Curly COMrade – российская хакерская группа, действующая с 2024 года, использовала Microsoft Hyper-V в Windows для обхода обнаружения, создавая виртуальную машину (ВМ) на базе Alpine Linux для развертывания вредоносного ПО.
ВМ использует всего 120 МБ дискового пространства и 256 МБ памяти, что делает ее менее заметной. После развертывания ВМ вредоносная программа использует обратную оболочку CurlyShell и обратный прокси CurlCat для скрытности и связи.
Изолировав вредоносную программу и среду ее выполнения в рамках ВМ, злоумышленники эффективно обходят многие традиционные обнаружения EDR на базе хоста. EDR необходимо дополнить сетевой инспекцией на базе хоста, чтобы обнаружить трафик C2, выходящий из ВМ, и инструментами проактивного усиления, чтобы ограничить первоначальное использование двоичных файлов родной системы.
- пояснили эксперты по безопасности Bitdefender
В ходе того же расследования Bitdefender обнаружила сценарий powershell, созданный специально для удаленного выполнения, который использовался для злоупотребления билетами Kerberos с целью дальнейшего расширения набора инструментов Curly.
И CurlyShell, и CurlyCat были написаны на языке C и построены на основе библиотеки libcurl.
Что касается мер защиты, Bitdefender предлагает организациям «обнаруживать аномальный доступ к процессу LSASS и подозрительные попытки создания или внедрения билетов Kerberos, которые происходят вне ВМ и хорошо поддаются обнаружению». Далее в отчете предлагается использовать «возможности GravityZone EDR/XDR для обнаружения злонамеренного доступа к процессам, связанным с учетными данными, и для борьбы с атаками на основе памяти». Для организаций с небольшим штатом сотрудников службы безопасности эффективным решением является использование услуг управляемого обнаружения и реагирования (MDR)».