Curly COMrades Hyper-V kihasználás
A Bitdefender és a grúz CERT szerint orosz hátterű APT csoport, a Curly COMrades kihasználja a Windows beépített virtualizációs képességét (Hyper-V) arra, hogy egy rejtett, Alpine Linux alapú virtuális gépet (VM) futtasson a kompromittált gépeken, ebben a könnyű lábnyomú környezetben helyezik el és indítják a saját rosszindulatú kódjukat, így az EDR/XDR-eszközök többségét megkerülik.
A támadás menete szerint a támadók távolról engedélyezték a Hyper-V-t a célgépeken, majd letiltották a Hyper-V menedzsmentfelületét, és letöltötték a 120 MB körüli lemezképű, 256 MB memóriával futtatott Alpine-VM-et. A virtuális gépen két egyedi komponens futott, a CurlyShell, amely root-szintű perzisztenciát és HTTPS-alapú reverse shellt biztosít, és a CurlCat, amely SSH-tunnel/ reverse-proxy funkciót lát el úgy, hogy az SSH-forgalmat HTTP-kérelmekbe csomagolja — így a kimenő forgalom a gazda IP-címéről hivatalosnak tűnik.
A VM a Hyper-V Default Switch-en keresztül kommunikál, ezáltal a rosszindulatú kimenő kapcsolatok a host hálózati stakjában jelennek meg, és a forgalom úgy látszik, mintha maga a gép indította volna. Emiatt a hagyományos EDR-ek, amelyek a host-folyamatok észlelésére támaszkodnak, könnyen sikertelennek bizonyulnak, hiszen a valódi rosszindulat az izolált VM-ben fut.
A kampány technikailag más eszközökkel is kombinálódott, PowerShell-scriptjeik között találtak olyat, amely Kerberos-jegyeket injektál az LSASS-ba, így a támadók távoli hitelesítést és parancsvégrehajtást tudtak megvalósítani, illetve egy másik scriptet, amely Group Policy-n keresztül létrehozott lokális fiókokat domain-gépeken a perzisztencia érdekében. Ezek a módszerek azt jelzik, hogy nem egyszerű one-off kártevőről van szó, hanem több rétegű, hosszú távú hozzáférés megteremtésére törekvő műveletről.
