- Curly COMrades, ters kabuklu kötü amaçlı yazılım etkinliğini gizlemek için Windows ana bilgisayarlarına Alpine Linux VM’lerini dağıttı
- Geleneksel EDR’yi atlayarak ve giden iletişimleri maskeleyerek ana bilgisayar IP’si üzerinden tünellenen VM trafiği
- Hedefler arasında Gürcü ve Moldova kurumları yer alıyordu; Operasyonlar Rusya’nın jeopolitik çıkarlarıyla uyumlu
Curly COMrades olarak bilinen Rus hackerların, kötü amaçlı yazılım Uzmanlar, Windows cihazlarına konuşlandırılan Linux tabanlı sanal makinelerde (VM) uyarıda bulundu.
Bitdefender’ın güvenlik araştırmacıları, Gürcistan Bilgisayar Acil Durum Müdahale Ekibi (CERT) ile birlikte en son faaliyetleri analiz ettikten sonra, Curly COMrades’in kurbanlarını ilk kez Temmuz 2025’te hedeflemeye başladığını, bu sırada uzaktan komutlar çalıştırarak Microsoft-hyper-v sanallaştırma özelliğini etkinleştirin ve yönetim arayüzünü devre dışı bırakın.
Daha sonra bu özelliği, birden fazla kötü amaçlı yazılım implantasyonu içeren hafif Alpine Linux tabanlı bir VM indirmek için kullandılar.
Rus saldırganlar
Bu kampanyada kullanılan kötü amaçlı yazılımlara CurlyShell ve CurlCat adı veriliyor ve bunların her ikisi de ters kabuk sağlıyor. Bilgisayar korsanları ayrıca uzaktan kimlik doğrulama ve isteğe bağlı komut yürütme yetenekleri sağlayan PowerShell komut dosyalarını da kullandı.
Etkinliği açıkça gizlemek için VM’yi Hyper-V’deki Varsayılan Anahtar ağ bağdaştırıcısını kullanacak şekilde yapılandırdılar. Bu şekilde, VM’nin tüm trafiği, Hyper-V’nin dahili ağını kullanarak ana bilgisayarın ağ yığınından geçti.
Araştırmacılar, “Aslında, tüm kötü niyetli giden iletişim, meşru ana makinenin IP adresinden kaynaklanıyor gibi görünüyor” diye açıkladı. “Saldırganlar, kötü amaçlı yazılımı ve yürütme ortamını bir VM’de izole ederek, birçok geleneksel ana bilgisayar tabanlı EDR algılamasını etkili bir şekilde atlattı.”
Kıvırcık COMrades ilk olarak 2024’te tespit edildi ve faaliyetleri Rusya Federasyonu’nun çıkarlarıyla uyumlu olsa da doğrudan bir bağlantı bulunamadı. İçinde Ağustos 2025Bitdefender, mağdurları arasında Gürcistan’daki hükümet ve yargı kuruluşları ile Moldova’daki enerji şirketlerinin de bulunduğunu bildirdi. Bu olayda mağdur olanların isimleri belirtilmedi.
Bitdefender, bilinen Rus APT gruplarıyla güçlü bir örtüşme olmadığını ancak Curly COMrades’in operasyonlarının “Rusya Federasyonu’nun jeopolitik hedefleriyle uyumlu olduğunu” vurguladı.
Rusya’nın dikkati 2014 yılında Kırım’ın ilhakı ile Ukrayna’ya çevrildiğinden beri, doğu sınırındaki ülkeler ilgiyi kaybetmiş durumda. Ancak Gürcistan, Rus ordusunun yardımıyla bağımsızlığını ilan eden iki bölgeyle (Güney Osetya ve Abhazya) Ukrayna’ya benzer bir konumda. Bu nedenle Rusya’nın siber casuslarının komşu ülkeleri ve onların diplomatik çabalarını takip etmek istemesi mantıklı olacaktır.
Aracılığıyla Kayıt
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.