Avalon: Yeni Nesil Çok Amaçlı Fidye Yazılımı Çerçevesiyle Gelen Siber Tehdit Linux

Avalon: Yeni Nesil Çok Amaçlı Fidye Yazılımı Çerçevesiyle Gelen Siber Tehdit

Yeni Avalon kötü amaçlı yazılım çerçevesi, CrownX fidye yazılımı ile veri hırsızlığı, yanal hareket ve sistem kurtarmayı engelleme gibi birçok yeteneğ

Siber güvenlik araştırmacıları, Avalon kod adlı, daha önce belgelenmemiş modüler bir kötü amaçlı yazılım çerçevesi keşfetti. Bu çerçeve, geleneksel güvenlik kontrollerini aşabilen çok aşamalı bir oltalama zinciri aracılığıyla dağıtılıyor. Avalon, kimlik bilgisi toplama, yanal hareket, uzaktan erişim, kurtarma işlemlerini engelleme ve fidye yazılımı çalıştırma gibi çeşitli işlevleri tek bir çatı altında birleştiriyor. Fidye yazılımı bileşeni ise CrownX olarak adlandırıldı.

Blackpoint Cyber araştırmacıları Nevan Beal ve Sam Decker, saldırının sahte bir yasal belge e-postasıyla başladığını belirtti. E-posta, alıcıları Proton Drive üzerinde parola korumalı bir arşive yönlendiriyor. Kötü amaçlı içerik, doğrudan eklenmek yerine bir ISO görüntüsüne gömülüyor, bu da e-posta katmanında tespit edilme olasılığını azaltıyor. E-posta alıcısı, bağlı görüntüdeki belge temalı bir Windows Kısayolu ('Secure Document CA-283505.pdf.lnk') ile etkileşime girerse, Avalon'un dağıtımıyla sonuçlanan aşamalı bir kötü amaçlı yazılım dizisini tetikliyor.

Kısayol, ISO görüntüsünde bulunan bir MSBuild projesini başlatmak için bir komut çalıştırıyor. MSBuild projesi, gömülü bir .NET derlemesini yüklüyor ve bu derleme, Windows için Olay İzleme (ETW) işlevine müdahale ederek adli görünürlüğü azaltıyor ve bir sonraki aşama yükünü HTTPS üzerinden indirerek Avalon'u başlatıyor. Kötü amaçlı yazılım çerçevesi, kapsamlı bir savunma kaçırma alt sistemine sahip; Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee ve Bitdefender gibi güvenlik araçlarından kaçınmak için özel yöntemler içeriyor.

Detaylar ve Etkileri

Avalon'un özellik seti oldukça geniş: Chromium tabanlı tarayıcılar ve Mozilla Firefox'tan kimlik bilgileri, çerezler, geçmiş ve yer imleri topluyor. MetaMask, Phantom, Coinbase Cüzdan, Exodus, Electrum, Atomic Cüzdan, Ledger Live ve Bitcoin Core gibi kripto para cüzdan uygulamalarından; ayrıca Discord, Slack, Teams, OpenVPN, WireGuard ve Windows Kimlik Bilgisi Yöneticisi'nden veri topluyor. SSH bilinen ana bilgisayarlar, kaydedilmiş RDP bağlantıları, Wi-Fi profilleri ve Grup İlkesi Tercihleri cpassword yapıtları hakkında ayrıntılar topluyor. Verileri uzak bir sunucuya ('helloxcherry[.]com') sızdırıyor ve komutlar almak için sunucuyu yokluyor.

Çerçeve, iş operasyonları, yazılım geliştirme, mühendislik, veri depolama ve sanal altyapı ile ilgili dosyaları Windows Cryptography API kullanarak şifreliyor ve ödeme talimatları ile fidye miktarının artmasına kalan süreyi gösteren zamanlayıcılar içeren bir fidye notu bırakıyor. Sistem kurtarmayı engellemek için Volume Shadow Copy Service'i sonlandırıyor ve gölge kopyaları siliyor. Adli temizlik alt sistemi ile yapıt izlerini kaldırarak olay müdahalesini zorlaştırıyor. Ayrıca, sürücünün bölüm bilgilerine, önyükleme kayıtlarına veya diğer kritik alanlarına zarar vermek için disk yapılarıyla doğrudan etkileşime girerek sistemi kullanılamaz hale getiriyor.

Önemli Gelişmeler

Blackpoint Cyber, CrownX'in son gasp aşamasını temsil ettiğini, ancak hasarın şifrelemenin çok ötesine geçtiğini belirtti. Fidye notu göründüğünde, daha geniş çerçeve zaten kimlik bilgilerini toplamış, C2 (komuta ve kontrol) iletişimini kurmuş, yanal hareket için birden çok yol hazırlamış ve yerel kurtarma seçeneklerini zayıflatmış oluyor. Önemli bir ayrıntı da Avalon'un yapay zeka (YZ) destekli geliştirme belirtileri göstermesi; çerçeve, sofistike işçilik veya operasyonel güvenliğe çok az önem vererek birden çok bileşeni bir araya getiriyor. Bu durum, YZ'nin giriş engelini düşürdüğünü ve kötü amaçlı yazılım geliştirmeyi daha erişilebilir hale getirdiğini gösteriyor.

Sysdig, JADEPUFFER kod adlı bir tehdit aktörünün, CVE-2025-3248 güvenlik açığından yararlanarak uyarlanabilir ve tam otomatik bir kampanya yürüttüğünü ve bir veritabanı gasp oyun kitabını çalıştırdığını bildirdi. Bu, büyük dil modelleri tarafından yönlendirilen ilk belgelenmiş ajan fidye yazılımı enfeksiyonu olarak kaydedildi. Sysdig, fidye yazılımı çalıştırma beceri seviyesinin, bir ajanı çalıştırma maliyetine düştüğünü ve eğer ajan çalıntı kimlik bilgileriyle çalışıyorsa, maliyetin sıfıra yakın olduğunu vurguladı. Ayrıca, bir Telegram botu ile genel bir LLM API'sini birleştiren ve kodsuz bir saldırı gerçekleştiren bir YZ kötü amaçlı yazılımı keşfedildi.

Uzmanların Görüşleri

Sonuç olarak, Avalon ve benzeri çerçeveler, siber tehditlerin artık yalnızca gelişmiş aktörlerin elinde olmadığını gösteriyor. YZ, düşük teknik beceriye sahip aktörlerin bile karmaşık araçlar geliştirmesine olanak tanıyor. Kuruluşlar, çok aşamalı saldırılara karşı savunmalarını güçlendirmeli, e-posta güvenliğini artırmalı ve uç nokta tespit ve yanıt sistemlerini güncellemelidir. Ayrıca, yapay zeka destekli tehditlerin hızla evrildiği bu ortamda, sürekli izleme ve tehdit istihbaratı paylaşımı kritik önem taşımaktadır.

Kaynak: thehackernews.com

Paylaş: