Rus hacker grubu Curly COMrades, kötü amaçlı yazılımları çalıştıracak gizli bir Alpine Linux tabanlı sanal makine oluşturarak uç nokta algılama ve yanıt çözümlerini atlamak için Windows'taki Microsoft Hyper-V'yi kötüye kullanıyor.
Tehdit aktörü sanal ortamda, operasyonel gizliliği ve iletişimi mümkün kılan CurlyShell ters kabuğunu ve CurlCat ters proxy'sini içeren kendi özel araçlarını barındırdı.
Curly COMrades, 2024'ün ortalarından bu yana aktif olduğuna inanılan bir siber casusluk tehdit grubudur. Faaliyetleri Rusya'nın jeopolitik çıkarlarıyla yakından uyumludur.
Bitdefender daha önce Curly COMrades'in Gürcistan'daki hükümet ve yargı kurumlarının yanı sıra Moldova'daki enerji şirketlerine yönelik faaliyetlerini açığa çıkarmıştı.
Romanya siber güvenlik firması, Gürcü CERT'in yardımıyla tehdit aktörünün son operasyonu hakkında daha fazla bilgi ortaya çıkardı.
Araştırmacılar, Temmuz ayı başlarında Curly COMrades'in iki makineye uzaktan erişim sağladıktan sonra Hyper-V'yi etkinleştirmek ve yönetim arayüzünü devre dışı bırakmak için komutları çalıştırdığını buldu.
Microsoft, Windows (Pro ve Enterprise) ve Windows Server işletim sistemlerinde donanım sanallaştırma yetenekleri sağlayan ve kullanıcıların sanal makineleri (VM'ler) çalıştırmasına olanak tanıyan Hyper-V yerel hipervizör teknolojisini içerir.
Bitdefender, BleepingComputer ile paylaşılan bir raporda şöyle açıklıyor: "Saldırganlar, seçilen kurban sistemlerde minimalist, Alpine Linux tabanlı bir sanal makine dağıtmak için Hyper-V rolünü etkinleştirdi. Hafif ayak izine (yalnızca 120 MB disk alanı ve 256 MB bellek) sahip bu gizli ortam, özel ters kabuğu CurlyShell'i ve ters proxy CurlCat'i barındırıyordu."
Bilgisayar korsanları, kötü amaçlı yazılımı ve yürütülmesini bir sanal makine (VM) içinde tutarak, tehdit aktörünün VM'den gelen komut ve kontrol (C2) trafiğini tespit edebilecek ağ inceleme yeteneklerinden yoksun olan geleneksel ana bilgisayar tabanlı EDR algılamalarını atlamayı başardı.
Tespitten kaçınmak için sanallaştırmaya güvenmek yeni bir teknik olmasa da, güvenlik araçlarının parçalı kapsamı, bunu bütünsel, çok katmanlı bir korumaya sahip olmayan ağlarda etkili bir yaklaşım haline getiriyor.
Curly COMrades saldırılarında, fark edilmeden kayma umuduyla işletim sistemindeki Linux için Windows Alt Sistemi özelliğine atıfta bulunarak sanal makine için 'WSL' adı kullanılarak kaçırma sağlandı.
Alpine Linux VM, Hyper-V'de tüm trafiği ana bilgisayarın ağ yığınından geçiren Varsayılan Anahtar ağ bağdaştırıcısını kullanacak şekilde yapılandırıldı.
Bitdefender araştırmacıları, "Aslında, tüm kötü niyetli giden iletişim, yasal ana makinenin IP adresinden kaynaklanıyor gibi görünüyor" diye açıklıyor.
VM'de konuşlandırılan iki özel implant, libcurl tabanlı ELF ikili dosyalarıdır ve komut yürütme ve trafik tüneli oluşturma için kullanılır:
Olayları araştırırken araştırmacılar ayrıca Curly COMrades'in kalıcılık ve uzak sistemlere geçiş için iki PowerShell betiği kullandığını da keşfetti.
Araştırmacılar, "Biri, uzak sistemlerde kimlik doğrulamayı ve komutların yürütülmesini sağlayacak şekilde LSASS'ye bir Kerberos bileti enjekte etmek için tasarlandı" dedi.
İkinci komut dosyası, Grup İlkesi özelliği aracılığıyla dağıtıldı ve aynı etki alanındaki makineler arasında yerel bir hesap oluşturuldu.
Araştırmacılar, araştırılan Curly COMrades saldırılarının karmaşıklık düzeyinin, gizlilik ve operasyonel güvenlik için özel olarak tasarlanmış bir aktiviteyi ortaya çıkardığını belirtiyor. Bilgisayar korsanları, yerleşik yükleri şifreledi ve PowerShell özelliklerini kötüye kullandı; bu da güvenliği ihlal edilen ana makinelerde minimum düzeyde adli iz bulunmasına yol açtı.
Bu saldırılardaki gözlemlere dayanarak Bitdefender, kuruluşların anormal Hyper-V aktivasyonunu, LSASS erişimini veya Grup Politikası aracılığıyla dağıtılan ve yerel hesap şifresi sıfırlamalarını tetikleyen veya yeni şifreler oluşturan PowerShell komut dosyalarını izlemesi gerektiğini önermektedir.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.
Rus bilgisayar korsanları "Ben robot değilim" captcha'larına gönderilen kötü amaçlı yazılımları geliştiriyor
Meduza Stealer olduğu iddia edilen kötü amaçlı yazılım yöneticileri Rus kuruluşlarını hackledikten sonra tutuklandı
Google Play'deki kötü amaçlı Android uygulamaları 42 milyon kez indirildi
Open VSX arka kapı geliştiricilerinde Sahte Solidity VSCode uzantısı
Microsoft: SesameOp kötü amaçlı yazılımı, saldırılarda OpenAI Assistant API'sini kötüye kullanıyor
Kaynak: Bleeping Computer