俄黑客组织Curly COMrades借Hyper-V绕过EDR攻击

首页 > 安全钻研 > 安全传递 > 安全简讯

俄黑客组织Curly COMrades借Hyper-V绕过EDR攻击

颁布功夫 2025-11-06

1. 俄黑客组织Curly COMrades借Hyper-V绕过EDR攻击

11月4日，俄罗斯黑客组织Curly COMrades被曝自2024年年中起活跃，其活动与俄罗斯地缘政治利益亲昵有关。该组织通过滥用Windows专业版/企业版及Windows Server中的Microsoft Hyper-V虚构化技术，创建暗藏的基于Alpine Linux的轻量级虚构机（仅占用120MB磁盘空间和256MB内存）运行恶意软件，成功绕过传统基于主机的端点检测与响应（EDR）解决规划。虚构机内托管了自界说工具CurlyShell反向shell和CurlCat反向代理：前者通过cron作业维持悠久化，以无头模式运行并通过HTTPS衔接C2服务器执行号令；后者作为SOCKS代理封装SSH流量为HTTPS要求，实现荫蔽隧路传输，使恶意流量假装成合法主机IP地址。攻击过程中，威胁行为者首先远程接见受害者系统，启用Hyper-V并禁用其治理界面，部署基于Alpine Linux的极简虚构机。Bitdefender与格鲁吉亚CERT合作调查发现，该组织还使用两个PowerShell剧本强化攻击：其一将Kerberos单据注入LSASS以实现远程系统身份验证和号令执行；其二通过组战术在域内多台推算机创建本地账户，支持横向移动。

https://www.bleepingcomputer.com/news/security/russian-hackers-abuse-hyper-v-to-hide-malware-in-linux-vms/

2. 《宣言报》数据泄露，政治隐衷风险凸显

11月4日，意大利左翼标志性报纸《宣言报》（Il Manifesto）因未设置密码�；さ腃lickHouse数据库，导致15万付费订阅用户邮箱及1100万条访客行为日志泄露。该数据库蕴含设备技术细节、会话令牌、IP地址、精度达11米的GeoIP信息及文章推荐起源等敏感数据，还露出了内部网站分析数据（如文章阐发、受多行为、推荐起源），可能被竞争敌手用于贸易谍报窃取。作为1969年缔造的激进左翼刊物，《宣言报》曾参加1972年大选并遭逢2000年新法西斯分子炸弹袭击未遂，现为非投机合作社，日刊行量约1.5万份。这次泄露虽未涉及密码或直接账户凭证，但读者阅读纪录因反映政治兴致与信仰，属于欧洲隐衷法钟装特殊类别”信息，面对更严格�；�。若数据被政治动机者获取，读者与报社可能遭当局骚扰或监督。

https://cybernews.com/security/il-manifesto-data-leak-exposed-readers/

3. 美国Super Quik遭俄关联勒索团伙攻击

11月3日，美国区域性加油站连锁店Super Quik遭与俄罗斯有关的Play勒索软件团伙攻击，攻击者在暗网泄露监控录像及5.5GB内部文件。这次泄露蕴含财政汇报（逐日销售额、利润汇报、资产负债表及积年业绩比力）、采购发票（技术设备与守护成本）、监控片段（含员工/顾客面部信息）、薪资调换通知（员工姓名及薪资尺度）、装建打算（员工联系方式）、工作评估尺度、培训资料及内部政策文件等敏感信息。Play团伙以双沉勒索技术闻名，要求支付解密用度并保障不滥用被盗数据。若企业回绝，其数据将被公开以施压。这次Super Quik数据泄露可能引发多沉风险：财政汇报与发票可能露出贸易谍报、供给约定价及基础设施细节，被竞争敌手利用；监控片段可能露出监控盲区，员工/顾客面部信息涉及隐衷与司法问题；薪资、联系方式等数据增长身份偷窃与社会工程攻击风险；内部文件模板可能被用于诳骗，威胁性措辞文件则可能侵害公司公家形象。

