ロシア関連のハッカー集団 Curly COMrades は、Microsoft の Hyper-V を武器にして、侵害された Windows システム上にマルウェアを隠しており、ステルス技術が大幅に進化しています。
11月4日の報道によると、サイバーセキュリティ企業Bitdefenderのレポート、グループは小さな Alpine Linux 仮想マシンをインストールして秘密の運用基地を作成します。
この VM はカスタム マルウェアを実行し、攻撃者がエンドポイント検出および応答 (EDR) ソフトウェアをバイパスできるようにします。
7 月以降の攻撃で観察されているこの技術は、グループにサイバースパイ活動のための永続的で目立たないアクセスを提供します。この調査への支援はジョージア州の国立 CERT からのものであり、この脅威の高度かつグローバルな性質が強調されています。
斬新な回避手法で、ロシア関連のハッカーが Windows のネイティブ機能を攻撃しています。 2025 年 8 月に Bitdefender によってその使用が初めて特定されました。COMハイジャック、このグループは現在、Microsoft の組み込み仮想化プラットフォームである Hyper-V の悪用に移行しています。
攻撃者は、セキュリティ アラートをトリガーする可能性のある外部ツールを導入する代わりに、ターゲット マシンにすでに存在する正規のシステム コンポーネントを利用します。これは典型的な「土地を離れて暮らす」アプローチです。
フォレンジック分析により、多段階の展開プロセスが明らかになりました。攻撃者はまず dism コマンドを実行して Hyper-V の役割を有効にします。
重要なことに、それらはまた、microsoft-hyper-v-Management-clientsこの機能により、管理者がコンポーネントを見つけにくくなります。
Hyper-V がアクティブ化されると、次のような一連のコマンドが実行されます。curlVM アーカイブをダウンロードします。 PowerShell コマンドレットのようなImport-VMそしてStart-VMそれを起動します。さらに疑惑を避けるために、この VM には、正規の Linux 用 Windows サブシステムを模倣して「WSL」という欺瞞的な名前が付けられています。
孤立した武器庫: Alpine Linux VM とカスタム マルウェア
Hyper-V を武器にして、脅威アクターは多くの標準セキュリティ ツールの盲点を作ります。
この戦略の中核となるのは、次のような最小限の仮想マシンです。アルパイン・リナックス、サイズが小さいことで知られるディストリビューションです。この選択は意図的なものです。非表示環境のフットプリントはわずか 120MB のディスク領域と 256MB のメモリで、ホスト システムへの影響は最小限に抑えられます。
この隔離された環境内で、このグループはカスタム マルウェア スイートを運用しています。 「攻撃者は、選択された被害者システム上で Hyper-V の役割を有効にして、最小限の Alpine Linux ベースの仮想マシンを展開しました。」
このベースは、リバース シェルである「CurlyShell」とリバース プロキシである「CurlCat」という 2 つの主要な C++ ツールをホストします。
CurlyShell は、単純なルートレベルの cron ジョブを通じて VM 内での永続性を実現します。 CurlCat は次のように構成されます。ProxyCommandSSH クライアントでは、すべての送信 SSH トラフィックを標準の HTTP リクエストにラップしてブレンドします。どちらのインプラントも、検出を回避するためにエンコードに非標準の Base64 アルファベットを使用します。
VM は Hyper-V のデフォルト スイッチを使用し、ネットワーク アドレス変換 (NAT) を使用してホストのネットワーク スタック経由でトラフィックをルーティングするため、検出はさらに難しくなります。
推奨読書:
Bitdefender は、「事実上、すべての悪意のあるアウトバウンド通信は、正規のホスト マシンの IP アドレスから発信されているように見えます」と述べています。このような回避戦術はますます一般的になってきています。
VM を超えて: PowerShell を使用した永続性と横方向の移動
Hyper-V VM はステルス ベースを提供しますが、Curly COMrades は追加のツールを使用して永続性を維持し、横方向に移動します。
調査者は、アクセスを維持するための多層的なアプローチを実証し、足場を固めるために使用されたいくつかの悪意のある PowerShell スクリプトを発見しました。
グループ ポリシーを介して展開された 1 つのスクリプトは、ドメインに参加しているマシンにローカル ユーザー アカウントを作成するように設計されています。このスクリプトは繰り返しアカウントのパスワードをリセットします。これは、管理者が資格情報を発見して変更した場合でも、攻撃者が確実にアクセスを維持できるようにするための巧妙なメカニズムです。
もう 1 つの高度な PowerShell スクリプト、公開されているスクリプトのカスタマイズされたバージョンTicketInjector実用性があり、横方向の動きに使用されました。
Kerberos チケットをローカル セキュリティ機関サブシステム サービス (LSASS)これにより、平文のパスワードを必要とせずに他のリモート システムへの認証が可能になります。
この「パス・ザ・チケット」手法により、コマンドの実行、データの流出、環境全体への追加のマルウェアの展開が可能になります。多面的なアプローチは、国家支援による脅威アクターの特徴である、グループの運用の成熟度を浮き彫りにしています。
