แฮกเกอร์เหนือชั้น! กลุ่ม Curly COMrades ซ่อนมัลแวร์ใน VM บน Hyper-V หลบ EDR ได้แนบเนียน
เรื่องนี้ต้องเล่าให้ฟัง เพราะมันคือหนึ่งในเทคนิคการโจมตีที่ “ล้ำลึกและแนบเนียน” ที่สุดในปี 2025 เมื่อกลุ่มแฮกเกอร์ระดับรัฐจากรัสเซียที่รู้จักกันในชื่อ “Curly COMrades” ได้ใช้เทคโนโลยี Hyper-V ของ Microsoft เพื่อซ่อนมัลแวร์ไว้ในเครื่องเสมือน (VM) ที่ตรวจจับแทบไม่ได้ด้วยเครื่องมือ EDR (Endpoint Detection and Response) ทั่วไป
แฮกเกอร์กลุ่มนี้เริ่มปฏิบัติการตั้งแต่เดือนกรกฎาคม 2025 โดยมุ่งเป้าไปที่องค์กรในยุโรปตะวันออกและแถบคอเคซัส พวกเขาใช้เทคนิคเปิดใช้งาน Hyper-V บนเครื่อง Windows 10 ที่ถูกเจาะ แล้วติดตั้ง Alpine Linux VM ขนาดเล็กเพียง 120MB ซึ่งภายในมีมัลแวร์ 2 ตัวคือ CurlyShell และ CurlCat
VM นี้ถูกตั้งชื่อหลอกว่า “WSL” เพื่อให้ดูเหมือน Windows Subsystem for Linux ทั้งที่จริงแล้วเป็น Hyper-V VM แยกต่างหากอย่างสมบูรณ์
CurlyShell ทำหน้าที่เป็น reverse shell ที่เชื่อมต่อกับเซิร์ฟเวอร์ของแฮกเกอร์ผ่าน HTTPS ส่วน CurlCat ทำหน้าที่เป็น reverse proxy โดยใช้ SSH over HTTP เพื่อส่งข้อมูลแบบเข้ารหัสกลับไปยังผู้ควบคุม
นอกจากนี้ยังมีการใช้ PowerShell script ขั้นสูง เช่น kb_upd.ps1 ที่สามารถ inject Kerberos ticket เข้าไปใน LSASS เพื่อเข้าถึงระบบอื่นในเครือข่าย และ screensaver.ps1 ที่สามารถสร้างหรือรีเซ็ตรหัสผ่านของบัญชีผู้ใช้ในเครื่องได้โดยอัตโนมัติ
สาระเพิ่มเติมจากภายนอก
การใช้ VM ซ่อนมัลแวร์เป็นแนวทางใหม่ที่เรียกว่า “Virtualization-based Evasion” ซึ่งยากต่อการตรวจจับเพราะ VM ทำงานแยกจากระบบหลัก
การตั้งชื่อ VM ว่า “WSL” เป็นการใช้เทคนิค deception เพื่อหลอกผู้ดูแลระบบให้เข้าใจผิดว่าเป็นระบบปกติ
การใช้ libcurl และ Base64 แบบดัดแปลงช่วยให้การสื่อสารของมัลแวร์ไม่ถูกตรวจจับโดยระบบวิเคราะห์ทราฟฟิกทั่วไป
การใช้ PowerShell และ Kerberos ticket injection เป็นเทคนิคที่นิยมในกลุ่มแฮกเกอร์ระดับสูง เพราะสามารถควบคุมระบบได้โดยไม่ต้องใช้รหัสผ่านจริง
เทคนิคการโจมตีของ Curly COMrades
ใช้ Hyper-V สร้าง VM ซ่อนมัลแวร์
ติดตั้ง Alpine Linux VM ขนาดเล็กเพียง 120MB
ใช้ชื่อ VM ว่า “WSL” เพื่อหลอกผู้ดูแลระบบ
ใช้ CurlyShell และ CurlCat สำหรับควบคุมและส่งข้อมูล
ใช้ PowerShell script เพื่อคงอยู่ในระบบและเคลื่อนไหวภายในเครือข่าย
จุดเด่นของมัลแวร์
CurlyShell: reverse shell ที่สื่อสารผ่าน HTTPS
CurlCat: reverse proxy ที่ใช้ SSH over HTTP
เขียนด้วย C++ และใช้ libcurl
ใช้ Base64 แบบดัดแปลงเพื่อหลบการตรวจจับ
มีการจัดการสิทธิ์และบัญชีผู้ใช้ในเครื่องอย่างแนบเนียน
การค้นพบและวิเคราะห์
Bitdefender ร่วมมือกับ CERT ของจอร์เจีย
พบการใช้ iptables filter เฉพาะเหยื่อ
ใช้ fake TLS certificate เพื่อพรางตัว
ใช้เว็บเซิร์ฟเวอร์เป็น proxy สำหรับ C2
คำเตือนสำหรับผู้ดูแลระบบองค์กร
อย่ามองข้าม VM ที่ดูเหมือนไม่มีพิษภัย เช่น “WSL”
ควรตรวจสอบการเปิดใช้งาน Hyper-V บนเครื่องผู้ใช้
ตรวจสอบ PowerShell script ที่รันอัตโนมัติในระบบ
ใช้ EDR ที่สามารถตรวจจับพฤติกรรม VM และการใช้ PowerShell ขั้นสูง
แยกสิทธิ์ผู้ใช้และจำกัดการเข้าถึง Hyper-V เฉพาะผู้ที่จำเป็น
นี่ไม่ใช่แค่มัลแวร์ธรรมดา แต่มันคือ “การซ่อนตัวในโลกเสมือน” ที่ทำให้แฮกเกอร์สามารถอยู่ในระบบของคุณได้นานโดยไม่มีใครรู้ตัว… และนั่นคือสิ่งที่น่ากลัวที่สุด.
