Siber güvenlik araştırmacıları, geleneksel güvenlik kontrollerini aşabilen, çok aşamalı bir kimlik avı zinciri yoluyla dağıtılan, Avalon kod adlı, daha önce belgelenmemiş modüler bir kötü amaçlı yazılım çerçevesi keşfettiler.
Avalon, kimlik bilgisi toplama, yanal hareket, uzaktan erişim, kurtarma kesintisi ve fidye yazılımı yürütmeyi birleştirerek çeşitli işlevleri tek bir şemsiye altında bir araya getiriyor. Fidye yazılımı bileşeni dahili olarak CrownX olarak adlandırıldı.
Blackpoint Cyber araştırmacıları Nevan Beal ve Sam Decker, "Saldırı, alıcıları Proton Drive'daki şifre korumalı bir arşive yönlendiren sahte bir yasal belge e-postasıyla başladı." dedi. "Kötü amaçlı içerik doğrudan eklenmek yerine bir ISO görüntüsünün içine yerleştirildi ve bu da e-posta katmanında tespit edilme olasılığını azalttı."
E-posta alıcısının, eklenen görüntünün içindeki belge temalı bir Windows Kısayoluyla ("Güvenli Belge CA-283505.pdf.lnk") etkileşime girmesi durumunda, Avalon'un dağıtımıyla sonuçlanan aşamalı bir kötü amaçlı yazılım dizisini tetikler. Özellikle kısayol, ISO görüntüsünde bulunan bir MSBuild projesini başlatmak için bir komut çalıştırır.
MSBuild projesi, kendi adına, yerleşik bir .NET derlemesi yükler ve bu, daha sonra adli görünürlüğü azaltmak ve Avalon'un başlatılmasından sorumlu HTTPS üzerinden bir sonraki aşama yükünü indirmek için Windows için Olay İzleme'nin (ETW) düzenli işleyişine müdahale eder.
Kötü amaçlı yazılım çerçevesi, Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee ve Bitdefender ile ilişkili güvenlik araçlarından yürütmeyi gizlemek için belirli yöntemler içerirken, tespitten kaçmayı amaçlayan kapsamlı bir savunma kaçırma alt sistemine sahiptir.
Araştırmacılar, "Bu yetenekler, çerçeveye telemetriyi azaltmak, kullanıcı modu izlemeyi atlamak ve ana bilgisayardaki savunma kontrollerine bağlı olarak yürütmeyi ayarlamak için çok sayıda yol sağlıyor" dedi.
Detaylar ve Etkileri
Avalon'da yerleşik özelliklerin tamamı aşağıdaki gibidir:
Chromium tabanlı tarayıcılardan ve Mozilla Firefox'tan kimlik bilgilerini, çerezleri, geçmişi ve yer işaretlerini toplayın.
Gelecekte Ne Bekleniyor?
Discord, Slack, Teams, OpenVPN, WireGuard ve Windows Credential Manager'ın yanı sıra MetaMask, Phantom, Coinbase Wallet, Exodus, Electrum, Atomic Wallet, Ledger Live ve Bitcoin Core gibi kripto para cüzdanı uygulamalarından veri toplayın.
Bilinen SSH ana bilgisayarları, kayıtlı RDP bağlantıları, Wi-Fi profilleri ve Grup İlkesi Tercihleri cpassword yapıları hakkında ayrıntıları toplayın.
Sistem Güvenliği
Verileri uzak bir sunucuya ("helloxcherry[.]com") sızdırın ve görev komutlarını almak için sunucuyu yoklayın.
Keşif gerçekleştirin ve riskin kapsamını genişletebilecek sistemlere öncelik verin.
Uzmanların Görüşleri
Windows Şifreleme API'sini kullanarak iş operasyonları, yazılım geliştirme, mühendislik, veri depolama ve sanal altyapıyla ilişkili dosyaları şifreleyin ve fidye tutarının artırılmasına ne kadar zaman kaldığını gösteren ödeme talimatlarını ve son tarih zamanlayıcılarını içeren bir fidye notu gönderin.
Birim Gölge Kopyası Hizmetini sonlandırıp gölge kopyaları silerek sistem kurtarmayı engelleyin.
Olaylara müdahale çabalarını karmaşık hale getirmek için adli tıp karşıtı temizleme alt sistemi kullanarak artefaktların izlerini kaldırın.
Disk yapılarıyla doğrudan etkileşime girerek bölüm bilgilerine, önyükleme kayıtlarına veya sürücünün diğer kritik alanlarına zarar vererek sistemi etkili bir şekilde kullanılamaz hale getirin.
