2025-11-06
ハッカーがWindows Hyper-Vを悪用しLinux VMを隠してEDR検出を回避
ハッカー集団Curly COMradesがWindows Hyper-Vを利用して、Linuxベースの仮想マシンを隠し、EDR(エンドポイント検出および応答)を回避する手法を報告されています。Bitdefenderの調査によると、攻撃者はHyper-V機能を有効にし、Alpine Linuxを基にした軽量の仮想マシンを展開しました。この環境には、カスタムリバースシェルであるCurlyShellやリバースプロキシCurlCatがホストされています。Curly COMradesは、2023年末から活動を開始し、ロシアに関連する攻撃を行っているとされています。彼らは、さまざまなツールを使用して、長期的なアクセスを確保し、EDR検出を回避するための手法を展開しています。
メトリクス
このニュースのスケール度合い
6.5
/10
インパクト
7.5
/10
予想外またはユニーク度
7.5
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
7.5
/10
このニュースで行動が起きる/起こすべき度合い
7.5
/10
主なポイント
- ✓ Curly COMradesは、Windows Hyper-Vを利用してLinux VMを隠し、EDR検出を回避する手法を採用しています。
- ✓ 攻撃者は、カスタムマルウェアCurlyShellとCurlCatを使用して、リモートアクセスを確保し、データを転送しています。
社会的影響
- ! この攻撃手法は、企業や組織のセキュリティ対策に対する新たな脅威を示しています。
- ! EDRシステムの効果を低下させることで、攻撃者はより多くのシステムに侵入する可能性があります。
編集長の意見
Curly COMradesの活動は、現代のサイバーセキュリティにおける新たな課題を浮き彫りにしています。特に、仮想化技術を悪用することで、従来のEDRシステムを回避する手法は、攻撃者の巧妙さを示しています。EDRは、エンドポイントの脅威を検出し、対応するための重要なツールですが、仮想環境内でのマルウェアの実行は、その効果を大きく損なう可能性があります。企業は、EDRだけでなく、ネットワーク全体の監視や異常検知の強化を図る必要があります。また、攻撃者が使用するツールや手法を常に把握し、最新の脅威に対する防御策を講じることが求められます。今後、仮想化技術を利用した攻撃が増加することが予想されるため、企業はセキュリティ対策を見直し、より包括的なアプローチを採用することが重要です。特に、従業員への教育や意識向上も不可欠です。サイバー攻撃はますます巧妙化しており、企業はその脅威に対抗するために、技術的な対策だけでなく、人的な対策も強化する必要があります。
背景情報
- i Windows Hyper-Vは、仮想化技術を提供するMicrosoftのプラットフォームであり、攻撃者はこれを利用してマルウェアを隔離し、EDRの検出を回避しています。Hyper-Vを使用することで、攻撃者は仮想マシン内でマルウェアを実行し、ホストシステムから隠れることが可能になります。
- i Curly COMradesは、2023年末から活動を開始し、GeorgiaやMoldovaをターゲットにした攻撃を行っています。彼らは、CurlCatやRuRatなどのツールを使用して、持続的なリモートアクセスを確保し、Mimikatzを用いて資格情報を収集しています。