Russische Hacker platzieren Malware in VMs auf Windows-Rechnern
Die russische Hackergruppe Curly COMrades missbraucht den Hypervisor Hyper-V von Microsoft auf kompromittierten Windows-Rechnern, um eine versteckte virtuelle Maschine auf Basis von Alpine Linux zu erstellen, die Endpoint-Sicherheitstools umgeht und den Hackern dauerhaften Netzwerkzugriff zum Ausspähen und Einsetzen von Malware ermöglicht.
Diese versteckte Umgebung mit ihrem geringen Speicherbedarf (nur 120 MB Festplattenspeicher und 256 MB Arbeitsspeicher) beherbergte ihre benutzerdefinierte Reverse-Shell, CurlyShell, und einen Reverse-Proxy, CurlCat.
Das rumänische Sicherheitsunternehmen hat in Zusammenarbeit mit dem georgischen Computer Emergency Response Team (CERT) diese neueste Malware-Kampagne aufgedeckt. Sie zeigt, wie die Gruppe legitime Virtualisierungstechnologien – in diesem Fall Hyper-V – ausnutzt, um Endpoint Detection and Response (EDR)-Produkte zu umgehen.
Durch die Isolierung der Malware und ihrer Ausführungsumgebung innerhalb einer VM umgingen die Angreifer effektiv viele herkömmliche hostbasierte EDR-Erkennungen.
Bitdefender verfolgt Curly COMrades seit 2024 und hat erklärt, dass die Gruppe russische geopolitische Interessen unterstützt, hat sie jedoch nicht ausdrücklich mit der russischen Regierung in Verbindung gebracht. Im August dokumentierte das Forschungsunternehmen die Angriffe der Gruppe auf Justiz- und Regierungsbehörden in Georgien sowie auf ein Energieversorgungsunternehmen in Moldawien.
Die jüngste Kampagne begann im Juli. Bitdefender hat die Identität der Opfer nicht öffentlich bekannt gegeben, aber laut Bitdefender hat die russische Gruppe auf zwei Computern Remote-Befehle ausgeführt, um die Virtualisierungsfunktion von Microsoft Hyper-V zu aktivieren und gleichzeitig die Verwaltungsschnittstelle zu deaktivieren. Einige Tage später luden sie eine leichtgewichtige, auf Alpine Linux basierende VM herunter, die ihre eigene Malware enthielt.
Die Kriminellen konfigurierten die VM so, dass sie den Standard-Switch-Netzwerkadapter in Hyper-V verwendet, um sicherzustellen, dass der Datenverkehr der VM über das interne Netzwerk von Hyper-V durch den Netzwerkstack des Hosts geleitet wird.
Die VM enthielt zwei benutzerdefinierte Module: CurlyShell, das neu ist, und CurlCat, das Bitdefender in seinem Bericht vom August dokumentiert hat. Ihr Code ist weitgehend identisch, in C++ geschrieben und auf der libcurl-Bibliothek aufgebaut.
CurlyShell läuft, ohne innerhalb der Alpine-Umgebung entdeckt zu werden. Es stellt eine Reverse-Shell bereit und verwendet einen Cron-Job, der regelmäßig ausgeführt wird, um die Persistenz auf Root-Ebene zu gewährleisten. Es verbindet sich über HTTPS mit dem Command-and-Control-Server (C2).
In dieser Kampagne nutzten die Angreifer eine georgische Webseite für C2.
CurlCat sorgt nicht für die Persistenz im System, sondern verwaltet den SSH-Reverse-Proxy-Tunnel. Es verpackt den gesamten ausgehenden SSH-Datenverkehr in Standard-HTTP-Anfrage-Payloads, wodurch der Netzwerkverkehr der Spione legitim erscheint.
Zusätzlich zu der benutzerdefinierten Malware fanden die Forscher bei ihrer Analyse zwei Arten von PowerShell-Skripten, die mit Curly COMrades in Verbindung stehen. Das eine injiziert ein Kerberos-Ticket in LSASS, wodurch die Angreifer sich aus der Ferne authentifizieren und Befehle ausführen können. Das andere, das über Gruppenrichtlinien bereitgestellt wird, erstellt ein lokales Konto auf allen domänengebundenen Computern, um einen dauerhaften Zugriff zu ermöglichen.
Um dem entgegenzuwirken, empfehlen Bitdefender und andere Sicherheitsexperten den Einsatz einer mehrschichtigen, tiefgreifenden Sicherheitsstrategie, anstatt sich nur auf die Erkennung von Bedrohungen an Endpunkten zu verlassen, die in der Regel den Missbrauch nativer Systemtools und legitimer Produkte nicht erkennen.