2025-11-05
ロシアのスパイがWindowsマシンにカスタムマルウェアを隠しVMにパッケージ化
ロシアのスパイ集団「Curly COMrades」が、MicrosoftのHyper-Vハイパーバイザーを悪用し、Windowsマシン上に隠れたAlpine Linuxベースの仮想マシンを作成していることが明らかになりました。この手法により、エンドポイントセキュリティツールを回避し、長期的なネットワークアクセスを確保しています。Bitdefenderの研究者によると、この隠れた環境にはカスタムのリバースシェル「CurlyShell」とリバースプロキシ「CurlCat」がホストされています。Curly COMradesは、2024年から追跡されており、ジョージアやモルドバの政府機関に対する攻撃が報告されています。
メトリクス
このニュースのスケール度合い
5.5
/10
インパクト
8.0
/10
予想外またはユニーク度
8.0
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
7.5
/10
このニュースで行動が起きる/起こすべき度合い
8.5
/10
主なポイント
- ✓ Curly COMradesは、Hyper-Vを利用して隠れた仮想マシンを作成し、エンドポイントセキュリティを回避しています。
- ✓ この攻撃キャンペーンでは、カスタムマルウェアが使用され、リモートコマンドが実行されています。
社会的影響
- ! この攻撃は、国家の安全保障に対する脅威を増大させ、特に重要インフラに対するリスクを高めています。
- ! 企業や政府機関は、エンドポイントセキュリティだけでなく、より包括的な防御戦略を採用する必要があります。
編集長の意見
Curly COMradesの最新の攻撃手法は、サイバーセキュリティの分野における新たな脅威を示しています。特に、Hyper-Vのような合法的な仮想化技術を悪用することで、攻撃者は従来のエンドポイント検出システムを回避することが可能となります。このような手法は、今後ますます一般化する可能性があり、企業や政府機関は、従来の防御策だけでは不十分であることを認識する必要があります。特に、EDR(エンドポイント検出および応答)ソリューションが普及する中で、攻撃者はそれを回避するための新たな技術や手法を開発しています。これに対抗するためには、マルチレイヤーの防御戦略を採用し、エンドポイントだけでなく、ネットワーク全体を監視する必要があります。また、攻撃者が使用する可能性のある指標や手法を常に更新し、教育を行うことも重要です。今後の課題としては、合法的なツールの悪用を防ぐための新たな技術の開発が挙げられます。企業は、セキュリティの専門家と連携し、最新の脅威に対する防御策を強化することが求められます。
背景情報
- i Hyper-Vは、Microsoftが提供する仮想化技術であり、複数のオペレーティングシステムを同時に実行することが可能です。Curly COMradesは、この技術を悪用して、エンドポイントセキュリティを回避するための隠れた環境を構築しています。
- i CurlyShellとCurlCatは、C++で書かれたカスタムマルウェアであり、特にCurlyShellはAlpine Linux環境内で検出されずに動作します。これにより、攻撃者は持続的なアクセスを確保し、コマンド・アンド・コントロールサーバーと通信します。