Curly COMrades olarak bilinen gelişmiş bir tehdit aktörü, kurban ağlarına gizli, uzun vadeli erişim sağlamak için meşru Windows sanallaştırma özelliklerinden yararlanan yenilikçi bir saldırı metodolojisi kullandı.
Temmuz 2025’in başlarında başlayan kampanya, tehdit aktörlerinin standart savunma araçları haline gelen uç nokta tespit ve müdahale çözümlerini giderek daha fazla aşmaya yönelik yöntemler aradığından, düşman taktiklerinde önemli bir evrimi temsil ediyor.
Operasyon, güvenliği ihlal edilmiş Windows 10 makinelerinde Hyper-V sanallaştırma teknolojisinin kötüye kullanılmasına odaklanıyor.
Saldırganlar, Hyper-V rolünü etkinleştirerek ve minimalist bir Alpine Linux tabanlı sanal makineyi dağıtarak, geleneksel ana bilgisayar tabanlı güvenlik izlemesinden kaçarken özel kötü amaçlı yazılımları barındıran gizli bir operasyonel ortam yarattı.
Yalnızca 120 MB disk alanı ve 256 MB bellek gerektiren sanal makine, iki özel implantı çalıştırmak için özel bir platform sağlar: Kalıcı bir ters kabuk olan CurlyShell ve bir ters proxy aracı olan CurlCat.
Bitdefender araştırmacıları, bu gelişmiş kampanyayı, izlenen, güvenliği ihlal edilmiş bir siteyle iletişim kuran kötü amaçlı bir örnek tespit eden Georgian CERT ile işbirliği yaparak tespit etti.
Ortak soruşturma, ilk olarak Ağustos 2025’te Rusya’nın jeopolitik odaklardaki çıkarlarını destekleyen bir tehdit aktörü olarak belgelenen Curly COMrades’in araç setini ve operasyonel karmaşıklığını önemli ölçüde geliştirdiğini ortaya çıkardı.
Adli analiz, saldırganların, kötü amaçlı trafiği ana bilgisayarın ağ yığını üzerinden yönlendirerek birçok geleneksel güvenlik algılamasını atlayarak, kötü amaçlı yazılım yürütme ortamlarını bir sanal makine içinde etkili bir şekilde izole ettiğini ve bu trafiğin meşru IP adreslerinden geliyormuş gibi görünmesini sağladığını ortaya çıkardı.
Saldırı, titiz bir operasyonel planlama ve teknik uzmanlığın göstergesidir. Tehdit aktörleri, yerel hesap oluşturmak için Grup İlkesi aracılığıyla yapılandırılan PowerShell komut dosyaları ve yanal hareket için Kerberos bilet manipülasyonu da dahil olmak üzere birden fazla mekanizma aracılığıyla kalıcılık sağladı.
.webp)
Resocks, Rsockstun, Ligolo-ng, CCProxy ve Stunnel gibi çeşitli proxy ve tünel araçlarının konuşlandırılması, grubun tehlikeye atılmış ortamlara esnek erişim kanallarını sürdürme kararlılığını da gösteriyor.
Sanal Makine Dağıtımı ve Kalıcılık Mekanizması
Dağıtım sırası, Hyper-V sanallaştırma özelliğinin etkinleştirilmesi ve görünürlüğü azaltmak için yönetim arayüzünün kasıtlı olarak devre dışı bırakılmasıyla başlar. Saldırganlar aşağıdaki komutları uzaktan yürüttü:
dism /online /disable-feature /FeatureName:microsoft-hyper-v-Management-clients /norestart
dism /online /enable-feature /All /LimitAccess /FeatureName:microsoft-hyper-v /norestartKısa bir aradan sonra tehdit aktörleri yük dağıtım aşamasını başlattı. Video dosyası olarak gizlenen bir RAR arşivi indirildi ve yasal Microsoft uygulama sanallaştırma dosyalarıyla harmanlanmak üzere tasarlanmış bir konum olan aldatıcı ‘c:\programdata\microsoft\AppV\app’ dizinine çıkarıldı. Sanal makine dosyaları daha sonra PowerShell kullanılarak içe aktarıldı:
powershell.exe -c import-vm -path "c:\\programdata\\microsoft\\AppV\\app\\Virtual Machines\\1DBCC80B-5803-4AF1-8772-712C688F408A.vmcx" -Copy -GenerateNewId
powershell.exe -c Start-VM -name WSLVM adlandırma kuralı “WSL”, genellikle daha az güvenlik incelemesine maruz kalan, yaygın olarak güvenilen bir geliştirici aracı olan Linux için Windows Alt Sisteminin kullanılmasını önererek bir aldatma taktiği olarak hizmet vermektedir. Ancak bu, standart WSL çerçevesinin dışında çalışan, tamamen yalıtılmış bir Hyper-V örneğidir.
Sanal makinedeki kalıcılık, her dört saatte bir, saatten 20 dakika sonra yürütülen, kök düzeyinde bir crontab girişi aracılığıyla çalışır.
Cron görevi `/bin/alpine_init` komutunu çalıştırır ve bu daha sonra `/bin/init_tools` konumunda bulunan CurlyShell implantını başlatır.
Bu özel ters kabuk, komut ve kontrol altyapısıyla HTTPS iletişimini korurken CurlCat, talep üzerine SSH ters proxy tünellemeyi yönetir.
VM yapılandırması, Ağ Adresi Çevirisi ile Hyper-V’nin Varsayılan Anahtar ağ bağdaştırıcısını kullanarak, tüm kötü amaçlı giden trafiğin ele geçirilen ana makinenin meşru IP adresinden kaynaklanıyormuş gibi görünmesini sağlayarak, ilişkilendirme ve tespit çalışmalarını önemli ölçüde karmaşık hale getirir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
