EDR

Группа Curly COMrades внедряет минималистичную Alpine Linux‑ВМ в Hyper‑V на Windows, чтобы прятать свои инструменты CurlyShell и CurlCat от EDR. Такой подход маскирует C2‑трафик под легитимный хост и усложняет расследование, пока защитники не начнут мониторить аномальную активацию Hyper‑V, доступ к LSASS и GPO‑скрипты.

Когда атака уже стучит в сеть, решают три опоры: ясность, контроль и спасательный трос восстановления. Как превратить хаос в управляемый инцидент и вернуться в строй без паники.