Avalon: nowy framework malware łączący kradzież danych, unikanie detekcji i ransomware CrownX - Security Bez Tabu

Avalon: nowy framework malware łączący kradzież danych, unikanie detekcji i ransomware CrownX

Cybersecurity news

Wprowadzenie do problemu / definicja

Avalon to nowo ujawniony, modułowy framework malware zaprojektowany do realizacji pełnego łańcucha ataku na systemy Windows. Łączy w jednym zestawie funkcje phishingu wieloetapowego, pobierania kolejnych payloadów, kradzieży poświadczeń, rekonesansu, ruchu bocznego, sabotażu mechanizmów odzyskiwania oraz finalnego uruchomienia ransomware o nazwie CrownX. Tego typu narzędzia są szczególnie niebezpieczne, ponieważ zastępują pojedyncze komponenty wyspecjalizowanego malware jedną, zintegrowaną platformą operacyjną.

W skrócie

Avalon jest dystrybuowany przez wieloetapowy łańcuch phishingowy wykorzystujący spreparowaną wiadomość e-mail z odnośnikiem do chronionego hasłem archiwum. Wewnątrz obrazu ISO umieszczono skrót LNK, który uruchamia projekt MSBuild, ładujący osadzony komponent .NET. Następnie malware ogranicza widoczność telemetryczną, pobiera kolejny etap przez HTTPS i aktywuje pełny framework.

  • Wykorzystuje phishing, ISO i LNK do uzyskania początkowego dostępu.
  • Nadużywa legalnego narzędzia MSBuild do uruchomienia złośliwej logiki.
  • Ogranicza telemetrię i utrudnia analizę działań na stacji.
  • Kradnie dane z przeglądarek, portfeli kryptowalutowych i narzędzi administracyjnych.
  • Przygotowuje środowisko do ruchu bocznego i uruchomienia ransomware CrownX.

Kontekst / historia

W ostatnich latach operatorzy zagrożeń coraz częściej odchodzą od prostych loaderów i infostealerów na rzecz platform modułowych, które pozwalają skalować operacje od początkowego dostępu aż po wymuszenie okupu. Avalon wpisuje się w ten trend, ale wyróżnia się szerokim zakresem funkcji defensywnie ofensywnych dostępnych w jednym pakiecie.

Istotnym elementem tej kampanii jest sposób dostarczenia. Atak rozpoczyna się od wiadomości podszywającej się pod dokument prawny. Zamiast klasycznego załącznika stosowany jest zewnętrzny plik archiwum zabezpieczony hasłem, co utrudnia analizę przez mechanizmy pocztowe. Dodatkowo właściwy złośliwy content jest umieszczony wewnątrz obrazu ISO, co ogranicza skuteczność części tradycyjnych filtrów bezpieczeństwa działających na poziomie poczty i bram ochronnych.

Opisane cechy pokazują, że ransomware nie jest tutaj samodzielnym narzędziem, lecz końcowym etapem większej operacji. CrownX odpowiada za fazę wymuszenia, ale wcześniej środowisko ofiary jest profilowane, osłabiane i przygotowywane do maksymalizacji strat.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od interakcji użytkownika z plikiem LNK stylizowanym na dokument PDF. Skrót uruchamia polecenie wywołujące projekt MSBuild umieszczony w obrazie ISO. To istotne, ponieważ MSBuild pozostaje legalnym narzędziem systemowym, które może zostać nadużyte do wykonania złośliwej logiki bez konieczności uruchamiania oczywistych binariów malware.

Projekt MSBuild ładuje osadzony assembly .NET, który wykonuje dwa kluczowe zadania. Po pierwsze, ingeruje w mechanizmy Event Tracing for Windows, ograniczając widoczność działań dla narzędzi telemetrycznych i forensycznych. Po drugie, pobiera kolejny payload przez HTTPS, uruchamiając właściwy framework Avalon w pamięci lub w dalszych etapach lokalnie na hoście.

Avalon zawiera rozbudowany subsystem unikania detekcji. Z opisu wynika, że potrafi dopasowywać wykonanie do obecnych na stacji mechanizmów ochronnych oraz redukować ilość dostępnej telemetrii. Tego typu funkcje są szczególnie problematyczne w środowiskach, które opierają się głównie na detekcji behawioralnej w przestrzeni użytkownika. Jeżeli malware ogranicza ślady, wyłącza lub omija monitorowanie oraz czyści artefakty po wykonaniu, czas potrzebny na wykrycie i reakcję rośnie.

Warstwa kradzieży danych jest szeroka i ukierunkowana na materiały o wysokiej wartości operacyjnej. Framework zbiera poświadczenia, cookies, historię i zakładki z przeglądarek opartych na Chromium oraz z Firefoksa. Dodatkowo interesują go dane z portfeli kryptowalutowych, aplikacji komunikacyjnych i współpracy zespołowej, zapisane połączenia RDP, profile Wi-Fi, informacje o hostach SSH oraz artefakty Group Policy Preferences zawierające historyczne hasła typu cpassword.

