Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Russian hackers abuse Hyper-V to hide malware in Linux VMs

2 minute de lecture

Mis à jour :

Cyber espions russes détournent Hyper-V pour dissimuler leurs malwares

Un groupe de cyber espionnage russe, surnommé Curly COMrades, utilise la technologie de virtualisation Hyper-V de Microsoft pour exécuter des malwares de manière furtive sur les systèmes Windows. Ils déploient une machine virtuelle Alpine Linux légère (environ 120 Mo) au sein d’Hyper-V, nommée “WSL” pour imiter le Sous-système Windows pour Linux, afin de cacher leurs outils malveillants.

Cette approche permet de contourner les solutions de détection et de réponse sur endpoint (EDR) qui n’inspectent pas le trafic réseau sortant de la machine virtuelle. Le trafic de commande et contrôle (C2) semble ainsi provenir de l’adresse IP légitime de la machine hôte.

Les outils utilisés dans cette VM sont des binaires ELF nommés CurlyShell (un reverse shell) et CurlCat (un proxy inverse). CurlyShell maintient une persistance via un cron job et communique en HTTPS, tandis que CurlCat permet de tunnéliser le trafic, y compris le trafic SSH, en l’encapsulant dans des requêtes HTTPS pour se fondre dans le bruit du réseau.

Au-delà de la virtualisation, Curly COMrades utilise également des scripts PowerShell pour la persistance et le déplacement latéral. Un script injecte un ticket Kerberos dans LSASS pour l’authentification et l’exécution de commandes à distance, tandis qu’un autre script est déployé via la stratégie de groupe (Group Policy) pour créer des comptes locaux sur plusieurs machines du même domaine.

Points Clés:

  • Technique d’évasion: Utilisation de machines virtuelles (VMs) pour dissimuler les activités malveillantes.
  • Outil d’exploitation: Abus de la fonctionnalité Hyper-V de Windows.
  • Malwares personnalisés: CurlyShell (reverse shell) et CurlCat (reverse proxy).
  • Système d’exploitation invité: Alpine Linux, choisi pour sa légèreté.
  • Méthodes de persistance: Cron jobs, injection de tickets Kerberos dans LSASS, stratégies de groupe.
  • Objectif: Contourner les défenses EDR et maintenir une opération furtive.

Vulnérabilités:

L’article ne mentionne pas de CVE spécifiques. La vulnérabilité réside dans la mauvaise configuration ou l’absence de surveillance des fonctionnalités de virtualisation et des scripts d’administration sur les systèmes ciblés, permettant aux attaquants d’activer et d’utiliser Hyper-V pour leurs opérations.

Recommandations:

  • Surveiller l’activation anormale de la fonctionnalité Hyper-V sur les systèmes.
  • Surveiller les accès à LSASS, qui pourraient indiquer des tentatives d’injection de tickets Kerberos.
  • Surveiller les scripts PowerShell déployés via la stratégie de groupe, en particulier ceux qui réinitialisent ou créent de nouveaux comptes locaux.
  • Mettre en œuvre une protection multicouche et holistique qui inclut l’inspection du trafic réseau à différents niveaux.

Source

Vous pourriez aimer