网络间谍活动利用虚拟机软件隐藏恶意工具

HackerNews 11月06日 14:25

网络间谍活动利用虚拟机软件隐藏恶意工具

../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

近期，研究人员揭露了一场利用虚拟机软件隐藏恶意工具的网络间谍活动。攻击者通过滥用Windows内置的Hyper-V功能，在轻量级的Alpine Linux虚拟机内运行定制恶意软件，绕过了传统的安全检测系统。该活动被归因于为俄罗斯利益服务的Curly COMrades组织，该组织此前已被指控针对格鲁吉亚和摩尔多瓦的关键机构发动间谍活动。攻击者偏好使用开源工具，以实现隐蔽性和灵活性。此次事件凸显了网络攻击者不断创新防御规避策略的趋势，尤其是在地缘政治敏感地区。

🕵️‍♀️ **Sophisticated Evasion Tactics:** The cyberespionage campaign cleverly uses virtual machine software, specifically abusing Windows' Hyper-V feature, to hide malicious tools. By operating within a lightweight Alpine Linux VM, attackers create an isolated environment that often evades standard security monitoring focused on the main operating system, demonstrating an innovative approach to bypass common defenses.

💻 **Targeted Malware and Infrastructure:** The attackers deployed custom-made malware, CurlyShell and CurlCat, within the VM. These are described not as broad attack frameworks but as lightweight implants designed for specific purposes, facilitating long-term, covert access and data exfiltration. The investigation, aided by Georgian authorities, led to the seizure of an infected server, providing insights into the attackers' infrastructure.

🌍 **Geopolitical Motivation and Operational Modus Operandi:** The Curly COMrades group is linked to Russian interests and has a history of targeting key institutions in countries undergoing geopolitical changes, such as Georgia and Moldova. Their core objective appears to be sustained network access and the theft of credentials for espionage. The group's reliance on publicly available open-source tools underscores a preference for stealth and flexibility over exploiting novel vulnerabilities.

HackerNews 编译，转载请注明出处：

研究人员发现了一场网络间谍活动，黑客将恶意工具隐藏在广泛使用的虚拟机软件中。这种策略表明，黑客正通过创新手段绕过常见的安全防御系统。

罗马尼亚网络安全公司比特梵德（Bitdefender）在周二的报告中称，该活动自 7 月起持续活跃，幕后威胁行为者为Curly COMrades组织，该组织被认为是为俄罗斯利益服务的。

今年早些时候，该组织被指针对格鲁吉亚的政府及司法机构，以及摩尔多瓦的一家能源公司发动间谍活动。比特梵德在最新报告中未指明此次的受害者，但表示调查是在格鲁吉亚国家计算机应急响应小组（CERT-GE）的协助下开展的。

报告显示，黑客滥用 Windows 内置功能 Hyper-V 维持对受害者网络的长期秘密访问。Hyper-V 允许用户运行虚拟机，这种软件能让一台计算机模拟出多个独立系统的运行效果。

攻击者安装了一个仅占用 120 兆字节磁盘空间的阿尔派 Linux（Alpine Linux）虚拟机。在该虚拟机内部，他们运行了两款定制恶意软件工具 ——CurlyShell 和 CurlCat，用于控制受感染系统并窃取数据。

比特梵德表示：“该虚拟机并未搭载大型攻击框架或渗透测试工具，而是一款轻量化植入程序，专为特定目的设计。”

这种方法让黑客得以绕过常见的威胁检测工具，这类工具通常仅监控 Windows 主操作系统，而非运行于其中的虚拟机。

格鲁吉亚当局随后查封了该活动中使用的一台受感染服务器，为研究人员绘制攻击者的基础设施地图提供了帮助。

比特梵德指出，Curly COMrades 组织至少自 2024 年起开始活跃，其目标通常是 “处于地缘政治变革中的国家的关键机构”，且活动与俄罗斯政府的地缘政治目标一致。该组织的核心诉求似乎是持续获取网络访问权限，并窃取用于间谍活动的凭证信息。

研究人员补充称，黑客严重依赖公开可用的开源工具，这表明他们 “更倾向于隐蔽性、灵活性和最小化检测风险，而非利用新型漏洞”。

格鲁吉亚和摩尔多瓦均为前苏联加盟共和国，仍是俄罗斯网络及信息作战的重点目标。摩尔多瓦近期指控俄罗斯通过网络攻击和协同虚假信息宣传，试图干预其议会选举 —— 此次选举中亲欧洲政党赢得多数席位。

格鲁吉亚也一直是莫斯科混合战术的针对对象，这些战术结合了军事施压、经济限制和宣传攻势，旨在削弱其国家机构，阻碍其民主与经济改革进程。

消息来源：therecord.media；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文

Fish AI Reader

FishAI

联系邮箱 441953276@qq.com

相关标签