Le groupe Curly COMrades récemment documenté contourne les solutions EDR traditionnelles basées sur l’hôte en faisant tourner des machines virtuelles avec des noms trompeurs à l’aide du propre hyperviseur nu de Windows.
Les groupes de cyberespionnage sont toujours à la recherche de nouveaux moyens d’établir un accès secret et persistant à long terme aux systèmes compromis. Le dernier exemple vient d’un groupe russe APT connu sous le nom de Curly COMrades, qui déploie des machines virtuelles basées sur Linux sur des machines Windows 10 compromises pour masquer leurs outils malveillants.
« Les attaquants ont permis au rôle Hyper-V sur les systèmes victimes sélectionnés de déployer une machine virtuelle minimaliste basée sur Alpine Linux », ont écrit des chercheurs de Bitdefender dans un rapport sur l’activité de Curly COMrades. « Cet environnement caché, avec son encombrement léger (seulement 120 Mo d’espace disque et 256 Mo de mémoire), hébergeait leur shell inverse personnalisé, CurlyShell, et un proxy inverse, CurlCat. »
Hyper-V est un hyperviseur nu inclus dans les éditions Windows 10 et 11 Pro et Enterprise, ainsi que dans Windows Server. Lorsque la fonctionnalité est activée, les utilisateurs peuvent créer des machines virtuelles avec différents systèmes d’exploitation qui s’exécutent sur le même matériel que l’hôte Windows.
Curly COMrades est un groupe APT aligné sur la Russie, documenté pour la première fois par Bitdefender en août après avoir ciblé des organisations gouvernementales et judiciaires clés de Moldavie et de Géorgie, candidats à l’adhésion à l’UE. Le nom vient de l’utilisation intensive par le groupe de l’outil curl.exe et de son détournement d’objets Component Object Model (COM) à des fins de persistance.
Le groupe est connu pour d’autres techniques nouvelles, telles que l’insertion de logiciels malveillants dans le gestionnaire CLSID et COM associé à une tâche planifiée Windows qui est activée et exécutée périodiquement par le système lorsque des applications .NET sont installées ou mises à jour. L’obscure tâche planifiée correspond à un outil Microsoft appelé NGEN (Native Image Generator).
Les abus Hyper-V du groupe ont été révélés après que les chercheurs de Bitdefender ont poursuivi leur enquête médico-légale sur les activités et les compromissions du groupe avec l’aide du CERT du gouvernement géorgien.
« En isolant le malware et son environnement d’exécution au sein d’une VM, les attaquants ont efficacement contourné de nombreuses détections EDR traditionnelles basées sur l’hôte », ont conclu les chercheurs. « L’EDR doit être complété par une inspection du réseau basée sur l’hôte pour détecter le trafic C2 s’échappant de la VM, et par des outils de renforcement proactifs pour limiter l’abus initial des binaires natifs du système. »
Activation secrète d’Hyper-V
Les journaux extraits d’un système compromis ont révélé que les attaquants ont d’abord utilisé l’outil de ligne de commande Windows Deployment Image Servicing and Management (DISM) pour activer l’hyperviseur Hyper-V lui-même, tout en désactivant également son interface de gestion graphique, Hyper-V Manager.
Le groupe a ensuite téléchargé une archive RAR se faisant passer pour un fichier vidéo MP4 et en a extrait le contenu. L’archive contenait deux fichiers VHDX (disque dur virtuel) et VMCX (configuration de machine virtuelle) correspondant à une VM Alpine Linux pré-construite.
Les attaquants ont ensuite utilisé les applets de commande Import-VM et Start-VM PowerShell pour importer la machine virtuelle dans Hyper-V et la démarrer avec le nom WSL — une tactique trompeuse étant donné que WSL sur Windows signifie Windows Subsystem for Linux, une autre fonctionnalité qui permet d’exécuter des conteneurs Linux sous le noyau Windows. Plus populaire que Hyper-V pour la virtualisation sous Windows, WSL est largement utilisé par les développeurs, ce qui rend sa présence moins susceptible d’être examinée.
La machine virtuelle Alpine Linux est très petite et n’héberge que deux implants personnalisés que Bitdefender a baptisés CurlyShell et CurlCat. Ils sont tous deux construits à l’aide de libcurl, une bibliothèque de transfert réseau open source qui prend en charge une grande variété de protocoles.
CurlyShell utilise libcurl pour se connecter à un serveur de commande et de contrôle (C2) et configurer un shell inversé, ce qui signifie qu’il écoute les commandes émises par le serveur, les transmet à la ligne de commande Linux et renvoie la sortie. Pendant ce temps, CurlCat agit comme un proxy pour tunneliser le trafic SSH sous forme de requêtes HTTP, ce qui rend ce trafic plus difficile à détecter par les outils de surveillance du réseau.
Autres outils malveillants
Les chercheurs ont également découvert des charges utiles de logiciels malveillants supplémentaires laissées par les attaquants sur les systèmes, notamment un script PowerShell personnalisé utilisé pour injecter un ticket Kerberos dans LSASS afin de permettre l’authentification et l’exécution de commandes sur des systèmes distants.
Un autre script PowerShell a été transmis à plusieurs systèmes via la stratégie de groupe du domaine pour modifier le mot de passe d’un compte appelé utilisateur ou pour le créer s’il n’existait pas. Une variante de ce script ciblait plutôt un compte appelé caméra.
Avec l’aide du CERT géorgien qui s’est emparé d’un des serveurs C2 du groupe, les chercheurs ont également pu analyser la manière dont les attaquants avaient mis en place leur infrastructure, qui s’est révélée tout aussi sophistiquée. Les attaquants avaient désactivé la révocation des certificats dans CurlCat, ce qui leur permettait de déployer des certificats personnalisés sur leur serveur C2 tout en continuant à utiliser le trafic HTTPS crypté. Un serveur proxy écoutant le trafic entrant sur le port 443 (HTTPS) a ensuite déchiffré et relayé ce trafic vers un serveur SSH avec une configuration personnalisée.
« La sophistication démontrée par Curly COMrades confirme une tendance clé : à mesure que les solutions EDR/XDR deviennent des outils courants, les acteurs malveillants parviennent de mieux en mieux à les contourner grâce à des outils ou à des techniques telles que l’isolation des machines virtuelles », ont déclaré les chercheurs. « Pour contrer cela, les organisations doivent aller au-delà d’une seule couche de sécurité et mettre en œuvre une sécurité multicouche et une défense en profondeur. Il est essentiel de commencer à concevoir l’ensemble de l’environnement pour qu’il soit hostile aux attaquants. »
Bitdefender a publié des indicateurs de compromission liés à cette campagne d’attaque sur GitHub.
