Virtuális gép, valódi veszély
A Curly COMrades 2024 közepe óta aktív, és elsősorban orosz geopolitikai érdekeket szolgál. Legfőbb célpontjaik között grúz állami és igazságszolgáltatási szervek, illetve moldovai energetikai cégek szerepelnek. A Bitdefender és a grúz kiberbiztonsági központ együttműködésével sikerült feltérképezni a legújabb támadásokat. A hackerek úgy kapcsolták be a Hyper-V szerepkört az áldozatok rendszerén, hogy annak felügyeleti felületét egyúttal letiltották – vagyis a rendszergazdák számára rejtve maradt a Linux gép jelenléte.
Álcázott működés és haladó trükkök
A támadások egyik kulcsmozzanata, hogy a virtuális gépet WSL néven hozták létre, ami első ránézésre a Windows alrendszer Linuxhoz (Windows Subsystem for Linux, WSL) megoldásra utal, így tovább csökken a lebukás esélye. A VM minden forgalma az eredeti gép IP-címét használja, tehát a kimenő kapcsolatok látszólag a legitim gépről indulnak. A CurlyShell folyamatos kapcsolattartásra és parancsvégrehajtásra szolgál, míg a CurlCat az SSH-forgalmat képes HTTPS-be csomagolva továbbítani, ezzel teljesen beleolvad a megszokott hálózati zajba.
PowerShell-lel az ellenőrzésért
A kutatók két PowerShell-szkriptre is rábukkantak: az egyik Kerberos-jegyet injektál az LSASS folyamatba, így lehetővé téve a jogosulatlan hozzáférést más rendszerekhez. A másik szkript csoportházirenden keresztül helyi felhasználói fiókokat hoz létre a tartomány több gépén.
Mit lehet tenni?
A Curly COMrades támadásai komoly profizmust mutatnak: titkosított kártevő, virtuális álcázás, minimális digitális lábnyom. A Bitdefender szerint fontos figyelni a szokatlan Hyper-V aktiválásokat, az LSASS-hoz történő hozzáféréseket és a gyanús csoportházirendi PowerShell-parancsokat, mert csak ezek árulhatják el a támadók jelenlétét.