https://securityonline.info/curly-comrades-apt-bypasses-edr-by-hiding-linux-backdoor-inside-covert-hyper-v-vm/
เรื่องนี้ต้องเล่าให้ฟัง เพราะมันคือหนึ่งในเทคนิคการโจมตีที่ “ล้ำลึกและแนบเนียน” ที่สุดในปี 2025 เมื่อกลุ่มแฮกเกอร์ระดับรัฐจากรัสเซียที่รู้จักกันในชื่อ “Curly COMrades” ได้ใช้เทคโนโลยี Hyper-V ของ Microsoft เพื่อซ่อนมัลแวร์ไว้ในเครื่องเสมือน (VM) ที่ตรวจจับแทบไม่ได้ด้วยเครื่องมือ EDR (Endpoint Detection and Response) ทั่วไป
แฮกเกอร์กลุ่มนี้เริ่มปฏิบัติการตั้งแต่เดือนกรกฎาคม 2025 โดยมุ่งเป้าไปที่องค์กรในยุโรปตะวันออกและแถบคอเคซัส พวกเขาใช้เทคนิคเปิดใช้งาน Hyper-V บนเครื่อง Windows 10 ที่ถูกเจาะ แล้วติดตั้ง Alpine Linux VM ขนาดเล็กเพียง 120MB ซึ่งภายในมีมัลแวร์ 2 ตัวคือ CurlyShell และ CurlCat
VM นี้ถูกตั้งชื่อหลอกว่า “WSL” เพื่อให้ดูเหมือน Windows Subsystem for Linux ทั้งที่จริงแล้วเป็น Hyper-V VM แยกต่างหากอย่างสมบูรณ์
CurlyShell ทำหน้าที่เป็น reverse shell ที่เชื่อมต่อกับเซิร์ฟเวอร์ของแฮกเกอร์ผ่าน HTTPS ส่วน CurlCat ทำหน้าที่เป็น reverse proxy โดยใช้ SSH over HTTP เพื่อส่งข้อมูลแบบเข้ารหัสกลับไปยังผู้ควบคุม
นอกจากนี้ยังมีการใช้ PowerShell script ขั้นสูง เช่น kb_upd.ps1 ที่สามารถ inject Kerberos ticket เข้าไปใน LSASS เพื่อเข้าถึงระบบอื่นในเครือข่าย และ screensaver.ps1 ที่สามารถสร้างหรือรีเซ็ตรหัสผ่านของบัญชีผู้ใช้ในเครื่องได้โดยอัตโนมัติ
สาระเพิ่มเติมจากภายนอก
การใช้ VM ซ่อนมัลแวร์เป็นแนวทางใหม่ที่เรียกว่า “Virtualization-based Evasion” ซึ่งยากต่อการตรวจจับเพราะ VM ทำงานแยกจากระบบหลัก
การตั้งชื่อ VM ว่า “WSL” เป็นการใช้เทคนิค deception เพื่อหลอกผู้ดูแลระบบให้เข้าใจผิดว่าเป็นระบบปกติ
การใช้ libcurl และ Base64 แบบดัดแปลงช่วยให้การสื่อสารของมัลแวร์ไม่ถูกตรวจจับโดยระบบวิเคราะห์ทราฟฟิกทั่วไป
การใช้ PowerShell และ Kerberos ticket injection เป็นเทคนิคที่นิยมในกลุ่มแฮกเกอร์ระดับสูง เพราะสามารถควบคุมระบบได้โดยไม่ต้องใช้รหัสผ่านจริง
เทคนิคการโจมตีของ Curly COMrades
ใช้ Hyper-V สร้าง VM ซ่อนมัลแวร์
ติดตั้ง Alpine Linux VM ขนาดเล็กเพียง 120MB
ใช้ชื่อ VM ว่า “WSL” เพื่อหลอกผู้ดูแลระบบ
ใช้ CurlyShell และ CurlCat สำหรับควบคุมและส่งข้อมูล
ใช้ PowerShell script เพื่อคงอยู่ในระบบและเคลื่อนไหวภายในเครือข่าย
