研究人员发现了一场网络间谍活动,黑客将恶意工具隐藏在广泛使用的虚拟机软件中。这种策略表明,黑客正通过创新手段绕过常见的安全防御系统。
罗马尼亚网络安全公司比特梵德(Bitdefender)在周二的报告中称,该活动自 7 月起持续活跃,幕后威胁行为者为Curly COMrades组织,该组织被认为是为俄罗斯利益服务的。
今年早些时候,该组织被指针对格鲁吉亚的政府及司法机构,以及摩尔多瓦的一家能源公司发动间谍活动。比特梵德在最新报告中未指明此次的受害者,但表示调查是在格鲁吉亚国家计算机应急响应小组(CERT-GE)的协助下开展的。
报告显示,黑客滥用 Windows 内置功能 Hyper-V 维持对受害者网络的长期秘密访问。Hyper-V 允许用户运行虚拟机,这种软件能让一台计算机模拟出多个独立系统的运行效果。
攻击者安装了一个仅占用 120 兆字节磁盘空间的阿尔派 Linux(Alpine Linux)虚拟机。在该虚拟机内部,他们运行了两款定制恶意软件工具 ——CurlyShell 和 CurlCat,用于控制受感染系统并窃取数据。
比特梵德表示:“该虚拟机并未搭载大型攻击框架或渗透测试工具,而是一款轻量化植入程序,专为特定目的设计。”
这种方法让黑客得以绕过常见的威胁检测工具,这类工具通常仅监控 Windows 主操作系统,而非运行于其中的虚拟机。
格鲁吉亚当局随后查封了该活动中使用的一台受感染服务器,为研究人员绘制攻击者的基础设施地图提供了帮助。
比特梵德指出,Curly COMrades 组织至少自 2024 年起开始活跃,其目标通常是 “处于地缘政治变革中的国家的关键机构”,且活动与俄罗斯政府的地缘政治目标一致。该组织的核心诉求似乎是持续获取网络访问权限,并窃取用于间谍活动的凭证信息。
研究人员补充称,黑客严重依赖公开可用的开源工具,这表明他们 “更倾向于隐蔽性、灵活性和最小化检测风险,而非利用新型漏洞”。
格鲁吉亚和摩尔多瓦均为前苏联加盟共和国,仍是俄罗斯网络及信息作战的重点目标。摩尔多瓦近期指控俄罗斯通过网络攻击和协同虚假信息宣传,试图干预其议会选举 —— 此次选举中亲欧洲政党赢得多数席位。
格鲁吉亚也一直是莫斯科混合战术的针对对象,这些战术结合了军事施压、经济限制和宣传攻势,旨在削弱其国家机构,阻碍其民主与经济改革进程。
消息来源:therecord.media;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容