Teknik Analiz
Şirket, "CrownX son gasp aşamasını temsil ediyordu, ancak hasar şifrelemenin çok ötesine geçti" dedi. "Fidye notu ortaya çıktığında, daha geniş çerçeve zaten kimlik bilgilerini toplamış, C2 iletişimleri kurmuş, yatay hareket için birden fazla yol hazırlamış ve yerel kurtarma seçeneklerini zayıflatmıştı."
Bir diğer önemli ayrıntı ise Avalon'un, karmaşık ticari becerilere veya operasyonel güvenliğe pek dikkat etmeden birden fazla bileşeni bir araya getiren, inşa edilmesi ciddi uzmanlık gerektiren bir şey olan yapay zeka (AI) destekli bir gelişmenin işaretlerini göstermesidir.
Sonuç ve Değerlendirme
Bulgular, yapay zekanın giriş engelini nasıl azaltabileceğinin, kötü amaçlı yazılım geliştirmeyi çok az zaman ve çabayla nasıl daha erişilebilir hale getirebileceğinin ve hatta çok az teknik uzmanlığa ve kaynağa sahip aktörlerin kapsamlı geliştirme çabası gerektirebilecek araçlar bulmasına nasıl izin verebileceğinin bir başka işareti. Başka bir deyişle, belirli bir yeteneğin varlığı artık bir tehdit aktörünün karmaşıklığının veya operasyonel olgunluğunun güvenilir bir göstergesi değildir.
"Ölüm zinciri, tanıdık bir iş cazibesinin nasıl yeniden kullanılabilir, çok yetenekli bir çerçeveye dönüşebileceğini gösteriyor Blackpoint Cyber, kimlik bilgilerini toplamak, sonraki yükleri tamamen bellekte almak ve güvenliği ihlal edilmiş tek bir uç noktadan birden fazla takip eylemi gerçekleştirmek için tasarlandı" dedi.
Nasıl Önlem Alınmalı?
Ajansal Fidye Yazılımı Saldırısının Arkasında LLM
Önemli Gelişmeler
Açıklama, Sysdig'in, baştan sona büyük bir dil modeli tarafından yönlendirilen, kamuya açık olarak belgelenen ilk ajansal fidye yazılımı enfeksiyonu olduğunu söylediği ve görevleri tamamlamak için eylemlerini gerçek zamanlı olarak yeniden denediği ve ayarladığı sırada geldi. Operasyonun arkasındaki ajan tehdit aktörünün (ATA) kod adı JADEPUFFER'dir.
Sysdig'den Michael Clark, operatörün "CVE-2025-3248 aracılığıyla internete bakan bir Langflow örneğine ilk erişimi elde ettiğini ve uyarlanabilir ve tam otomatik bir kampanya yürüttüğünü, sonuçta amaçlanan hedefe yöneldiğini ve kurbanın üretim veritabanı sunucusuna karşı yıkıcı bir veritabanı gaspı taktik kitabı çalıştırdığını" söyledi.
"Fidye yazılımı çalıştırmanın beceri tabanı, bir aracıyı çalıştırmanın maliyetine düştü ve eğer bu aracı, LLMjacking yoluyla çalıntı kimlik bilgileri üzerinde çalışıyorsa, saldırganın maliyeti sıfıra yakındır."
Kodsuz Saldırıda LLM Kullanan Yapay Zeka Kötü Amaçlı Yazılım
Bulgular ayrıca, kodsuz bir saldırı tasarlamak için bir Telegram botunu halka açık bir LLM API ile bir araya getiren bir AI kötü amaçlı yazılımının keşfinin ardından geldi. İmplant başlatıldığında, ele geçirilen sistemle ilgili temel ayrıntıları saldırganın Telegram botuna aktarıyor ve yeni mesajlar için her 5 saniyede bir bot API'sini yoklayan bir komuta ve kontrol (C2) döngüsüne giriyor. Komut yürütmenin sonuçları aynı kanal kullanılarak geri aktarılır.
Bu kötü amaçlı yazılımın özelliği, her operatör mesajının genel bir LLM API uç noktasına ("api.groq[.]com/openai/v1/chat/completions") iletilmesi ve bu noktanın daha sonra saldırgan tarafından sağlanan doğal dil talimatlarını eşdeğer kabuk komutuna çevirmesidir. Yapı, 11 Mart 2026'da VirusTotal platformuna yüklendi ve bugüne kadar tüm motorlarda sıfır algılamaya sahip.
"Bu çalışma, kabuk sözdizimini düz metinle değiştiren bir Yüksek Lisans çeviri katmanını tanıtıyor. Palo Alto Networks Birimi 42, saldırganın Telegram'da düz metin talimatları yazdığını söyledi. "LLM, talimatları kabuk komutlarına çeviriyor. Ve kurban kabuk komutlarını yerine getiriyor. Komut satırı bilgisine gerek yok."