จุดเด่นของมัลแวร์
CurlyShell: reverse shell ที่สื่อสารผ่าน HTTPS
CurlCat: reverse proxy ที่ใช้ SSH over HTTP
เขียนด้วย C++ และใช้ libcurl
ใช้ Base64 แบบดัดแปลงเพื่อหลบการตรวจจับ
มีการจัดการสิทธิ์และบัญชีผู้ใช้ในเครื่องอย่างแนบเนียน
การค้นพบและวิเคราะห์
Bitdefender ร่วมมือกับ CERT ของจอร์เจีย
พบการใช้ iptables filter เฉพาะเหยื่อ
ใช้ fake TLS certificate เพื่อพรางตัว
ใช้เว็บเซิร์ฟเวอร์เป็น proxy สำหรับ C2
คำเตือนสำหรับผู้ดูแลระบบองค์กร
อย่ามองข้าม VM ที่ดูเหมือนไม่มีพิษภัย เช่น “WSL”
ควรตรวจสอบการเปิดใช้งาน Hyper-V บนเครื่องผู้ใช้
ตรวจสอบ PowerShell script ที่รันอัตโนมัติในระบบ
ใช้ EDR ที่สามารถตรวจจับพฤติกรรม VM และการใช้ PowerShell ขั้นสูง
แยกสิทธิ์ผู้ใช้และจำกัดการเข้าถึง Hyper-V เฉพาะผู้ที่จำเป็น
นี่ไม่ใช่แค่มัลแวร์ธรรมดา แต่มันคือ “การซ่อนตัวในโลกเสมือน” ที่ทำให้แฮกเกอร์สามารถอยู่ในระบบของคุณได้นานโดยไม่มีใครรู้ตัว… และนั่นคือสิ่งที่น่ากลัวที่สุด.
https://securityonline.info/curly-comrades-apt-bypasses-edr-by-hiding-linux-backdoor-inside-covert-hyper-v-vm/
🧠 แฮกเกอร์เหนือชั้น! กลุ่ม Curly COMrades ซ่อนมัลแวร์ใน VM บน Hyper-V หลบ EDR ได้แนบเนียน
เรื่องนี้ต้องเล่าให้ฟัง เพราะมันคือหนึ่งในเทคนิคการโจมตีที่ “ล้ำลึกและแนบเนียน” ที่สุดในปี 2025 เมื่อกลุ่มแฮกเกอร์ระดับรัฐจากรัสเซียที่รู้จักกันในชื่อ “Curly COMrades” ได้ใช้เทคโนโลยี Hyper-V ของ Microsoft เพื่อซ่อนมัลแวร์ไว้ในเครื่องเสมือน (VM) ที่ตรวจจับแทบไม่ได้ด้วยเครื่องมือ EDR (Endpoint Detection and Response) ทั่วไป
แฮกเกอร์กลุ่มนี้เริ่มปฏิบัติการตั้งแต่เดือนกรกฎาคม 2025 โดยมุ่งเป้าไปที่องค์กรในยุโรปตะวันออกและแถบคอเคซัส พวกเขาใช้เทคนิคเปิดใช้งาน Hyper-V บนเครื่อง Windows 10 ที่ถูกเจาะ แล้วติดตั้ง Alpine Linux VM ขนาดเล็กเพียง 120MB ซึ่งภายในมีมัลแวร์ 2 ตัวคือ CurlyShell และ CurlCat
VM นี้ถูกตั้งชื่อหลอกว่า “WSL” เพื่อให้ดูเหมือน Windows Subsystem for Linux ทั้งที่จริงแล้วเป็น Hyper-V VM แยกต่างหากอย่างสมบูรณ์
CurlyShell ทำหน้าที่เป็น reverse shell ที่เชื่อมต่อกับเซิร์ฟเวอร์ของแฮกเกอร์ผ่าน HTTPS ส่วน CurlCat ทำหน้าที่เป็น reverse proxy โดยใช้ SSH over HTTP เพื่อส่งข้อมูลแบบเข้ารหัสกลับไปยังผู้ควบคุม
