【安全资讯】俄罗斯黑客滥用Hyper-V在Linux虚拟机中隐藏恶意软件

概要：

近期，俄罗斯黑客组织Curly COMrades利用微软Hyper-V虚拟化技术，在受感染主机上创建隐藏的Alpine Linux虚拟机来运行恶意软件，成功绕过终端检测与响应(EDR)解决方案。这一新型攻击手法凸显了虚拟化环境在网络安全防御中的盲点，对政府、司法及能源等关键基础设施构成严重威胁。

主要内容：

Curly COMrades组织通过启用Windows系统的Hyper-V功能，部署了一个仅占用120MB磁盘空间和256MB内存的轻量级Alpine Linux虚拟机。在这个隐蔽环境中，黑客运行其自定义工具CurlyShell反向shell和CurlCat反向代理，实现了操作隐蔽性和通信能力。

攻击者将虚拟机命名为“WSL”，伪装成Windows子系统Linux功能，并使用Default Switch网络适配器配置，使所有恶意出站通信都显示为来自合法主机的IP地址。这种设计使得传统基于主机的EDR检测无法识别来自虚拟机的命令与控制(C2)流量。

研究人员还发现该组织使用两个PowerShell脚本维持持久性和横向移动：一个通过向LSASS注入Kerberos票证实现远程系统认证，另一个通过组策略功能在域内机器上创建本地账户。这些技术手段结合嵌入式载荷加密，在受感染主机上留下了极少的取证痕迹。

Bitdefender建议组织监控异常的Hyper-V激活、LSASS访问以及通过组策略部署的PowerShell脚本，特别是触发本地账户密码重置或创建新账户的行为，以防范此类高级持续性威胁。