ロシア系Curly COMrades、Hyper‑V上のLinux VMでマルウェア隠蔽

Source:https://www.bleepingcomputer.com/news/security/russian-hackers-abuse-hyper-v-to-hide-malware-in-linux-vms/

🛡 概要

ロシア関連とみられるサイバースパイ集団「Curly COMrades」が、WindowsのHyper‑V機能を悪用し、Alpine Linuxベースの極小VM（約120MB/256MB）内で独自ツールを稼働させることでEDRの検知を回避していました。VM名を「WSL」と偽装し、Hyper‑V管理ツールを無効化するなど、運用上の隠密性を高めています。BitdefenderはジョージアのCERTと協力し、同グループがジョージアの政府・司法機関やモルドバのエネルギー企業を標的とした事例を分析しました。

🔍 技術詳細

攻撃者は遠隔アクセスを得た複数のWindows端末でHyper‑Vロールを有効化し、管理インターフェイス（管理ツール）を無効化して痕跡を目立たなくします。続いてAlpine Linuxの最小VMを展開し、その中に2種のELFバイナリ（libcurlベース）を配置します。1つ目の「CurlyShell」はHTTPSでC2に接続するリバースシェルで、cronによりVM内部で永続化。2つ目の「CurlCat」は必要に応じてSOCKSプロキシを確立し、SSHトラフィックをHTTPSに包むことで秘匿トンネルを形成します。これにより、ネットワーク上は通常の443/TLS通信に見え、EDRのホストベース検査では可視化しづらくなります。

VMはHyper‑VのDefault Switchを用いてホストのネットワークスタックを経由するため、外部からは正規ホストのIP発信に見えます。さらにVM名を「WSL」とすることで、Windows Subsystem for Linuxに紛れ込ませる狙いが確認されています。ホスト側ではPowerShellが多用され、機能有効化（Enable-WindowsOptionalFeatureやDISM）、GPO経由のスクリプト配布などが行われました。特に2本のPowerShellスクリプトが確認され、(1) LSASSへKerberosチケットを注入してリモート認証・コマンド実行を可能化、(2) グループポリシーでドメイン配下にローカルアカウントを一括作成する、という動作が報告されています。VM内部ではcronでの持続化、外部C2へのHTTPS接続、必要時のSOCKS/HTTPSトンネリングという流れで、運用ノイズに紛れて活動する設計です。

⚠ 影響

VM内で悪性コードが実行されるため、ホストEDRによるプロセス・メモリ監視の網をすり抜けやすく、C2通信もHTTPSで混在化されます。Kerberosチケット注入により横展開が容易となり、GPO悪用で広範なアカウント操作が可能になるため、ドメイン全体の機密情報流出や持続的な侵害につながるリスクが高まります。

🛠 対策

• 不要なHyper‑V/WSLの無効化と機能利用の監査（アセット/ソフトウェア台帳の整備）
• PowerShellの制御（Constrained Language Mode、署名スクリプト、Script Block Logging/Module Logging/Transcriptionの有効化）
• LSASS保護（Credential Guard、LSASSのPPL化）と最小権限の徹底、Kerberosの厳格運用
• GPO権限の最小化・変更監視とアカウント作成イベントのアラート
• egress制御とHTTPSの可視化（プロキシ/SSL可視化、SNI/DNS/JA3等のメタデータ監視）
• VM関連アーティファクトの監査（新規VHDX作成、vmwp.exeの挙動、Hyper‑Vログ）

📌 SOC視点

• Hyper‑V有効化の痕跡：process creation（Security 4688、Sysmon 1）でdism.exe/Enable-WindowsOptionalFeature/PowerShellの引数をハント。Hyper‑V関連ログ（Microsoft-Windows-Hyper-V-*）でVM作成・起動イベントを監視。
• ファイル・オブジェクト：既定パス（例：C:\ProgramData\Microsoft\Windows\Hyper-V\Virtual Hard Disks）へのVHDX作成や約100〜200MBの新規ファイルを検知。
• プロセス/サービス：vmms.exe/vmwp.exeの新規起動、持続稼働、異常な親子関係。管理ツール機能の無効化操作も追跡。
• PowerShell：Script Block (4104)/Module (4103) ログでLSASSアクセス、Kerberosチケット操作、GPO配布の兆候を検出。WMI/WinRM等による横展開コマンドもハント。
• LSASSアクセス：Sysmon 10（ProcessAccess）でSeDebugPrivilege/lsass.exeへのアクセスを監視。PPL環境での失敗ログも注視。
• ネットワーク：ホストIP起点の異常なHTTPS宛先、長時間の一定ビート、SNI不一致やユーザーエージェントの不審値、SOCKSやSSHを包むトンネルの転送量パターンを振る舞いから検知。

📈 MITRE ATT&CK

• Execution: T1059.001（PowerShell）— 機能有効化・スクリプト配布にPowerShellを使用。
• Persistence: T1053.003（Cron）— VM内でcronによりCurlyShellを永続化。
• Privilege Escalation/Defense Evasion: T1562.001（防御回避：ツール無効化）— Hyper‑V管理ツールの無効化やEDR回避の設計。
• Defense Evasion: T1036（偽装）— VM名を「WSL」として正規機能に擬態。
• Credential Access: T1550.003（Pass-the-Ticket）— KerberosチケットをLSASSへ注入し認証を取得。
• Command and Control: T1071.001（Webプロトコル）— HTTPSでC2通信。
• Command and Control: T1090（プロキシ）— CurlCatでSOCKS/HTTPSプロキシ化。
• Command and Control: T1572（プロトコル・トンネリング）— SSHをHTTPSにラップし秘匿通信。
• Lateral Movement: T1021（リモートサービス）— 取得したチケットで遠隔コマンド実行（具体的手段は環境に依存）。

🏢 組織規模別助言

• 小規模（〜50名）：不要なHyper‑V/WSLを一律無効化。管理者アカウントを分離し、PowerShellログとプロセス監視の基本をMDR/MSPと連携して即日有効化。
• 中規模（50〜500名）：機能利用の承認制（Change管理）とGPO変更の二重承認。Credential Guard展開、egressプロキシでのHTTPSメタデータ監視、VMアーティファクトの週次ハンティングを定常化。
• 大規模（500名以上）：WDAC/AppLockerで仮想化関連バイナリの実行制御ポリシー整備。EDRとNDRの相関（host-IP起点の暗号化C2検知）をSOARで自動化。Kerberos/PKINITの高度監査、GPO変更に対する即応体制を確立。

🔎 類似事例

• Ragnar Locker（2020）：Oracle VirtualBoxでWindows VMを展開し、ホスト共有フォルダを暗号化する手法でEDRを回避。
• WSL悪用のマルウェア（2021以降報告）：Windows上でLinuxペイロードを実行し検知面を回避するケース。

🧭 次の一手

まず自社環境でHyper‑V/WSLが正当に必要な端末を棚卸し、不要端末では機能を無効化。続いてPowerShell監査（4103/4104）とLSASS保護（Credential Guard/PPL）をロールアウトし、GPO変更監視のアラート運用を開始してください。