Siber güvenlik araştırmacıları, Avalon kod adlı daha önce bilinmeyen modüler bir kötü amaçlı yazılım çerçevesi keşfetti. Bu çerçeve, geleneksel güvenlik kontrollerini aşabilen çok aşamalı bir oltalama zinciri aracılığıyla dağıtılıyor. Avalon, kimlik bilgisi toplama, yanal hareket, uzaktan erişim, kurtarma kesintisi ve fidye yazılımı yürütme gibi çeşitli işlevleri tek bir çatı altında birleştiriyor. Fidye yazılımı bileşeni ise CrownX olarak adlandırılmış.
Blackpoint Cyber araştırmacılarına göre saldırı, sahte bir yasal belge e-postasıyla başlıyor. E-posta, alıcıları Proton Drive'da parola korumalı bir arşive yönlendiriyor. Kötü amaçlı içerik, doğrudan eklenmek yerine bir ISO görüntüsüne gömülüyor, bu da e-posta katmanında tespit edilme olasılığını azaltıyor. Kullanıcı, görüntüyü monte edip 'Secure Document CA-283505.pdf.lnk' adlı bir Windows kısayolunu tıklarsa, Avalon'un devreye girmesiyle sonuçlanan aşamalı bir enfeksiyon süreci başlıyor.
Avalon çerçevesi, Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee ve Bitdefender gibi güvenlik araçlarından kaçınmak için özel yöntemler içeren kapsamlı bir savunma atlatma alt sistemine sahip. Araştırmacılar, çerçevenin telemetriyi azaltmak, kullanıcı modu izlemeyi atlamak ve ana bilgisayardaki savunma kontrollerine bağlı olarak yürütmeyi ayarlamak için birçok yol sunduğunu belirtiyor. Ayrıca Avalon, yapay zeka destekli geliştirme belirtileri gösteriyor ve birden fazla bileşeni, gelişmiş bir tehdit aktörünün yeteneklerini yansıtacak şekilde bir araya getiriyor.
Teknik Analiz
CrownX fidye yazılımı, saldırının son aşamasını temsil ediyor. Ancak hasar, şifrelemenin ötesine geçiyor. Fidye notu göründüğünde, çerçeve zaten kimlik bilgilerini toplamış, C2 iletişimini kurmuş, yanal hareket için birden fazla yol hazırlamış ve yerel kurtarma seçeneklerini zayıflatmış oluyor. Bu gelişme, yapay zekanın siber suçlular için giriş engelini nasıl düşürdüğünü ve kötü amaçlı yazılım geliştirmeyi daha erişilebilir hale getirdiğini gösteriyor. Araştırmacılar, artık belirli bir yeteneğin varlığının, bir tehdit aktörünün karmaşıklığının veya operasyonel olgunluğunun güvenilir bir göstergesi olmadığını vurguluyor.