吳明宜研究人員發現,一個名為「Curly COMrades」的駭客組織正利用 Windows 虛擬化功能藏匿惡意虛擬機 (VM),藉此躲避端點安全 (Endpoint Detection and Recovery, EDR) 方案的偵測。
資安廠商 Bitdefender 指出,攻擊者會在特定受害者系統上啟動 Hyper-V,並部署一個極度輕量的 Alpine Linux VM 。這個 VM 僅佔 120MB 磁碟空間、使用 256MB 記憶體,可執行其客製的反向 shell 程式「CurlyShell」。
Curly COMrades 最早是在今年 8 月由 Bitdefender 於一波鎖定喬治亞與摩爾多瓦使用者的攻擊中發現。研究團隊推測該組織最晚自 2023 年底就已活躍,且可能與俄羅斯有關。當時觀察到該組織部署雙向資料傳輸工具如 CurlCat 、使用 RuRat 進行長期遠端存取、以 Mimikatz 竊取憑證,以及散布名為 MucorAgent 的.NET 植入程式。
今年 Bitdefender 與喬治亞 CERT 合作後,進一步發現駭客在 Windows 10 裝置的 Hyper-V 中架設遠端 Linux VM 環境。研究人員認為,將惡意程式與執行環境包在 VM 中,是對抗主機型 EDR 偵測的策略,而該環境具備反向代理伺服器 (reverse proxy) 能力,可隨時加入新工具。除了 Resocks 、 Rsockstun 、 Ligolo-ng 、 CCProxy 、 Stunne 等代理與通道 (tunneling) 工具外,Curly COMrades 也利用 PowerShell script 進行遠端指令執行,並植入一款過去未曾出現的 ELF 二進位程式「CurlyShell」。 CurlyShell 能提供持續性的 reverse shell,讓受害主機主動連向駭客的 C2 伺服器,使駭客可直接透過 HTTP POST 下達指令。
在這波攻擊中,駭客於 VM 內植入兩大惡意程式家族:CurlyShell 與 CurlCat 。前者能直接執行指令,後者則透過 SSH 協定傳輸流量,讓攻擊者得以保持高度彈性控制與攻擊適應性。