Avalon Kötü Amaçlı Yazılım Çerçevesi: Yapay Zeka Destekli Siber Tehdit Siber Güvenlik

Avalon Kötü Amaçlı Yazılım Çerçevesi: Yapay Zeka Destekli Siber Tehdit

Yeni keşfedilen Avalon kötü amaçlı yazılım çerçevesi, CrownX fidye yazılımını içeriyor. Çok aşamalı kimlik avı zinciri ve AI desteğiyle dikkat çeken b

Siber güvenlik araştırmacıları, daha önce bilinmeyen modüler bir kötü amaçlı yazılım çerçevesi olan Avalon'u keşfetti. Bu çerçeve, geleneksel güvenlik kontrollerini aşabilen çok aşamalı bir kimlik avı zinciri aracılığıyla dağıtılıyor. Avalon, kimlik bilgisi toplama, yanal hareket, uzaktan erişim, kurtarma engelleme ve fidye yazılımı yürütme gibi çeşitli işlevleri tek bir çatı altında birleştiriyor. Fidye yazılımı bileşeni ise CrownX olarak adlandırılmış.

Saldırı, sahte bir yasal belge e-postası ile başlıyor. Alıcılar, Proton Drive'da şifre korumalı bir arşive yönlendiriliyor. Kötü amaçlı içerik, doğrudan eklenmek yerine bir ISO görüntüsüne gömülüyor, bu da e-posta katmanında tespit edilme olasılığını azaltıyor. ISO görüntüsü içindeki belge temalı bir Windows Kısayolu ('Secure Document CA-283505.pdf.lnk') ile etkileşime geçilmesi, Avalon'un dağıtımıyla sonuçlanan aşamalı bir kötü amaçlı yazılım dizisini tetikliyor. Kısayol, ISO içindeki bir MSBuild projesini başlatmak için bir komut çalıştırıyor ve bu proje, Event Tracing for Windows (ETW) işlevine müdahale ederek adli görünürlüğü azaltıyor.

Avalon çerçevesi, geniş bir savunma atlatma alt sistemine sahip. Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee ve Bitdefender gibi güvenlik araçlarından kaçınmak için özel yöntemler içeriyor. Araştırmacılar, bu yeteneklerin çerçeveye telemetriyi azaltma, kullanıcı modu izlemeyi atlama ve ana bilgisayardaki savunma kontrollerine göre yürütmeyi ayarlama gibi birçok yol sağladığını belirtiyor. Ayrıca, Avalon yapay zeka (AI) destekli geliştirme belirtileri gösteriyor; bu da siber suçluların karmaşık araçlar oluşturmasını kolaylaştırıyor.

Avalon'un tam özellik seti arasında Chromium tabanlı tarayıcılardan ve Mozilla Firefox'tan kimlik bilgileri, çerezler, geçmiş ve yer imleri toplama; MetaMask, Phantom gibi kripto para cüzdan uygulamalarından veri toplama; SSH bilinen anahtarlar, kayıtlı RDP bağlantıları, Wi-Fi profilleri ve Grup İlkesi Tercihleri cpassword yapıtları hakkında bilgi toplama; verileri uzak bir sunucuya sızdırma; iş operasyonları, yazılım geliştirme, mühendislik, veri depolama ve sanal altyapı ile ilişkili dosyaları şifreleme; sistem kurtarmayı engelleme ve adli temizlik alt sistemi ile izleri silme yer alıyor. Bu çerçeve, yapay zekanın siber tehditlerdeki rolünü bir kez daha gözler önüne seriyor.

Paylaş: