كشفت تقارير أمنية حديثة عن تطور خطير في أساليب القرصنة الإلكترونية، حيث بدأت مجموعة قراصنة معروفة باسم Curly COMrades باستغلال تقنيات الأنظمة الافتراضية كوسيلة للتحايل على حلول الأمان وتنفيذ برمجيات خبيثة مخصصة. هذا الأسلوب الجديد يمثل تحدياً كبيراً لأنظمة الحماية التقليدية.
 |
| قراصنة يستغلون Hyper-V لإخفاء نظام Linux وتجنب كشف EDR |
وفقاً لتقرير جديد صادر عن شركة Bitdefender المتخصصة في الأمن السيبراني، فإن الجهات المهاجمة قامت بتفعيل خاصية Hyper-V على أنظمة الضحايا المستهدفة لنشر نظام افتراضي مبسط يعتمد على توزيعة Alpine Linux.
من هم Curly COMrades؟
تم توثيق نشاط مجموعة Curly COMrades للمرة الأولى من قبل شركة Bitdefender الرومانية في أغسطس 2025، وذلك في سياق سلسلة من الهجمات التي استهدفت دول جورجيا ومولدوفا. ويُقدر أن هذه المجموعة نشطة منذ أواخر عام 2023، وتعمل بما يتماشى مع المصالح الروسية.
هذه البيئة المخفية، بحجمها الصغير (120 ميجابايت فقط من مساحة القرص و256 ميجابايت من الذاكرة)، استضافت الأدوات الخبيثة المخصصة CurlyShell وبروكسي عكسي يسمى CurlCat
فيكتور فرابي، باحث أمني - Bitdefender
الأدوات المستخدمة في الهجمات السابقة
- CurlCat: أداة لنقل البيانات ثنائي الاتجاه
- RuRat: للوصول البعيد المستمر
- Mimikatz: لسرقة بيانات الاعتماد
- MucorAgent: برمجية خبيثة معيارية مبنية على .NET، مع إصدارات أولى تعود لنوفمبر 2023
طريقة الهجوم الجديدة باستخدام Hyper-V
في تحليل متابعة أُجري بالتعاون مع فريق الاستجابة للطوارئ الحاسوبية في جورجيا (Georgia CERT)، تم تحديد أدوات إضافية مرتبطة بهذه المجموعة، بالإضافة إلى محاولات إنشاء وصول طويل الأمد من خلال استغلال Hyper-V على أنظمة Windows 10 المخترقة لإعداد بيئة تشغيل بعيدة مخفية.
| المواصفات | القيمة | الغرض |
|---|---|---|
| مساحة القرص | 120 ميجابايت | بصمة صغيرة يصعب اكتشافها |
| الذاكرة | 256 ميجابايت | استهلاك موارد منخفض |
| نظام التشغيل | Alpine Linux | نظام خفيف وسريع |
التفاصيل التقنية للهجوم
أظهرت المجموعة المهاجمة تصميماً واضحاً على الحفاظ على قدرة البروكسي العكسي، من خلال إدخال أدوات جديدة بشكل متكرر إلى البيئة المخترقة. وقد استخدموا عدة تقنيات متقدمة للبقاء مخفيين.
أدوات البروكسي والأنفاق
بالإضافة إلى استخدام أدوات معروفة مثل Resocks وRsockstun وLigolo-ng وCCProxy وStunnel وطرق قائمة على SSH للبروكسي والأنفاق، استخدمت مجموعة Curly COMrades أدوات أخرى متنوعة، بما في ذلك:
- نص برمجي PowerShell مصمم لتنفيذ الأوامر عن بُعد
- CurlyShell: ملف ELF ثنائي غير موثق سابقاً تم نشره في النظام الافتراضي
- CurlCat: أداة بروكسي عكسي مخصصة
الأدوات الخبيثة المستخدمة
| الأداة | النوع | الوظيفة |
|---|---|---|
| CurlyShell | ELF Binary | قشرة عكسية مستمرة |
| CurlCat | Reverse Proxy | توجيه حركة المرور عبر SSH |
| Resocks | SOCKS Proxy | إخفاء الهوية والاتصالات |
| Ligolo-ng | Tunneling Tool | إنشاء أنفاق آمنة |
تحليل البرمجية الخبيثة CurlyShell
تم كتابة البرمجية الخبيثة CurlyShell بلغة C++، وتعمل كخدمة في الخلفية بدون واجهة رسومية للاتصال بخادم القيادة والتحكم (C2) وإطلاق قشرة عكسية، مما يسمح للمهاجمين بتشغيل أوامر مشفرة.
