Скрытая угроза: как кибершпионы используют виртуальные машины Hyper-V для незаметного проникновения

Исследование, проведенное при поддержке грузинского CERT (Computer Emergency Response Team), функционирующего при Оперативно-техническом агентстве Грузии, выявило ранее неизвестные инструменты и техники, которые угрожающая группа применяла для установления скрытого долгосрочного доступа к сетям жертв. Наиболее примечательной находкой стало злоупотребление легитимными технологиями виртуализации, демонстрирующее, как злоумышленники внедряют инновации для обхода стандартных решений EDR (Endpoint Detection and Response), которые становятся инструментами массового применения.

Атакующие активировали роль Hyper-V на выбранных системах жертв для развертывания минималистичной виртуальной машины на базе Alpine Linux. Эта скрытая среда с легковесными характеристиками - всего 120 МБ дискового пространства и 256 МБ оперативной памяти - размещала их пользовательские инструменты: обратную оболочку CurlyShell и обратный прокси CurlCat.

Изолируя вредоносное программное обеспечение и среду его выполнения внутри виртуальной машины, злоумышленники эффективно обходили многие традиционные детекции EDR, основанные на анализе активности на хосте. Для обнаружения такого типа угроз системы EDR должны дополняться сетевым мониторингом на уровне хоста для выявления трафика управления, покидающего виртуальную машину, и инструментами проактивного усиления защиты для ограничения первоначального злоупотребления нативными системными бинарниками.

Угрожающая группа продемонстрировала четкую решимость сохранить возможность обратного проксирования, неоднократно внедряя новые инструменты в среду. Обнаруженные артефакты включали широкий спектр образцов прокси и туннелирования, таких как Resocks, Rsockstun, Ligolo-ng, CCProxy, Stunnel и методы на основе SSH. Этот гибкий многоуровневый подход был критически важен для поддержания доступа.

Операция началась в начале июля, когда на двух компьютерах были выполнены удаленные команды для включения функции виртуализации microsoft-hyper-v при одновременном отключении ее интерфейса управления. Спустя несколько дней последовала фаза развертывания. Все команды prefixed с "cmd.exe /C", а весь вывод перенаправлялся во временный файл. Злоумышленники использовали нестандартный шаблон перенаправления, когда команда curl.exe выводилась на экран и передавалась вторичному процессу cmd.exe для выполнения.

Развернутая виртуальная машина представляла собой настроенную под конкретную жертву операционную среду. Запуская безопасно ориентированный, легковесный Alpine Linux, она занимала всего 120 МБ дискового пространства и была настроена на использование только 256 МБ памяти. Основной целью этой минималистичной среды было размещение пользовательских имплантов CurlyShell и CurlCat, обеспечивающих выделенную, изолированную базу для операций обратной оболочки и обратного прокси. Ее минимальный след и небольшой размер снижали риск обнаружения, предоставляя все необходимые злоумышленникам инструменты.

Виртуальная машина была настроена на использование сетевого адаптера Default Switch в Hyper-V. Эта настройка маршрутизирует трафик виртуальной машины через сетевой стек хоста с использованием внутренней службы трансляции сетевых адресов Hyper-V. Фактически, весь вредоносный исходящий трафик выглядит исходящим с легитимного IP-адреса машины хоста.

Виртуальная машина не была упакована крупными наступательными фреймворками или инструментами тестирования на проникновение; вместо этого это был легковесный имплант, разработанный для очень конкретной цели. Среда размещала только два тесно связанных, пользовательских семейства вредоносных программ - CurlyShell (новое вредоносное программное обеспечение) и CurlCat (ранее документированный Bitdefender) - оба построены с использованием библиотеки libcurl, но выполняющие явно различные операционные роли.

CurlyShell обеспечивает постоянную обратную оболочку, в то время как CurlCat управляет туннелированием трафика, предоставляя угрожающей группе надежный сетевой доступ и возможность удаленного выполнения команд. Этот минималистичный подход позволяет избежать оставления тяжелого криминалистического следа.

Во время расследования также было обнаружено, что скрипт PowerShell, разработанный для удаленного выполнения команд, злоупотреблял билетами Kerberos, дополнительно расширяя операционный инструментарий противника. Кроме того, несколько скриптов PowerShell, настроенных через групповую политику, указывали на обманчиво простой, но эффективный механизм персистентности, связанный с созданием локальной учетной записи.

Успешное картирование и детальный анализ канала связи CurlCat стали возможными благодаря оперативному международному сотрудничеству с грузинским национальным CERT. Это сотрудничество демонстрирует критическую ценность совместной работы по обмену информацией об угрозах для нейтрализации сложных операций.

Первоначальное соединение было установлено, когда грузинский CERT связался с нашей командой относительно обнаруженного образца CurlCat, наблюдаемого на системе, которую они мониторили, и который взаимодействовал с скомпрометированным сайтом, который мы также отслеживали. Мы предоставили им первоначальный анализ протокола связи вредоносного программного обеспечения и идентифицировали скомпрометированный грузинский веб-сайт, используемый в качестве очевидного сервера управления.

Криминалистический анализ захваченного, скомпрометированного сервера предоставил следующие сведения о том, как злоумышленники использовали сайт для ретрансляции трафика CurlCat. Атакующие настроили правила iptables для перенаправления трафика на порту 443 от конкретной жертвы на инфраструктуру злоумышленников. Анализ подтвердил находку со стороны вредоносного программного обеспечения: образец CurlCat был настроен с параметрами libcurl, отключающими проверку сертификата TLS. Это позволяло злоумышленникам использовать произвольные сертификаты на скомпрометированном сервере для успешного расшифровки HTTP-трафика и извлечения инкапсулированных SSH-коммуникаций.

Обнаруженные техники демонстрируют растущую изощренность групп кибершпионажа, которые все чаще используют легитимные системные функции для создания скрытых каналов доступа. Защита от таких угроз требует комплексного подхода, сочетающего мониторинг сетевой активности, анализ поведения виртуальных сред и международное сотрудничество в области обмена информацией об угрозах.

IPv4

• 194.87.245.239
• 45.43.91.10
• 91.99.25.54

Domains

• 77.221.137.132.sslip.io
• yohi.cc

MD5

• 1a6803d9a2110f86bb26fcfda3606302
• 22515396e03a5b2533cff96f3087b98f
• c6dbf3de8fd1fc9914fae7a24aa3c43d
• cb1c3d52a74a6ca2ba8fe86e06462a6d