🛡️ แฮกเกอร์ใช้ Hyper-V Windows ซ่อน Linux VM! หลบ EDR Detection – Curly COMrades โจมตีกรีเซีย-มอลโดวา ห้ามพลาด!
สวัสดีเพื่อนๆ สาย
cybersecurity ทุกคน! ลองนึกภาพแฮกเกอร์ที่ไม่แค่แทรก
malware แต่สร้าง
"ห้องลับ" ในเครื่องคุณด้วย
Hyper-V ของ
Windows เพื่อซ่อน
VM Linux ขนาดเล็ก (แค่
120MB disk, 256MB RAM) แล้วใช้เป็นฐานสั่งการลับ – นี่คือเทคนิคใหม่จากกลุ่ม
Curly COMrades ที่
Bitdefender ค้นพบ! กลุ่มนี้ (
เชื่อมโยงรัสเซีย) โจมตีกรีเซีย-มอลโดวาตั้งแต่
ปลาย 2023 วันนี้เราจะพาไปเจาะลึกวิธีการ ทำไมแยบยล และป้องกันยังไง โดยอิงข้อมูลจริงจาก
Bitdefender เพื่อให้คุณเตรียมระบบได้ทัน โดยไม่ต้องกลัว
jargon ซับซ้อน
💻 Curly COMrades ใช้ Hyper-V ซ่อน VM Linux ยังไง? Stealth Base สำหรับ Espionage
Curly COMrades (
active since late 2023) เน้น
espionage – แทรก
web shells ในระบบ
Windows 10 แล้วเปิด
Hyper-V role สร้าง
VM Alpine Linux ซ่อนในเครื่อง (
hidden environment)
VM นี้เป็นฐานรัน:
- CurlyShell: ELF binary (C++) daemon headless – ส่ง reverse shell ไป C2 ผ่าน HTTP GET/POST (encrypted commands)
- CurlCat: Reverse proxy ส่ง traffic ผ่าน SSH/Resocks/Ligolo-ng/Stunnel – หลบ firewall
ขั้นตอนโจมตี:
- Injection: ใช้ AppDomainManager (.NET) แทรก malicious libraries ใน Visual Studio tools – หลบ EDR (Endpoint Detection and Response)
- Persistence: VM ทำงาน เบื้องหลัง – ใช้ PowerShell script รัน remote commands + Mimikatz ดึง credentials
- C2: Poll server สำหรับ commands, post results – หลบ traffic analysis
Bitdefender พบ
July 2025 (ร่วม
Georgia CERT): โจมตีหลายเดือน ใช้
RuRat persistent access +
MucorAgent .NET modular implant – เป้าหมาย: สื่อสารลับ
สอดแนมยาวๆ ไม่ใช่
ransomware
🕵️ Bitdefender ค้นพบ-ตอบโต้ยังไง? ร่วมมือตรวจ web shells + วิเคราะห์ VM
ทีม
Bitdefender (Victor Vrabie, Adrian Schipor, Martin Zugec) ค้นพบจาก
"complex arrangement" web shells +
malicious processes –
VM ช่วย
"isolate malware" หลบ
EDR host-based พวกเขาวิเคราะห์:
- CurlyShell/CurlCat: Code base เดียว – Shell รันคำสั่งตรง, CurlCat tunnel traffic
- Trend: Living off the land (ใช้ tool ถูกกฎหมาย) – หลบ antivirus ดีกว่า traditional malware
- Mitigation: Disable Hyper-V unnecessary, monitor VM creation, audit .NET injection
- OpenAI/EDR หลบได้เพราะ traffic ปกติ – แต่ Bitdefender แนะ: ตรวจ process hidden + traffic outbound
❓ คำถามยอดฮิต (FAQ) เกี่ยวกับ Hyper-V Backdoor Curly COMrades
ตอบ
Voice Search อย่าง
"Hyper-V ซ่อน Linux VM ยังไง" หรือ
"Curly COMrades malware คืออะไร":
- Hyper-V backdoor ทำงานยังไง? เปิด Hyper-V สร้าง VM Linux ซ่อน – รัน reverse shell/proxy หลบ EDR
- Curly COMrades กลุ่มไหน? รัสเซีย-linked – โจมตีกรีเซีย/มอลโดวา ตั้งแต่ 2023 เน้น espionage
- หลบ EDR ยังไง? Isolate in VM + AppDomainManager injection – traffic ดู ปกติ
- ป้องกันยังไง? Disable Hyper-V unused, monitor VM, audit .NET libraries
🛡️ ป้องกัน Curly COMrades ในระบบคุณยังไง? Disable Hyper-V + Monitor Traffic
อัปเดต
EDR ตรวจ
VM creation +
.NET injection – ถ้า
dev ใช้
Hyper-V,
audit roles ถ้าเจอ
shell,
isolate ทันที Trend นี้จะพุ่ง:
Hacker ใช้
virtualization ซ่อน – รู้ไว้ช่วยหลบได้!
คุณเคยเจอ
Hyper-V abuse ไหม? คิด
Curly COMrades เปลี่ยน
threat landscape ยังไง บอก
คอมเมนต์ ด้านล่างเลย จะได้แชร์
tip กัน!
แชร์บทความ ให้เพื่อนสาย
security ด้วยสิ จะได้อัปเดต
technique ใหม่ สมัครรับข่าวสาร เว็บเราวันนี้ เพื่ออัปเดต
malware +
patch ก่อนใคร
BLOG TTT-WEBSITE (บริการออกแบบเว็บไซต์)
อย่าให้เว็บไซต์ของคุณเป็นช่องโหว่การโจมตี! การโจมตีที่ซับซ้อนนี้แสดงให้เห็นว่าผู้โจมตีมักจะมองหาจุดที่อ่อนแอที่สุดในระบบ!
👉 เสริมความแข็งแกร่งให้รากฐานดิจิทัลของคุณ! หากคุณต้องการเว็บไซต์ที่มี
Security แข็งแกร่ง
Performance สูง และได้รับการดูแลป้องกันช่องโหว่ เพื่อหลีกเลี่ยงการตกเป็นเป้าหมายของ
Cyber Espionage!
📞 รับทำเว็บไซต์ รับออกแบบเว็บไซต์ ทำเว็บไซต์ ราคาถูก เว็บไซต์สำเร็จรูป รับออกแบบเว็บไซต์ราคาประหยัด –
ปรึกษาทีม RAMPAGESOFT เพื่อประเมินความเสี่ยงและอัปเกรดระบบความปลอดภัยเว็บไซต์ของคุณ ฟรี! [
RAMPAGESOFT /
BLOG TTT-WEBSITE]