آلية عمل CurlyShell
يتم التواصل مع الخادم من خلال آليتين رئيسيتين:
- طلبات HTTP GET: للاستعلام عن الخادم بحثاً عن أوامر جديدة
- طلبات HTTP POST: لإرسال نتائج تنفيذ الأوامر مرة أخرى إلى الخادم
عائلتان من البرمجيات الخبيثة المخصصة - CurlyShell وCurlCat - كانتا في مركز هذا النشاط، حيث تشتركان في قاعدة كود متطابقة إلى حد كبير ولكن تختلفان في كيفية التعامل مع البيانات المستلمة
تقرير Bitdefender الأمني
الفرق بين CurlyShell و CurlCat
| الميزة | CurlyShell | CurlCat |
|---|---|---|
| الوظيفة الرئيسية | تنفيذ الأوامر مباشرة | توجيه حركة المرور عبر SSH |
| قاعدة الكود | متطابقة إلى حد كبير | |
| التعامل مع البيانات | تنفيذ فوري | إعادة التوجيه |
كيفية الحماية من هذا النوع من الهجمات
- مراقبة تفعيل Hyper-V: راقب أي محاولات غير متوقعة لتفعيل خاصية Hyper-V على الأنظمة
- فحص الأنظمة الافتراضية: قم بمراجعة دورية للأنظمة الافتراضية المنشأة على الشبكة
- مراقبة استهلاك الموارد: انتبه لأي استهلاك غير عادي للموارد حتى لو كان صغيراً
- تحديث أنظمة EDR: تأكد من أن حلول EDR الخاصة بك تدعم فحص الأنظمة الافتراضية
- تقييد الصلاحيات: قلل من عدد المستخدمين الذين يمكنهم تفعيل ميزات الأنظمة الافتراضية
- مراقبة حركة المرور: راقب الاتصالات الشبكية غير المعتادة خاصة طلبات HTTP المشبوهة
توصية إضافية: يُنصح بتطبيق مبدأ الصلاحيات الأدنى (Principle of Least Privilege) على جميع الحسابات، وتفعيل المصادقة متعددة العوامل (MFA) لجميع الوصولات الحساسة.
الأسئلة الشائعة
ما هي تقنية Hyper-V ولماذا يستخدمها القراصنة؟
Hyper-V هي تقنية افتراضية مدمجة في Windows تسمح بتشغيل أنظمة تشغيل متعددة على جهاز واحد. يستخدمها القراصنة لأنها توفر بيئة معزولة يصعب على أنظمة الحماية التقليدية اكتشافها، مما يسمح لهم بإخفاء البرمجيات الخبيثة وتجنب الكشف.
كيف يمكنني معرفة إذا كان نظامي مخترقاً بهذه الطريقة؟
ابحث عن علامات مثل: تفعيل Hyper-V بدون سبب واضح، وجود أنظمة افتراضية صغيرة الحجم (حوالي 120MB)، استهلاك موارد غير معتاد، وجود اتصالات شبكية مشبوهة خاصة طلبات HTTP المتكررة. يُنصح باستخدام أدوات فحص متقدمة يمكنها تفتيش الأنظمة الافتراضية.
هل أنظمة EDR التقليدية قادرة على كشف هذا النوع من الهجمات؟
معظم أنظمة EDR التقليدية تواجه صعوبة في كشف هذا النوع من الهجمات لأن البرمجيات الخبيثة معزولة داخل نظام افتراضي. لذلك، من الضروري استخدام حلول أمنية متقدمة قادرة على مراقبة وفحص الأنظمة الافتراضية، بالإضافة إلى تطبيق سياسات أمنية صارمة لتقييد استخدام تقنيات الأنظمة الافتراضية.
ما هي الدول التي استهدفتها مجموعة Curly COMrades؟
وفقاً للتقارير الأمنية، استهدفت مجموعة Curly COMrades بشكل رئيسي دولتي جورجيا ومولدوفا في حملاتها الهجومية التي بدأت منذ أواخر 2023. تشير التحليلات إلى أن نشاط المجموعة يتماشى مع المصالح الروسية.
ما الذي يجعل Alpine Linux مناسباً لهذا النوع من الهجمات؟
Alpine Linux هو توزيعة Linux خفيفة جداً تتميز بحجم صغير (حوالي 120MB) واستهلاك منخفض للذاكرة (256MB فقط). هذه الخصائص تجعله مثالياً للقراصنة لأنه يترك بصمة صغيرة على النظام المخترق، مما يصعب اكتشافه من قبل أنظمة المراقبة والحماية.
الخلاصة
يمثل استغلال تقنية Hyper-V من قبل مجموعة Curly COMrades تطوراً خطيراً في عالم الهجمات السيبرانية. هذا الأسلوب يوضح كيف يمكن للمهاجمين استخدام الميزات المدمجة في أنظمة التشغيل الشرعية لتجاوز الحماية الأمنية.
من الضروري أن تقوم المؤسسات بتحديث استراتيجياتها الأمنية لتشمل مراقبة وفحص الأنظمة الافتراضية، وتطبيق مبادئ الأمان الاستباقية مثل تقييد الصلاحيات ومراقبة الأنشطة غير المعتادة. الوعي بهذه التهديدات الجديدة هو الخطوة الأولى نحو حماية فعالة.
المصدر:
Bitdefender Security Report - November 2025
Georgia CERT Cybersecurity Analysis
