黑客利用 Windows Hyper-V 隐藏 Linux 虚拟机，规避 EDR 检测

名为Curly COMrades的威胁行为者被发现利用虚拟化技术绕过安全解决方案，执行定制恶意软件。

根据Bitdefender的最新报告，该威胁行为者会在选定的受害者系统上启用 Hyper-V 角色，部署一个精简版的阿尔派 Linux（Alpine Linux）虚拟机。

安全研究员在技术报告中表示：“这个隐藏环境占用资源极少，仅需 120MB 磁盘空间和 256MB 内存，托管着他们的定制反向 Shell 工具 CurlyShell，以及反向代理工具 CurlCat。”

这家罗马尼亚网络安全厂商于 2025 年 8 月首次记录到Curly COMrades的相关活动，其一系列攻击针对格鲁吉亚和摩尔多瓦。该活动集群被评估为自 2023 年底起持续活跃，其行动目标与俄罗斯的利益一致。

这些攻击会部署多种工具，包括用于双向数据传输的 CurlCat、用于持久远程访问的 RuRat、用于凭证窃取的 Mimikatz，以及一个名为 MucorAgent 的模块化.NET 植入程序，其早期版本可追溯至 2023 年 11 月。

在与格鲁吉亚计算机应急响应小组合作开展的后续分析中，研究人员发现了该威胁行为者使用的更多工具，同时发现他们试图通过在受感染的 Windows 10 主机上利用 Hyper-V 建立隐藏远程操作环境，以实现长期访问。

研究人员称：“通过将恶意软件及其执行环境隔离在虚拟机内，攻击者有效绕过了许多传统的主机端 EDR检测。该威胁行为者展现出维持反向代理能力的明确意图，不断向环境中引入新工具。”

除了使用 Resocks、Rsockstun、Ligolo-ng、CCProxy、Stunnel 和基于 SSH 的代理与隧道技术外，Curly COMrades还采用了其他多种工具，包括一个用于远程命令执行的 PowerShell 脚本，以及此前未被记录的 ELF 二进制文件 CurlyShell—— 该工具部署在虚拟机中，可提供持久反向 Shell。

这款恶意软件由 C++ 编写，以无头后台守护进程的形式执行，用于连接命令与控制（C2）服务器并启动反向 Shell，使威胁行为者能够运行加密命令。通信通过 HTTP GET 请求向服务器查询新命令，并通过 HTTP POST 请求将命令执行结果回传至服务器实现。

比特梵德表示：“两款定制恶意软件家族 ——CurlyShell 和 CurlCat 是此次活动的核心，它们共享大部分相同的代码库，但在接收数据的处理方式上存在差异：CurlyShell 直接执行命令，而 CurlCat 通过 SSH 转发流量。这些工具的部署与运行旨在确保灵活的控制能力和适应性。”

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；