Um grupo de hackers russo, conhecido como Curly COMrades, está a protagonizar um ataque engenhoso que abusa de uma funcionalidade nativa do Windows para contornar soluções de segurança. A técnica envolve usar o Hipervisor Hyper-V da Microsoft para criar uma máquina virtual (VM) Alpine Linux minimalista, onde conseguem correr malware de forma oculta.
Os investigadores da Bitdefender, com o apoio do CERT da Geórgia, expuseram esta operação de ciberespionagem, que se acredita estar ativa desde meados de 2024 e alinhada com interesses geopolíticos russos. Os alvos anteriores do grupo incluíam entidades governamentais e judiciais na Geórgia e empresas de energia na Moldávia.
O truque da virtualização para fugir ao EDR
A tática dos Curly COMrades foca-se em iludir as soluções de Deteção e Resposta de Endpoint (EDR). Após obterem acesso remoto a uma máquina, os atacantes executam comandos para ativar o Hyper-V, uma tecnologia de virtualização nativa incluída nas versões Pro, Enterprise e Server do Windows. Crucialmente, desativam de imediato a interface de gestão do Hyper-V para não deixar rasto.
De seguida, implementam o seu "esconderijo": uma máquina virtual Alpine Linux extremamente leve. Este ambiente oculto ocupa apenas 120MB de espaço em disco e 256MB de memória, tornando-o difícil de detetar.
O disfarce ideal é o nome escolhido para esta VM: 'WSL'. Ao imitar o nome do legítimo Windows Subsystem for Linux, os hackers esperam que a atividade da VM passe despercebida aos olhos dos administradores de sistema.
Ocultação total da rede e ferramentas à medida
O método é eficaz porque as ferramentas de EDR tradicionais, focadas no sistema anfitrião (o Windows), não têm visibilidade sobre os processos a correr dentro da máquina virtual Linux.
Para completar a evasão, os hackers configuram a VM para usar o 'Default Switch' do Hyper-V. Isto faz com que todo o tráfego de rede da VM, incluindo a comunicação com os servidores de comando e controlo (C2), passe pela pilha de rede do anfitrião. Na prática, toda a comunicação maliciosa parece originar-se do endereço IP legítimo da máquina Windows comprometida, enganando as ferramentas de inspeção de rede.
Dentro deste ambiente protegido, os Curly COMrades executam as suas ferramentas personalizadas: o CurlyShell (um reverse shell) e o CurlCat (um proxy reverso). O CurlyShell, um binário ELF baseado em libcurl, é usado para executar comandos e mantém a persistência dentro da VM através de uma tarefa cron, comunicando com o C2 via HTTPS. O CurlCat, por sua vez, é invocado para criar um túnel SOCKS, encapsulando tráfego SSH em pedidos HTTPS para permitir o movimento lateral na rede.
Persistência e movimento lateral
A investigação descobriu ainda que os atacantes usaram dois scripts PowerShell no sistema anfitrião para garantir a persistência e moverem-se para outras máquinas. Um dos scripts foi desenhado para injetar um ticket Kerberos no processo LSASS, permitindo-lhes autenticarem-se em sistemas remotos. O segundo script, implementado através da Política de Grupo (Group Policy), criava uma nova conta local em todas as máquinas do mesmo domínio.
A Bitdefender alerta que este é um ataque sofisticado, focado na furtividade e segurança operacional, deixando um mínimo de vestígios forenses. Aconselham as organizações a monitorizar a ativação anormal do Hyper-V, acessos suspeitos ao LSASS e alterações invulgares na Política de Grupo, como a criação de novas contas locais.
Nenhum comentário
Seja o primeiro!