Хакеры используют Windows Hyper-V для сокрытия Linux VM и уклонения от обнаружения EDR
07.11.2025
5905
Bitdefender раскрывает, что Curly COMrades используют Hyper-V и Alpine Linux VM для уклонения от обнаружения.
Хакеры используют Windows Hyper-V для сокрытия Linux VM и уклонения от обнаружения EDR
Вы думали, что виртуализация предназначена только для запуска нескольких ОС? Подумайте еще раз. Хакеры теперь используют Windows Hyper-V для сокрытия Linux VM и полностью уклоняются от обнаружения EDR. Это не обычное вредоносное ПО — это технология уклонения следующего уровня.
Исследователи безопасности в Bitdefender только что обнародовали сенсацию: угроза, которую они называют 'Curly COMrades', использует Hyper-V для развертывания Alpine Linux виртуальных машин в качестве центров скрытых операций. Это не просто скрытие на виду — это строительство секретной крепости внутри вашей собственной инфраструктуры.
Техника чистой гениальности: они используют собственную платформу виртуализации Windows для запуска Linux VM, которые остаются незамеченными системами обнаружения и реагирования на конечных точках. Пока ваш EDR занят мониторингом процессов Windows, эти Linux VM выполняют вредоносные операции полностью незамеченными.
Это высший подход 'жить за счет земли' — использование законных функций Windows против самой себя. Hyper-V — это не какое-то стороннее программное обеспечение; он встроен прямо в Windows 10 и Server редакции. Атакующие, по сути, превращают собственные инструменты Microsoft в свой личный маскировочный щит.
Выбор Alpine Linux особенно изящен — он легковесный, минималистичный и идеально подходит для скрытных операций. Это не полноценные среды рабочего стола; это оптимизированные, целенаправленные контейнеры для выполнения атак при сохранении полной отрицаемости.
Расследование Bitdefender показывает, что это не какая-то теоретическая атака — она активно развертывается в реальных условиях. Российская связь в тегах предполагает, что это могут быть государственные или, по крайней мере, геополитически мотивированные кибероперации.
Это меняет всю игру для сетевой безопасности. Традиционные периметровые защиты и решения EDR, которые сосредоточены исключительно на средах Windows, теперь фактически слепы к этому типу атаки. Это как защищать входную дверь, пока атакующие пробираются через ваш подвал.
- • Windows Hyper-V используется для скрытных операций
- • Alpine Linux VM используются как незаметные платформы для атак
- • Полное уклонение от EDR за счет работы вне области мониторинга Windows
- • Активное развертывание угрозой 'Curly COMrades'
- • Возможные связи с российскими государственными структурами
- • Bitdefender возглавляет расследование и раскрытие
#EDR инструменты#виртуализация#вредоносное ПО#государственные взломы#кибербезопасность
Есть тема? Пишите ATLA WIRE в Telegram:t.me/atla_community