นอกจากนี้ยังมีการใช้ PowerShell script ขั้นสูง เช่น kb_upd.ps1 ที่สามารถ inject Kerberos ticket เข้าไปใน LSASS เพื่อเข้าถึงระบบอื่นในเครือข่าย และ screensaver.ps1 ที่สามารถสร้างหรือรีเซ็ตรหัสผ่านของบัญชีผู้ใช้ในเครื่องได้โดยอัตโนมัติ
📚 สาระเพิ่มเติมจากภายนอก
🎗️ การใช้ VM ซ่อนมัลแวร์เป็นแนวทางใหม่ที่เรียกว่า “Virtualization-based Evasion” ซึ่งยากต่อการตรวจจับเพราะ VM ทำงานแยกจากระบบหลัก
🎗️ การตั้งชื่อ VM ว่า “WSL” เป็นการใช้เทคนิค deception เพื่อหลอกผู้ดูแลระบบให้เข้าใจผิดว่าเป็นระบบปกติ
🎗️ การใช้ libcurl และ Base64 แบบดัดแปลงช่วยให้การสื่อสารของมัลแวร์ไม่ถูกตรวจจับโดยระบบวิเคราะห์ทราฟฟิกทั่วไป
🎗️ การใช้ PowerShell และ Kerberos ticket injection เป็นเทคนิคที่นิยมในกลุ่มแฮกเกอร์ระดับสูง เพราะสามารถควบคุมระบบได้โดยไม่ต้องใช้รหัสผ่านจริง
✅ เทคนิคการโจมตีของ Curly COMrades
➡️ ใช้ Hyper-V สร้าง VM ซ่อนมัลแวร์
➡️ ติดตั้ง Alpine Linux VM ขนาดเล็กเพียง 120MB
➡️ ใช้ชื่อ VM ว่า “WSL” เพื่อหลอกผู้ดูแลระบบ
➡️ ใช้ CurlyShell และ CurlCat สำหรับควบคุมและส่งข้อมูล
➡️ ใช้ PowerShell script เพื่อคงอยู่ในระบบและเคลื่อนไหวภายในเครือข่าย
✅ จุดเด่นของมัลแวร์
➡️ CurlyShell: reverse shell ที่สื่อสารผ่าน HTTPS
➡️ CurlCat: reverse proxy ที่ใช้ SSH over HTTP
➡️ เขียนด้วย C++ และใช้ libcurl
➡️ ใช้ Base64 แบบดัดแปลงเพื่อหลบการตรวจจับ
➡️ มีการจัดการสิทธิ์และบัญชีผู้ใช้ในเครื่องอย่างแนบเนียน
✅ การค้นพบและวิเคราะห์
➡️ Bitdefender ร่วมมือกับ CERT ของจอร์เจีย
➡️ พบการใช้ iptables filter เฉพาะเหยื่อ
➡️ ใช้ fake TLS certificate เพื่อพรางตัว
➡️ ใช้เว็บเซิร์ฟเวอร์เป็น proxy สำหรับ C2
‼️ คำเตือนสำหรับผู้ดูแลระบบองค์กร
⛔ อย่ามองข้าม VM ที่ดูเหมือนไม่มีพิษภัย เช่น “WSL”
⛔ ควรตรวจสอบการเปิดใช้งาน Hyper-V บนเครื่องผู้ใช้
⛔ ตรวจสอบ PowerShell script ที่รันอัตโนมัติในระบบ
⛔ ใช้ EDR ที่สามารถตรวจจับพฤติกรรม VM และการใช้ PowerShell ขั้นสูง
⛔ แยกสิทธิ์ผู้ใช้และจำกัดการเข้าถึง Hyper-V เฉพาะผู้ที่จำเป็น
นี่ไม่ใช่แค่มัลแวร์ธรรมดา แต่มันคือ “การซ่อนตัวในโลกเสมือน” ที่ทำให้แฮกเกอร์สามารถอยู่ในระบบของคุณได้นานโดยไม่มีใครรู้ตัว… และนั่นคือสิ่งที่น่ากลัวที่สุด.
https://securityonline.info/curly-comrades-apt-bypasses-edr-by-hiding-linux-backdoor-inside-covert-hyper-v-vm/
0 Comments
0 Shares
20 Views
0 Reviews
Thai