ги хостираше нивниот прилагоден реверс шел, CurlyShell, и реверз прокси, CurlCat,“ велат безбедносните истражувачи Виктор Врабие, Адриан Schipor и Мартин Zugec во техничкиот извештај. Curly COMrades првпат беше документиран од румунскиот провајдер за сајбер-безбедност во август 2025 година во врска со низа напади насочени кон Грузија и Молдавија. Кластерот на активности се оценува дека е активен уште од доцна 2023 година, дејствувајќи со интереси што се усогласени со Русија.

Овие напади откриле употреба на алатки како CurlCat за двонасочен пренос на податоци, RuRat за перзистентен далечински пристап, Mimikatz за крадење креденцијали, и модуларен .NET имплант наречен MucorAgent, со рани итерации уште од ноември 2023 година.

Во последователна анализа спроведена во соработка со Georgia CERT, идентификувани се дополнителни алатки поврзани со напаѓачот, како и обиди за воспоставување долгорочен пристап преку „weaponizing“ на Hyper‑V на компромитирани Windows 10 хостови за поставување скриена далечинска оперативна околина.

„Со изолирање на malware‑от и неговата извршна околина во виртуелна машина, напаѓачите ефективно ги заобиколија многу традиционални EDR детекции базирани на хост,“ рекоа истражувачите. „Актерот на закана покажа јасна решителност да одржи реверз прокси капацитет, повторно воведувајќи нови алатки во околината.“

Покрај користењето на Resocks, Rsockstun, Ligolo‑ng, CCProxy, Stunnel и SSH‑базирани методи за прокси и тунелирање, Curly COMrades употребувале и различни други алатки, вклучувајќи PowerShell скрипта дизајнирана за далечинско извршување на команди и CurlyShell — претходно недокументиран ELF бинарен фајл распоредeн во виртуелната машина кој обезбедува перзистентен реверз шел.

Напишан на C++, malware-от се извршува како headless background daemon (безглав позадински демон) за да се поврзе со сервер за команда и контрола (C2) и да стартува реверз шел, што им овозможува на актерите на закана да извршуваат шифрирани команди. Комуникацијата се постигнува преку HTTP GET барања за повикување на серверот за нови команди и преку HTTP POST барања за пренесување на резултатите од извршените команди назад до серверот.

„Две прилагодени фамилии на malware — CurlyShell и CurlCat — беа во центарот на оваа активност, споделувајќи во голема мера идентична кодна база, но се разликуваа во начинот на кој ја обработуваа примената дата: CurlyShell ги извршуваше командите директно, додека CurlCat го канализираше сообраќајот преку SSH,“ рече Bitdefender. „Овие алатки беа распоредени и користени за да се обезбеди флексибилна контрола и прилагодливост.“

Извори:

  • The Hacker News – „Hackers Weaponize Windows Hyper-V to Hide Linux VM and Evade EDR Detection“ The Hacker News