俄黑客组织Curly COMrades借Hyper-V绕过EDR攻击

首页 > 清静研究 > 清静转达 > 清静简讯

俄黑客组织Curly COMrades借Hyper-V绕过EDR攻击

宣布时间 2025-11-06

1. 俄黑客组织Curly COMrades借Hyper-V绕过EDR攻击

11月4日，俄罗斯黑客组织Curly COMrades被曝自2024年年中起活跃，其运动与俄罗斯地缘政治利益亲近相关。该组织通过滥用Windows专业版/企业版及Windows Server中的Microsoft Hyper-V虚拟化手艺，建设隐藏的基于Alpine Linux的轻量级虚拟机（仅占用120MB磁盘空间和256MB内存）运行恶意软件，乐成绕过古板基于主机的端点检测与响应（EDR）解决计划。虚拟机内托管了自界说工具CurlyShell反向shell和CurlCat反向署理：前者通过cron作业坚持长期化，以无头模式运行并通过HTTPS毗连C2服务器执行下令；后者作为SOCKS署理封装SSH流量为HTTPS请求，实现隐藏隧道传输，使恶意流量伪装成正当主机IP地点。攻击历程中，威胁行为者首先远程会见受害者系统，启用Hyper-V并禁用其治理界面，安排基于Alpine Linux的极简虚拟机。Bitdefender与格鲁吉亚CERT相助视察发明，该组织还使用两个PowerShell剧本强化攻击：其一将Kerberos票据注入LSASS以实现远程系统身份验证和下令执行；其二通过组战略在域内多台盘算机建设外地账户，支持横向移动。

https://www.bleepingcomputer.com/news/security/russian-hackers-abuse-hyper-v-to-hide-malware-in-linux-vms/

2. 《宣言报》数据泄露，政治隐私危害凸显

11月4日，意大利左翼标记性报纸《宣言报》（Il Manifesto）因未设置密码�；さ腃lickHouse数据库，导致15万付费订阅用户邮箱及1100万条访客行为日志泄露。该数据库包括装备手艺细节、会话令牌、IP地点、精度达11米的GeoIP信息及文章推荐泉源等敏感数据，还袒露了内部网站剖析数据（如文章体现、受众行为、引荐泉源），可能被竞争敌手用于商业情报窃取。作为1969年建设的激进左翼刊物，《宣言报》曾加入1972年大选并遭遇2000年新法西斯分子炸弹袭击未遂，现为非营利相助社，日刊行量约1.5万份。此次泄露虽未涉及密码或直接账户凭证，但读者阅读纪录因反应政治兴趣与信仰，属于欧洲隐私法中“特殊种别”信息，面临更严酷�；�。若数据被政治念头者获取，读者与报社可能遭政府骚扰或监视。

https://cybernews.com/security/il-manifesto-data-leak-exposed-readers/

3. 美国Super Quik遭俄关联勒索团伙攻击

11月3日，美国区域性加油站连锁店Super Quik遭与俄罗斯有关的Play勒索软件团伙攻击，攻击者在暗网泄露监控录像及5.5GB内部文件。此次泄露包括财务报告（逐日销售额、利润报告、资产欠债表及历年业绩较量）、采购发票（手艺装备与维护本钱）、监控片断（含员工/主顾面部信息）、薪资变换通知（员工姓名及薪资标准）、装修妄想（员工联系方法）、事情评估标准、培训质料及内部政策文件等敏感信息。Play团伙以双重勒索手艺著名，要求支付解密用度并包管不滥用被盗数据。若企业拒绝，其数据将被果真以施压。此次Super Quik数据泄露可能引发多重危害：财务报告与发票可能袒露商业情报、供应商定价及基础设施细节，被竞争敌手使用；监控片断可能袒露监控盲区，员工/主顾面部信息涉及隐私与执法问题；薪资、联系方法等数据增添身份偷窃与社会工程攻击危害；内部文件模板可能被用于诈骗，威胁性语言文件则可能损害公司公众形象。