https://cybernews.com/security/ransomware-super-quik-data-leak/

4. Gootloader恶意软件7个月后卷土沉来

11月5日，Gootloader恶意软件加载器在隐没7个月后沉现，通过SEO投毒推广虚伪网站以传布恶意软件。该基于JavaScript的加载器通过被入侵或攻击者节造的网站，诱骗用户下载恶意文档。其攻击链条始于SEO投毒，通过优化特定关键词（如司法文件和和谈）在搜索引擎中的排名，吸引用户接见假装成司法文件模板分享平台的网站。当用户点击“获取文档”按钮时，网站会验证是否为合法用户，随后下载蕴含.js扩大名的恶意压缩包。执行后，Gootloader会下载Cobalt Strike、后门法式及僵尸法式等恶意载荷，为攻击者提供企业网络初始接见权限，最终可能部署勒索软件。这次回归，Gootloader选取多项新技术躲避检测：通过特殊网页字体代替字形，在HTML源代码中暗藏“发票”“合同”等关键词；利用体式谬误的ZIP文件，Windows资源治理器解压时开释恶意JS文件，而安全工具解压则显示无害文本文件，滋扰分析。此表，攻击者植入Supper SOCKS5后门，实现远程接见。

https://www.bleepingcomputer.com/news/security/gootloader-malware-is-back-with-new-tricks-after-7-month-break/

5. 现代汽车美国公司遭黑客入侵致幼我信息泄露

11月5日，近日，现代汽车美国公司（HAEA）遭逢黑客入侵，攻击者通过犯法接见其IT环境窃取了蕴含姓名、社会保险号码（SSN）及驾驶牌照在内的幼我信息。该公司于3月1日初次发现入侵迹象，随后当即结合表部网络安全专家及法律部门发展调查，确认攻击始于2月22日且已节造局面。HAEA作为现代汽车集团子公司，掌管为汽车全性命周期提供IT服务，涵盖远程信息处置、OTA更新、自动驾驶系统及数字化造作平台等，服务领域覆盖270万辆汽车、200万用户及5000名员工。这次事务露出其系统安全性缝隙，但具体受影响人数及是否涉及客户/用户数据仍不明确。事务调查显示，泄露信息类型存在差距：通知信仅提及姓名，而马萨诸塞州当局门户网站补充列出了SSN和驾照信息。截至发稿，尚未有勒索软件组织宣称对此掌管，肇事者身份仍成谜。

https://www.bleepingcomputer.com/news/security/hyundai-autoever-america-data-breach-exposes-ssns-drivers-licenses/

6. CISA垂危传递CentOS Web Panel高危缝隙

11月5日，美国网络安全和基础设施安全局（CISA）近日颁布严沉忠告，威胁行为者正利用CentOS Web Panel（CWP）中的CVE-2025-48703远程号令执行缝隙提议攻击。该缝隙允许未授权攻击者通过有效用户名在CWP事俘上执行肆意shell号令，影响0.9.8.1204之前所有版本。CWP作为免费开源的Linux服务器治理面板，被宽泛用于网站托管、系统治理及VPS/独立服务器运营，其缝隙风险波及全球大量企业及幼我用户。缝隙本原在于文件治理器“changePerm”端点存在设计缺点：当要求中省略用户标识符时，系统仍会处置未授权要求，且“t_total”参数未经安全过滤直接传入shell号令，导致号令注入风险。安全钻研员Maxime Rinaudo于6月下旬在CentOS 7环境中成功演示了利用过程，通过向该端点发送恶意POST要求，可注入反向shell以齐全节造服务器。CISA已将该缝隙纳入已知利用缝隙（KEV）目录，并凭据BOD 22-01指南要求联国机构在11月25日前利用建复补�。ò洳加�6月18日），或终场使用受影响产品。

https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-centos-web-panel-bug-exploited-in-attacks/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研