СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
05.11.2025
#ИБ#Инфра

«Русские хакеры» Curly COMrades используют Hyper‑V для сокрытия вредоносной активности в виртуальной среде Linux

171Русские хакеры187 Curly COMrades используют HyperV для сокрытия вредоносной активности в виртуальной среде Linux

Изображение: recraft

Эксперты по киберугрозам из Bitdefender сообщили о новой тактике, применяемой хакерской группой Curly COMrades, связанной с кибершпионажем. В ходе недавнего расследования было установлено, что злоумышленники используют виртуализацию на платформе Microsoft Hyper‑V для запуска вредоносного кода в малозаметной виртуальной машине на базе Alpine Linux, тем самым обходя стандартные механизмы защиты конечных точек.

Деятельность Curly COMrades отслеживается с середины 2024 года. Исследователи связывают её с российскими интересами в ряде постсоветских государств. Ранее в отчётах Bitdefender указывалось на атаки против органов власти и энергетических предприятий в Грузии и Молдове. Последняя операция, по данным аналитиков, была раскрыта при поддержке грузинского национального центра реагирования CERT.

В начале июля хакеры получили удалённый доступ к двум системам и активировали на них компоненты Hyper‑V, отключив при этом стандартный интерфейс управления. Это дало возможность скрытно развернуть виртуальную машину, конфигурация которой была минималистичной — всего 120 МБ на диске и 256 МБ оперативной памяти. Несмотря на ограниченные ресурсы, внутри этой среды размещались специализированные инструменты злоумышленников: обратная оболочка CurlyShell и прокси‑сервис CurlCat, обеспечивавшие связь с командным сервером и контроль над заражённой инфраструктурой.

В Bitdefender указали, что Curly COMrades использовали наименование виртуальной машины «WSL» — сокращение, обычно ассоциирующееся с подсистемой Windows для Linux. Такой выбор должен был отвлечь внимание администраторов и не вызывать подозрений при беглом просмотре процессов.

Виртуализация выполнялась с использованием сетевого адаптера Default Switch, встроенного в Hyper‑V. Через него весь исходящий трафик вредоносных программ маскировался под обычный сетевой обмен с IP‑адреса основной системы. Это позволяло Curly COMrades ускользнуть от обнаружения средствами защиты, ориентированными на активность внутри хоста.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: