VietNetwork.Vn

Kẻ tấn công có tên Curly COMrades đã bị phát hiện lợi dụng công nghệ ảo hóa để vượt qua các giải pháp bảo mật và thực thi phần mềm độc hại tùy chỉnh.

Theo báo cáo mới từ Bitdefender, kẻ tấn công được cho là đã kích hoạt vai trò Hyper-V trên các hệ thống nạn nhân được chọn để triển khai máy ảo tối giản dựa trên Alpine Linux.


"Môi trường ẩn này, với dung lượng nhẹ (chỉ 120MB dung lượng đĩa và 256MB bộ nhớ), là nơi lưu trữ shell đảo ngược tùy chỉnh của họ, CurlyShell, và proxy đảo ngược, CurlCat", nhà nghiên cứu bảo mật Victor Vrabie, cùng với Adrian Schipor và Martin Zugec, cho biết trong một báo cáo kỹ thuật.

Curly COMrades lần đầu tiên được nhà cung cấp an ninh mạng Romania ghi nhận vào tháng 8 năm 2025 liên quan đến một loạt các cuộc tấn công nhắm vào Georgia và Moldova. Nhóm hoạt động này được đánh giá là đã hoạt động từ cuối năm 2023, với các lợi ích liên quan đến Nga.

Những cuộc tấn công này được phát hiện triển khai các công cụ như CurlCat để truyền dữ liệu hai chiều, RuRat để truy cập từ xa liên tục, Mimikatz để thu thập thông tin xác thực và một phần mềm cấy   Đăng nhập để xem liên kết mô-đun có tên là MucorAgent, với các phiên bản đầu tiên có niên đại từ tháng 11 năm 2023.

Trong một phân tích tiếp theo được thực hiện với sự hợp tác của Georgia CERT, các công cụ bổ sung liên quan đến tác nhân đe dọa đã được xác định, cùng với các nỗ lực thiết lập quyền truy cập lâu dài bằng cách sử dụng Hyper-V trên các máy chủ Windows 10 bị xâm phạm để thiết lập môi trường hoạt động từ xa ẩn.


"Bằng cách cô lập phần mềm độc hại và môi trường thực thi của nó trong một máy ảo (VM), kẻ tấn công đã vượt qua hiệu quả nhiều phương pháp phát hiện EDR dựa trên máy chủ truyền thống", các nhà nghiên cứu cho biết. "Tác nhân đe dọa đã thể hiện quyết tâm rõ ràng trong việc duy trì khả năng proxy ngược, liên tục đưa các công cụ mới vào môi trường."

Bên cạnh việc sử dụng Resocks, Rsockstun, Ligolo-ng, CCProxy, Stunnel và các phương pháp dựa trên SSH cho proxy và đường hầm, Curly COMrades đã sử dụng nhiều công cụ khác, bao gồm một tập lệnh PowerShell được thiết kế để thực thi lệnh từ xa và CurlyShell, một tệp nhị phân ELF chưa được ghi chép trước đây được triển khai trong máy ảo cung cấp một shell đảo ngược liên tục.

Được viết bằng C++, phần mềm độc hại này được thực thi như một daemon nền không có giao diện để kết nối với máy chủ chỉ huy và điều khiển (C2) và khởi chạy một shell ngược, cho phép kẻ tấn công chạy các lệnh được mã hóa. Giao tiếp được thực hiện thông qua các yêu cầu HTTP GET để thăm dò máy chủ cho các lệnh mới và sử dụng các yêu cầu HTTP POST để truyền kết quả thực thi lệnh trở lại máy chủ.

"Hai họ phần mềm độc hại tùy chỉnh – CurlyShell và CurlCat – là trung tâm của hoạt động này, chia sẻ một cơ sở mã gần như giống hệt nhau nhưng khác nhau về cách xử lý dữ liệu nhận được: CurlyShell thực thi lệnh trực tiếp, trong khi CurlCat chuyển hướng lưu lượng truy cập qua SSH", Bitdefender cho biết. "Những công cụ này được triển khai và vận hành để đảm bảo khả năng kiểm soát và thích ứng linh hoạt."