Hyper-V 成駭客新武器！俄羅斯 APT 組織利用虛擬機躲避 EDR；ENISA 示警公部門攻擊激增

資安廠商 Bitdefender 揭露俄羅斯背景威脅組織 Curly COMrades 創新地利用 Windows Hyper-V 虛擬化技術，在受害系統中建立隱藏的 Linux 虛擬機環境，成功繞過傳統端點偵測與回應(EDR)解決方案。與此同時，歐盟網路與資訊安全局(ENISA)最新報告指出，公部門已成為網路攻擊的首要目標，去年 60% 的資安事件為分散式阻斷服務攻擊(DDoS)，凸顯公私部門面臨從大規模癱瘓到隱密滲透的多層次威脅。

輕量虛擬機成為惡意程式藏身處

Bitdefender 資安研究員 Victor Vrabie 與團隊在最新技術報告中指出，Curly COMrades 在鎖定的 Windows 10 主機上啟用 Hyper-V 角色，部署一個基於 Alpine Linux 的極簡虛擬機環境。這個隱藏環境僅占用 120MB 磁碟空間與 256MB 記憶體，卻足以託管客製化反向 Shell 工具 CurlyShell 及反向代理工具 CurlCat。

研究團隊表示，透過將惡意程式及其執行環境隔離在虛擬機內，攻擊者有效繞過許多傳統基於主機的 EDR 偵測機制。這種攻擊手法的關鍵在於 Hyper-V 虛擬機運作在硬體虛擬化層級，使得主機作業系統上的資安軟體難以深入檢視虛擬機內部的活動。威脅行為者展現建立持久性遠端存取的明確企圖，並多次引入新工具維持攻擊能力，顯示其對目標網路的長期滲透意圖。

客製化工具鏈支援長期潛伏

Curly COMrades 自 2023 年底開始活躍，Bitdefender 於 2025 年 8 月首次公開揭露該組織針對喬治亞與摩爾多瓦發動的一系列攻擊行動，其活動被評估與俄羅斯利益相符。該組織部署多樣化工具組合，包括用於雙向資料傳輸的 CurlCat、提供持久遠端存取的 RuRat、憑證竊取工具 Mimikatz，以及模組化 .NET 植入程式 MucorAgent，最早版本可追溯至 2023 年 11 月。

在與喬治亞電腦緊急應變小組(Georgia CERT)的聯合分析中，研究人員發現該組織使用多種代理與隧道技術，包括 Resocks、Rsockstun、Ligolo-ng、CCProxy、Stunnel 及基於 SSH 的方法，確保靈活控制與適應性。

核心工具 CurlyShell 是以 C++ 撰寫的 ELF 二進位檔案，在虛擬機中作為無頭背景守護程式執行(
headless daemon，無介面的背景服務)，透過 HTTP GET 請求輪詢命令與控制(C2)伺服器獲取新指令，並使用 HTTP POST 請求回傳執行結果。

Bitdefender 指出，CurlyShell 與 CurlCat 共享大部分相同程式碼基礎，但在資料處理方式上有所區別，CurlyShell 直接執行指令，而 CurlCat 則透過 SSH 傳輸流量，提供更靈活的網路穿透能力。這種模組化設計讓攻擊者能根據不同滲透階段選用適當工具。

公部門成為主要攻擊目標

ENISA 發布的研究報告分析去年歐盟公共行政部門的 586 起公開揭露資安事件，發現 60% 為 DDoS 攻擊，且 63% 歸因於駭客行動主義團體。雖然網路犯罪組織(16%)與國家級行為者(2.5%)占比較低，但對公共服務造成的影響最大，特別是透過資料相關事件攻擊就業服務與執法機關等敏感平台。

報告指出，17% 的事件被歸類為資料外洩，勒索軟體則占 10%，主要變種包括 RansomHub、Lockbit 3.0 及 8Base。中央政府占整體資安事件的 69%，市政網站與政府部會入口網站是 DDoS 攻擊的主要目標。公部門管理大量敏感資料並提供關鍵服務，使其成為各類威脅行為者的首要攻擊對象。

ENISA 執行長 Juhan Lepassaar 表示，保護公共行政單位的網路安全對於民眾福祉與歐盟單一市場的良好運作至關重要。公共行政單位提供可靠且有效的公共服務，因此必須確保其國家、區域與地方機構廣泛網路的高層級網路安全。

然而，該部門剛納入 NIS2 指令範疇，資安韌性仍未達應有水準。ENISA 今年 3 月報告將其列入「風險區」，警告公共行政單位缺乏成熟產業所具備的支援與經驗。報告預測，由於該部門的低成熟度與高價值目標特性，中長期內更多攻擊極可能發生，特別是駭客行動主義 DDoS、國家支持的網路間諜活動，以及機會主義的勒索軟體與資料外洩事件。

建議採取多層次防禦策略

面對虛擬化技術遭武器化與大規模 DDoS 攻擊的雙重威脅，ENISA 針對面臨 NIS2 合規挑戰與資安威脅的公部門機構，建議應強化架構韌性與營運整備，將入口網站部署在內容傳遞網路(CDN)與網路應用程式防火牆(WAF)後方以因應 DDoS 攻擊。

針對資料相關風險，應全面部署多因素驗證(MFA)搭配特權存取管理(PAM)與資料外洩防護(DLP)工具。同時建置端點偵測與回應(EDR)解決方案、進行網路區隔與定期備份，以因應勒索軟體威脅與日益複雜的 APT 攻擊態勢。

資安專家建議，針對虛擬化環境的安全防護，組織應考慮部署具備虛擬機深度檢測能力的進階 EDR 解決方案，並嚴格管控 Hyper-V 等虛擬化功能的啟用權限，避免攻擊者利用合法系統功能建立隱藏的攻擊環境。