HackerNews 编译，转载请注明出处：

勒索软件运营者正在滥用合法虚拟基础设施管理服务商ISPsystem提供的虚拟机，大规模托管并分发恶意攻击载荷。

网络安全厂商 Sophos 研究人员在调查近期 WantToCry 勒索软件事件时，发现了该攻击手法。研究人员发现，攻击者使用的 Windows 虚拟机均带有相同主机名，推测这些虚拟机源自 ISPsystem 旗下虚拟化管理平台 VMmanager 的默认模板。

深入调查后研究人员发现，该相同主机名还出现在多个勒索软件团伙的基础设施中，包括LockBit、Qilin、Conti、BlackCat/ALPHV、Ursnif 等多款信息窃取软件的恶意攻击活动。

ISPsystem是一家正规软件公司，主营托管服务商专用控制面板开发，可用于虚拟服务器管理、操作系统维护等场景。VMmanager  是该公司旗下虚拟化管理平台，可为客户快速创建 Windows 或 Linux 虚拟机。

Sophos发现，VMmanager 的 Windows 默认模板每次部署时，都会复用相同的主机名及系统标识符。

部分明知故犯、支持网络犯罪活动且无视下架请求的高防托管服务商，正利用这一设计缺陷实施恶意行为。这些服务商允许恶意行为者通过 VMmanager 创建虚拟机，将其用作命令与控制（C2）及恶意载荷投递基础设施。

这一行为本质是将恶意系统隐藏在数千台正常虚拟机中，既增加了攻击溯源难度，也让快速下架恶意节点成为泡影。

绝大多数恶意虚拟机由少数口碑恶劣或受制裁的托管服务商托管，包括Stark Industries Solutions Ltd.、Zomro B.V.、First Server Limited、Partner Hosting LTD及JSC IOT。

Sophos 还发现一家拥有物理基础设施直接控制权的服务商 MasterRDP，该服务商利用 VMmanager 规避检测，提供的虚拟专用服务器（VPS）及远程桌面（RDP）服务均不响应合法合规请求。

据Sophos统计，ISPsystem 旗下最常用的四个主机名 “占所有暴露在公网的 ISPsystem 虚拟机总量的 95% 以上”，具体如下：
·    WIN-LIVFRVQFMKO
·    WIN-LIVFRVQFMKO
·    WIN-344VU98D3RU
·    WIN-J9D866ESIJ2
这四个主机名均在客户检测结果或与网络犯罪活动相关的遥测数据中出现过。

研究人员指出，尽管 ISPsystem VMmanager 是合法虚拟化管理平台，但因其 “成本低、准入门槛低、具备一站式部署能力”，对网络犯罪分子极具吸引力。

科技媒体 BleepingComputer 已联系 ISPsystem，询问其是否知晓 VM 模板遭大规模滥用及后续整改计划，但截至发稿时尚未收到回应。

...

HackerNews 编译，转载请注明出处：

研究人员发现了一场网络间谍活动，黑客将恶意工具隐藏在广泛使用的虚拟机软件中。这种策略表明，黑客正通过创新手段绕过常见的安全防御系统。

罗马尼亚网络安全公司比特梵德（Bitdefender）在周二的报告中称，该活动自 7 月起持续活跃，幕后威胁行为者为Curly COMrades组织，该组织被认为是为俄罗斯利益服务的。

今年早些时候，该组织被指针对格鲁吉亚的政府及司法机构，以及摩尔多瓦的一家能源公司发动间谍活动。比特梵德在最新报告中未指明此次的受害者，但表示调查是在格鲁吉亚国家计算机应急响应小组（CERT-GE）的协助下开展的。

报告显示，黑客滥用 Windows 内置功能 Hyper-V 维持对受害者网络的长期秘密访问。Hyper-V 允许用户运行虚拟机，这种软件能让一台计算机模拟出多个独立系统的运行效果。

攻击者安装了一个仅占用 120 兆字节磁盘空间的阿尔派 Linux（Alpine Linux）虚拟机。在该虚拟机内部，他们运行了两款定制恶意软件工具 ——CurlyShell 和 CurlCat，用于控制受感染系统并窃取数据。

比特梵德表示：“该虚拟机并未搭载大型攻击框架或渗透测试工具，而是一款轻量化植入程序，专为特定目的设计。”

这种方法让黑客得以绕过常见的威胁检测工具，这类工具通常仅监控 Windows 主操作系统，而非运行于其中的虚拟机。

格鲁吉亚当局随后查封了该活动中使用的一台受感染服务器，为研究人员绘制攻击者的基础设施地图提供了帮助。

比特梵德指出，Curly COMrades 组织至少自 2024 年起开始活跃，其目标通常是 “处于地缘政治变革中的国家的关键机构”，且活动与俄罗斯政府的地缘政治目标一致。该组织的核心诉求似乎是持续获取网络访问权限，并窃取用于间谍活动的凭证信息。

研究人员补充称，黑客严重依赖公开可用的开源工具，这表明他们 “更倾向于隐蔽性、灵活性和最小化检测风险，而非利用新型漏洞”。

格鲁吉亚和摩尔多瓦均为前苏联加盟共和国，仍是俄罗斯网络及信息作战的重点目标。摩尔多瓦近期指控俄罗斯通过网络攻击和协同虚假信息宣传，试图干预其议会选举 —— 此次选举中亲欧洲政党赢得多数席位。

...