Een recent onderzoek van Bitdefender onthult hoe de pro-Russische hackergroep Curly COMrades innovatieve methoden inzet om langdurig onopgemerkt te blijven binnen Windows-omgevingen. De groep, die volgens de onderzoekers opereert in lijn met Russische geopolitieke belangen, gebruikt verborgen Linux-virtuele machines om detectie door traditionele beveiliging te omzeilen.
Het onderzoek, uitgevoerd in samenwerking met het Georgische CERT, bracht aan het licht dat de aanvallers misbruik maken van Hyper-V, de ingebouwde virtualisatietechnologie van Windows 10. Nadat zij toegang hebben gekregen tot een doelwit, activeren ze Hyper-V, maar schakelen de beheertools uit om toezicht door systeembeheerders te voorkomen.
Vervolgens downloaden ze via zorgvuldig gescripte CMD- en PowerShell-opdrachten een klein RAR-archief dat zich voordoet als een videobestand. Dat archief bevat de configuratiebestanden en virtuele schijf van een vooraf ingerichte Alpine Linux-omgeving, die automatisch wordt geïmporteerd en gestart.
Opvallend is dat de aanvallers de virtuele machine de naam WSL geven, wat verwijst naar het Windows Subsystem for Linux. Die naamgeving is bedoeld om argwaan te voorkomen, want WSL is een vertrouwd hulpmiddel voor ontwikkelaars. In werkelijkheid draait de malware echter in een volledig geïsoleerde Hyper-V-omgeving die zich buiten het bereik van de host en de meeste endpoint detection- en responseoplossingen bevindt.
Malware onzichtbaar voor detectiesysteem
Binnen deze miniatuur-Linuxinstallatie, die slechts 120 MB aan schijfruimte en 256 MB geheugen gebruikt, draaien twee kerncomponenten: CurlyShell, een permanente reverse shell, en CurlCat, een tool voor het verbergen van netwerkverkeer. Omdat het verkeer via het IP-adres van de Windows-host loopt, lijkt het voor beveiligingssystemen afkomstig van een legitieme bron. Volgens DarkReading benadrukt Bitdefender dat dit de belangrijkste kracht van de methode is: door activiteiten in een aparte virtuele laag uit te voeren, blijven ze onzichtbaar voor de meeste detectiesystemen.
De onderzoekers ontdekten bovendien dat de aanvallers hun infrastructuur flexibel houden. Naast hun eigen tooling gebruiken ze een reeks bestaande proxy- en tunnelingmethoden, waaronder Ligolo-ng, CCProxy, Stunnel en SSH. De virtuele machine bleek bovendien specifiek aangepast aan het doelwit: bestanden zoals /etc/hosts en /etc/resolv.conf waren geconfigureerd voor communicatie met de command-and-controlservers van de aanvallers.
Verder trof Bitdefender PowerShell-scripts aan die Kerberos-tickets injecteren in het LSASS-proces, wat externe authenticatie mogelijk maakt, en scripts die via Group Policy lokale accounts aanmaken voor blijvende toegang.
Volgens Bitdefender tonen deze bevindingen aan hoe aanvallers legitieme functies gebruiken om detectie te ontwijken, nu EDR-oplossingen steeds geavanceerder worden. Door malware te isoleren binnen een virtuele laag blijft die buiten zicht van traditionele beveiliging. Organisaties wordt aangeraden hun verdediging te verbreden met netwerkgebaseerde inspectie en proactieve hardening, zodat verborgen activiteiten zoals die van Curly COMrades beter kunnen worden opgespoord.