Siber güvenlik araştırmacıları, Avalon kod adlı daha önce bilinmeyen modüler bir malware framework'ü keşfetti. Bu framework, geleneksel güvenlik kontrollerini aşabilen çok aşamalı bir phishing zinciri aracılığıyla dağıtılıyor. Blackpoint Cyber araştırmacılarına göre saldırı, sahte bir yasal belge e-postasıyla başlıyor ve Proton Drive'da şifre korumalı bir arşive yönlendiriyor. Kötü amaçlı içerik, doğrudan eklenmek yerine bir ISO imajına gömülüyor, böylece e-posta katmanında tespit edilme olasılığı azaltılıyor.
Avalon; kimlik bilgisi toplama, yanal hareket, uzaktan erişim, kurtarma işlemlerini engelleme ve fidye yazılımı çalıştırma gibi çeşitli işlevleri tek bir çatı altında birleştiriyor. Fidye yazılımı bileşeni CrownX olarak adlandırılmış. Framework, Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee ve Bitdefender gibi güvenlik araçlarından kaçınmak için özel yöntemler içeriyor. Ayrıca Event Tracing for Windows (ETW) işlevine müdahale ederek adli görünürlüğü azaltıyor ve bir sonraki aşama yükünü HTTPS üzerinden indiriyor.
CrownX fidye yazılımı, iş operasyonları, yazılım geliştirme, mühendislik, veri depolama ve sanal altyapı ile ilgili dosyaları Windows Cryptography API kullanarak şifreliyor. Ardından ödeme talimatları ve zamana duyarlı fidye notu bırakıyor. Saldırganlar, Volume Shadow Copy Service'i sonlandırarak ve gölge kopyaları silerek sistem kurtarmayı engelliyor. Ayrıca disk yapılarına doğrudan müdahale ederek bölüm bilgilerini, önyükleme kayıtlarını veya diğer kritik alanları bozuyor, sistemi kullanılamaz hale getiriyor.
Gelecekte Ne Bekleniyor?
Avalon'un geliştirilmesinde yapay zeka (AI) desteğinin izleri bulunuyor. Araştırmacılar, framework'ün gelişmiş bir tehdit aktörü olgunluğu gerektiren birden çok bileşeni bir araya getirdiğini ancak operasyonel güvenlik konusunda zayıf olduğunu belirtiyor. Bu durum, AI'nın siber suçlular için engeli düşürdüğünü ve teknik bilgisi az olan aktörlerin bile karmaşık araçlar geliştirebildiğini gösteriyor. Sysdig ise, CVE-2025-3248 güvenlik açığını kullanarak Langflow örneğine sızan ve tamamen otomatik bir fidye yazılımı kampanyası yürüten JADEPUFFER kod adlı ilk ajan tabanlı tehdit aktörünü belgeledi.