جواسيس روس يخفون برمجياتهم الخبيثة في أجهزة افتراضية

مجموعة "Curly COMrades" تضرب من جديد بتقنيات متطورة.

تستغل مجموعة التجسس الروسية المعروفة باسم "Curly COMrades" تقنية المحاكاة الافتراضية Hyper-V من مايكروسوفت في أجهزة ويندوز المخترقة، وذلك لإنشاء جهاز افتراضي مخفي يعتمد على نظام Alpine Linux. يهدف هذا الأسلوب إلى تجاوز أدوات أمان نقاط النهاية، مما يمنح الجواسيس وصولاً طويل الأمد إلى الشبكة للتجسس ونشر البرمجيات الخبيثة.

وفي تقرير صدر يوم الثلاثاء، قال فيكتور فرابي، كبير الباحثين الأمنيين في شركة Bitdefender: "هذه البيئة الخفية، ببصمتها الخفيفة (120 ميجابايت فقط من مساحة القرص و 256 ميجابايت من الذاكرة)، استضافت قذيفتهم العكسية المخصصة CurlyShell، ووكيلًا عكسيًا يُدعى CurlCat".

كشفت شركة الأمن الرومانية Bitdefender، بالتعاون مع فريق الاستجابة لطوارئ الحاسب في جورجيا (CERT)، عن هذه الحملة الأخيرة لنشر البرمجيات الخبيثة. وتوضح الحملة كيف تستغل المجموعة تقنيات المحاكاة الافتراضية المشروعة — في هذه الحالة Hyper-V — لتجاوز حلول كشف نقاط النهاية والاستجابة لها (EDR).

وكتب فرابي: "من خلال عزل البرمجية الخبيثة وبيئة تنفيذها داخل جهاز افتراضي، تمكن المهاجمون من تجاوز العديد من آليات الكشف التقليدية القائمة على المضيف بفعالية".

مصطلح تقني: حلول EDR (Endpoint Detection and Response) هي برامج أمان متقدمة تراقب أجهزة الكمبيوتر (نقاط النهاية) بشكل مستمر للكشف عن التهديدات الإلكترونية المعقدة والاستجابة لها في الوقت الفعلي.

تتعقب Bitdefender مجموعة Curly COMrades منذ عام 2024، وذكرت أنها تدعم المصالح الجيوسياسية الروسية، لكنها لم تربطها صراحة بالحكومة الروسية. وقد بدأت الحملة الأخيرة في يوليو، وعلى الرغم من عدم الكشف عن هوية الضحايا، إلا أن Bitdefender أوضحت أن المجموعة الروسية نفذت أوامر عن بعد على جهازين لتمكين ميزة المحاكاة الافتراضية microsoft-hyper-v، مع تعطيل واجهة إدارتها. وبعد بضعة أيام، قاموا بتنزيل جهاز افتراضي خفيف يعتمد على Alpine Linux ويحتوي على برمجياتهم الخبيثة المخصصة.

قام المهاجمون بتهيئة الجهاز الافتراضي لاستخدام محول الشبكة الافتراضي في Hyper-V لضمان مرور حركة مرور البيانات الخاصة بالجهاز الافتراضي عبر شبكة المضيف. ويوضح فرابي: "نتيجة لذلك، كل حركة المرور الخبيثة الصادرة تبدو وكأنها تنشأ من عنوان IP الخاص بالجهاز المضيف الشرعي".

احتوى الجهاز الافتراضي على أداتين مخصصتين:

• CurlyShell: هي برمجية جديدة توفر "قذيفة عكسية"، وتستخدم مهمة cron (مجدول مهام) تعمل بانتظام لضمان استمراريتها بصلاحيات الجذر. وتتصل بخادم القيادة والتحكم (C2) عبر بروتوكول HTTPS.

  • مصطلح تقني: القذيفة العكسية (Reverse Shell) هي تقنية تتيح للمهاجم التحكم في النظام المخترق عن بعد، حيث يقوم النظام المخترق بإنشاء اتصال صادر إلى جهاز المهاجم.

• CurlCat: لا تحافظ هذه الأداة على استمراريتها في النظام، ولكنها تدير نفق وكيل عكسي عبر SSH. وتقوم بتغليف كل حركة مرور SSH الصادرة ضمن طلبات HTTP قياسية، مما يجعل حركة مرور الشبكة الخاصة بالجواسيس تبدو شرعية.

بالإضافة إلى البرمجيات الخبيثة المخصصة، وجد تحليل الباحثين نوعين من نصوص PowerShell المرتبطة بالمجموعة:

1. الأول: يقوم بحقن تذكرة Kerberos في عملية LSASS، مما يسمح للمهاجمين بالمصادقة عن بعد وتنفيذ الأوامر.

2. الثاني: يتم نشره عبر نهج المجموعة (Group Policy) لإنشاء حساب محلي عبر الأجهزة المرتبطة بالنطاق لتحقيق الوصول المستمر.

وختم فرابي بقوله: "التطور الذي أظهرته مجموعة Curly COMrades يؤكد اتجاهًا رئيسيًا: فمع تحول حلول EDR/XDR إلى أدوات شائعة، يصبح المهاجمون أفضل في تجاوزها من خلال أدوات أو تقنيات مثل العزل في الأجهزة الافتراضية".

ولمواجهة هذا النوع من الهجمات، توصي Bitdefender وخبراء أمنيون آخرون باستخدام استراتيجية أمنية متعددة الطبقات تعتمد على مبدأ "الدفاع في العمق"، بدلاً من الاعتماد فقط على كشف التهديدات عند نقاط النهاية.