แฮกเกอร์ใช้ Windows Hyper-V สร้าง 'ฐานลับ' ซ่อนมัลแวร์ หลบ EDR ได้อย่างแนบเนียน

กลุ่มผู้คุกคามภัยคุกคามที่มีชื่อว่า Curly COMrades ได้แสดงให้เห็นถึงความซับซ้อนครั้งใหม่ในการโจมตีทางไซเบอร์ ด้วยการใช้วิธีที่คาดไม่ถึงเพื่อหลบเลี่ยงระบบรักษาความปลอดภัยยุคใหม่ ตามรายงานการค้นพบเชิงลึกจากบริษัท Bitdefender

เทคนิคหลักของการโจมตีคือการ เปลี่ยนฟีเจอร์ Windows Hyper-V ซึ่งเป็นเครื่องมือสร้างเครื่องเสมือน (Virtual Machine) บน Windows ให้กลายเป็นอาวุธ (Weaponization) โดยแฮกเกอร์จะเปิดใช้งานฟีเจอร์นี้บนเครื่องเหยื่อ จากนั้นติดตั้งเครื่องเสมือนขนาดเล็กที่ใช้ระบบปฏิบัติการ Alpine Linux ซึ่งมีขนาดเพียง 120MB เท่านั้น

จุดประสงค์ของการสร้าง "สภาพแวดล้อมที่ซ่อนอยู่" นี้คือการเป็นที่ซ่อนสำหรับมัลแวร์หลัก โดยการทำงานทุกอย่างของมัลแวร์จะเกิดขึ้นภายใน VM ที่ถูกแยกขาดออกจากระบบปฏิบัติการหลักของ Windows ซึ่งเป็นกลยุทธ์ที่ทำลายประสิทธิภาพของเครื่องมือรักษาความปลอดภัยที่ติดตั้งบนโฮสต์

นักวิจัยจาก Bitdefender ยืนยันว่า การแยกตัวของมัลแวร์ให้อยู่ภายใน VM เป็นการหลีกเลี่ยงการตรวจจับของโซลูชัน EDR (Endpoint Detection and Response) ส่วนใหญ่ได้อย่างมีประสิทธิภาพ เนื่องจาก EDR ถูกออกแบบมาเพื่อตรวจสอบกิจกรรมของระบบปฏิบัติการหลัก แต่ไม่สามารถ 'มองทะลุ' เลเยอร์เวอร์ชวลไลเซชันเพื่อตรวจสอบกิจกรรมที่เกิดขึ้นภายใน VM ได้

มัลแวร์ที่ถูกนำไปใช้ภายใน VM ประกอบด้วย CurlyShell ซึ่งเป็นรีเวิร์สเชลล์ที่ถูกเขียนด้วย C++ ทำงานอยู่เบื้องหลังเพื่อรับคำสั่งที่เข้ารหัสจากเซิร์ฟเวอร์ควบคุม (C2) และ CurlCat ซึ่งเป็นรีเวิร์สพร็อกซีที่ช่วยให้การสื่อสารและการถ่ายโอนข้อมูลมีความยืดหยุ่นและต่อเนื่อง ทำให้แฮกเกอร์สามารถรักษาช่องทางการเข้าถึงระบบจากระยะไกลได้อย่างถาวร

รายงานระบุว่ากลุ่ม Curly COMrades ซึ่งเชื่อว่ามีความเชื่อมโยงกับผลประโยชน์ของรัสเซีย ได้ปฏิบัติการมาตั้งแต่ปลายปี 2023 โดยมุ่งเป้าไปที่จอร์เจียและมอลโดวา การค้นพบเทคนิค Hyper-V นี้เป็นการตอกย้ำถึงความมุ่งมั่นของผู้โจมตีในการใช้กลยุทธ์ที่ซับซ้อนและไม่เคยมีบันทึกมาก่อน เพื่อสร้างการคงอยู่และหลบเลี่ยงการถูกค้นพบในระบบของเหยื่อ

Ref : https://www.bitdefender.com/en-us/blog/businessinsights/curly-comrades-evasion-persistence-hidden-hyper-v-virtual-machines