https://cybernews.com/security/ransomware-super-quik-data-leak/

4. Gootloader恶意软件7个月后卷土重来

11月5日，Gootloader恶意软件加载器在消逝7个月后重现，通过SEO投毒推广虚伪网站以撒播恶意软件。该基于JavaScript的加载器通过被入侵或攻击者控制的网站，诱骗用户下载恶意文档。其攻击链条始于SEO投毒，通过优化特定要害词（如执法文件和协议）在搜索引擎中的排名，吸引用户会见伪装成执法文件模板分享平台的网站。当用户点击“获取文档”按钮时，网站会验证是否为正当用户，随后下载包括.js扩展名的恶意压缩包。执行后，Gootloader会下载Cobalt Strike、后门程序及僵尸程序等恶意载荷，为攻击者提供企业网络初始会见权限，最终可能安排勒索软件。此次回归，Gootloader接纳多项新手艺规避检测：通过特殊网页字体替换字形，在HTML源代码中隐藏“发票”“条约”等要害词；使用名堂过失的ZIP文件，Windows资源治理器解压时释放恶意JS文件，而清静工具解压则显示无害文本文件，滋扰剖析。别的，攻击者植入Supper SOCKS5后门，实现远程会见。

https://www.bleepingcomputer.com/news/security/gootloader-malware-is-back-with-new-tricks-after-7-month-break/

5. 现代汽车美国公司遭黑客入侵致小我私家信息泄露

11月5日，克日，现代汽车美国公司（HAEA）遭遇黑客入侵，攻击者通过不法会见其IT情形窃取了包括姓名、社会包管号码（SSN）及驾驶执照在内的小我私家信息。该公司于3月1日首次发明入侵迹象，随后连忙团结外部网络清静专家及执法部分睁开视察，确认攻击始于2月22日且已控制时势。HAEA作为现代汽车集团子公司，认真为汽车全生命周期提供IT服务，涵盖远程信息处置惩罚、OTA更新、自动驾驶系统及数字化制造平台等，服务规模笼罩270万辆汽车、200万用户及5000名员工。此次事务袒露其系统清静性误差，但详细受影响人数及是否涉及客户/用户数据仍不明确。事务视察显示，泄露信息类型保存差别：通知信仅提及姓名，而马萨诸塞州政府门户网站增补列出了SSN和驾照信息。阻止发稿，尚未有勒索软件组织宣称对此认真，肇事者身份仍成谜。

https://www.bleepingcomputer.com/news/security/hyundai-autoever-america-data-breach-exposes-ssns-drivers-licenses/

6. CISA紧迫转达CentOS Web Panel高危误差

11月5日，美国网络清静和基础设施清静局（CISA）克日宣布严重忠言，威胁行为者正使用CentOS Web Panel（CWP）中的CVE-2025-48703远程下令执行误差提倡攻击。该误差允许未授权攻击者通过有用用户名在CWP实例上执行恣意shell下令，影响0.9.8.1204之前所有版本。CWP作为免费开源的Linux服务器治理面板，被普遍用于网站托管、系统治理及VPS/自力服务器运营，其误差危害波及全球大宗企业及小我私家用户。误差泉源在于文件治理器“changePerm”端点保存设计缺陷：当请求中省略用户标识符时，系统仍会处置惩罚未授权请求，且“t_total”参数未经清静过滤直接传入shell下令，导致下令注入危害。清静研究员Maxime Rinaudo于6月下旬在CentOS 7情形中乐成演示了使用历程，通过向该端点发送恶意POST请求，可注入反向shell以完全控制服务器。CISA已将该误差纳入已知使用误差（KEV）目录，并依据BOD 22-01指南要求联邦机构在11月25日前应用修复补�。ㄐ加�6月18日），或阻止使用受影响产品。

https://www.bleepingcomputer.com/news/security/cisa-warns-of-critical-centos-web-panel-bug-exploited-in-attacks/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究