Виртуальная тень: как Curly COMrades прячут малварь в Linux‑ВМ на Hyper‑V

Представьте: вы выключили ноутбук, а там тем временем завелась ещё одна «маленькая вселенная» — и это не про забытые вкладки, а про виртуалку. Как говорится, если вы не видите проблему, возможно, она просто ускакала в Hyper‑V.

По данным Bitdefender и CERT‑GE, группа Curly COMrades (активна с середины 2024 года) освоила весьма изящный трюк: включить роль Hyper‑V на выбранной машине Windows и накатить там крошечную Alpine Linux‑ВМ. В ней живут два кастомных инструмента — обратная шеллка CurlyShell и прокси CurlCat. ВМ маскируют под «WSL», чтобы не привлекать внимания, и подключают к Default Switch: весь сетевой шум идёт через стек хоста, а значит, внешне трафик выглядит как обычная активность легитимной машины.

Эффект прост и коварен: многие EDR, работающие на хосте, не видят, что происходит внутри гостя. Команды к C2, HTTPS‑туннели, сетевой пивот — всё это аккуратно прячется в «квартире» ВМ. CurlyShell держит устойчивость через cron и связывается по HTTPS, а CurlCat по запросу заворачивает SSH в HTTPS, образуя скрытый SOCKS‑прокси. Минималистичный Alpine весит около 120 МБ и довольствуется 256 МБ памяти — маленький, да удаленький.

На стороне хоста злоумышленники усиливают позиции PowerShell‑магией: один скрипт внедряет Kerberos‑билеты в LSASS для бесшовной аутентификации и удалённого выполнения, другой — через Group Policy — штампует локальные учётки по домену. Полезные нагрузки шифруются, артефактов минимум — форензика потеет.

Что делать защитникам?

• Мониторить внезапную активацию Hyper‑V на рабочих станциях и серверах, особенно если в инвентаре её «не было».
• Обращать внимание на странные «WSL»-ВМ, сетевые адаптеры Default Switch и незапланированные виртуальные коммутаторы.
• Ловить попытки доступа к LSASS и любые PowerShell‑скрипты, приходящие через GPO, создающие/сбрасывающие локальные пароли.
• Дополнять EDR сетевой телеметрией с уровня гипервизора и межсегментным контролем, чтобы видеть трафик гостевых ВМ.

В этом спектакле главная роль у незаметности. Если у вас на сцене внезапно появилась тень — проверьте, не театр ли это одного маленького Alpine‑актёра в Hyper‑V.