Az orosz hackerek új trükkje: láthatatlan kártevő Linux VM-ben

Virtuális gép, valódi veszély

A Curly COMrades 2024 közepe óta aktív, és elsősorban orosz geopolitikai érdekeket szolgál. Legfőbb célpontjaik között grúz állami és igazságszolgáltatási szervek, illetve moldovai energetikai cégek szerepelnek. A Bitdefender és a grúz kiberbiztonsági központ együttműködésével sikerült feltérképezni a legújabb támadásokat. A hackerek úgy kapcsolták be a Hyper-V szerepkört az áldozatok rendszerén, hogy annak felügyeleti felületét egyúttal letiltották – vagyis a rendszergazdák számára rejtve maradt a Linux gép jelenléte.

Álcázott működés és haladó trükkök

A támadások egyik kulcsmozzanata, hogy a virtuális gépet WSL néven hozták létre, ami első ránézésre a Windows alrendszer Linuxhoz (Windows Subsystem for Linux, WSL) megoldásra utal, így tovább csökken a lebukás esélye. A VM minden forgalma az eredeti gép IP-címét használja, tehát a kimenő kapcsolatok látszólag a legitim gépről indulnak. A CurlyShell folyamatos kapcsolattartásra és parancsvégrehajtásra szolgál, míg a CurlCat az SSH-forgalmat képes HTTPS-be csomagolva továbbítani, ezzel teljesen beleolvad a megszokott hálózati zajba.

PowerShell-lel az ellenőrzésért

A kutatók két PowerShell-szkriptre is rábukkantak: az egyik Kerberos-jegyet injektál az LSASS folyamatba, így lehetővé téve a jogosulatlan hozzáférést más rendszerekhez. A másik szkript csoportházirenden keresztül helyi felhasználói fiókokat hoz létre a tartomány több gépén.

Mit lehet tenni?

A Curly COMrades támadásai komoly profizmust mutatnak: titkosított kártevő, virtuális álcázás, minimális digitális lábnyom. A Bitdefender szerint fontos figyelni a szokatlan Hyper-V aktiválásokat, az LSASS-hoz történő hozzáféréseket és a gyanús csoportházirendi PowerShell-parancsokat, mert csak ezek árulhatják el a támadók jelenlétét.

2025, adrienne, www.bleepingcomputer.com alapján