Bitdefender: hackers verbergen malware in 'verborgen' Linux VM's binnen Windows

Het onderzoek, uitgevoerd met steun van de Georgische CERT, legt bloot hoe geavanceerde dreigingsactoren innoveren om moderne beveiliging te omzeilen. De methode omvat het activeren van de Hyper-V-rol op gecompromitteerde Windows 10-machines en het vervolgens importeren van een uiterst minimalistische, op Alpine Linux gebaseerde virtuele omgeving.

Onzichtbaar en isolerend

De cruciale stap in de aanval is de isolatie. De hackers hosten hun custom malware, genaamd CurlyShell (een reverse shell) en CurlCat (een reverse proxy), binnen deze verborgen VM.

Minimale Voetafdruk: De VM is extreem lichtgewicht, met slechts 120 MB schijfruimte en 256 MB geheugen.

Misleiding: De aanvallers geven de virtuele machine de misleidende naam WSL (verwijzend naar het Windows Subsystem for Linux), om argwaan bij beheerders te voorkomen. In werkelijkheid draait de malware echter in een volledig geïsoleerde Hyper-V-omgeving.

Omdat de malware en de uitvoering ervan binnen de VM zijn geïsoleerd, wordt de traditionele host-based EDR-detectie effectief omzeild. Het netwerkverkeer lijkt bovendien afkomstig van het legitieme IP-adres van de Windows-host, waardoor kwaadaardige communicatie moeilijker te onderscheiden is van normaal netwerkverkeer.

De aanvalstechniek toont aan dat dreigingsactoren steeds vaker legitieme, ingebouwde besturingssysteemfunctionaliteiten misbruiken om langdurige, onzichtbare toegang tot doelwitnetwerken te behouden. Volgens Bitdefender benadrukt deze ontdekking de noodzaak voor organisaties om verder te kijken dan de klassieke EDR-oplossingen en hun beveiligingsstrategieën aan te passen aan de snelle evolutie van stealth-tactieken.

Lees meer op de website van Bitdefender.