Z perspektywy operatora taki zestaw danych umożliwia nie tylko eksfiltrację, ale także rozwinięcie ataku wewnątrz organizacji. Zebrane poświadczenia mogą zostać wykorzystane do dostępu do kolejnych systemów, usług VPN, zasobów sieciowych i środowisk administracyjnych. Avalon komunikuje się z serwerem C2, odbiera dalsze polecenia i prowadzi rekonesans mający ustalić, które systemy najlepiej nadają się do eskalacji incydentu.

Końcowa faza obejmuje uruchomienie CrownX. Komponent ransomware szyfruje pliki związane z działalnością biznesową, rozwojem oprogramowania, inżynierią, magazynowaniem danych i infrastrukturą wirtualną. Jednocześnie malware utrudnia odzyskiwanie systemu przez zatrzymanie usług związanych z kopiami woluminów oraz usunięcie shadow copies. Dodatkowo opisano funkcje bezpośredniej interakcji ze strukturami dyskowymi, co może oznaczać próbę uszkodzenia informacji o partycjach, rekordach rozruchowych lub innych krytycznych obszarach nośnika. To przesuwa zagrożenie z klasycznego ransomware w stronę częściowo destrukcyjnego wipera.

Warto również zwrócić uwagę na ocenę badaczy dotyczącą możliwego wsparcia procesu tworzenia przez sztuczną inteligencję. Jeśli rzeczywiście pewne elementy frameworka powstały przy użyciu narzędzi AI, oznacza to dalsze obniżenie progu wejścia dla mniej doświadczonych operatorów, którzy mogą składać złożone kampanie z gotowych komponentów szybciej niż wcześniej.

Konsekwencje / ryzyko

Największe ryzyko związane z Avalon wynika z jego wielofunkcyjności. Organizacja nie mierzy się wyłącznie z ryzykiem zaszyfrowania danych, lecz z pełnym kompromisem endpointu, kradzieżą poświadczeń, utratą danych operacyjnych, potencjalnym ruchem bocznym oraz osłabieniem zdolności do odtworzenia środowiska po incydencie.

Dla zespołów SOC i IR problematyczne są zwłaszcza trzy elementy. Po pierwsze, wykorzystanie legalnych komponentów systemowych, takich jak MSBuild, utrudnia odróżnienie aktywności złośliwej od administracyjnej. Po drugie, mechanizmy ograniczania telemetrii i antyforensics zmniejszają liczbę artefaktów dostępnych do korelacji. Po trzecie, kradzież danych następuje jeszcze przed fazą ransomware, co zwiększa ryzyko podwójnego lub potrójnego wymuszenia.

Wpływ biznesowy może obejmować przestój operacyjny, utratę dostępu do kluczowych plików, kompromitację kont uprzywilejowanych, wyciek danych użytkowników, koszty reagowania i odtwarzania, a także konsekwencje prawne i reputacyjne. W środowiskach korzystających z wirtualizacji i rozbudowanych repozytoriów danych szkody mogą być szczególnie dotkliwe.

Rekomendacje

Organizacje powinny potraktować ten typ zagrożenia jako kampanię wieloetapową, a nie wyłącznie ransomware. Kluczowe działania obronne obejmują:

  • Wzmocnienie bezpieczeństwa poczty elektronicznej, w tym analizę wiadomości zawierających linki do zewnętrznych archiwów chronionych hasłem oraz blokowanie lub oznaczanie ryzykownych typów plików, takich jak ISO i LNK.
  • Ograniczenie użycia narzędzi living-off-the-land, w szczególności monitorowanie i kontrolę nietypowych wywołań MSBuild, PowerShell oraz innych interpreterów lub kompilatorów uruchamianych poza standardowym kontekstem deweloperskim.
  • Rozszerzenie detekcji o reguły behawioralne identyfikujące manipulacje przy ETW, usuwanie shadow copies, zatrzymywanie usług backupu, masowy dostęp do magazynów poświadczeń i podejrzaną komunikację HTTPS do nowych lub nisko reputacyjnych hostów.
  • Egzekwowanie MFA dla dostępu zdalnego, usług administracyjnych, VPN oraz kont uprzywilejowanych, ponieważ framework aktywnie kradnie dane uwierzytelniające i artefakty umożliwiające dalszą ekspansję.
  • Segmentację sieci i ograniczenie ruchu bocznego przez separację stacji roboczych, serwerów, systemów backupowych i środowisk administracyjnych.
  • Twarde zabezpieczenie kopii zapasowych, w tym stosowanie kopii offline lub immutable backupów oraz regularne testowanie odtwarzania.
  • Monitoring dostępu do danych z przeglądarek, menedżerów poświadczeń, portfeli kryptowalutowych oraz narzędzi takich jak RDP, SSH, WireGuard i OpenVPN.
  • Szkolenia użytkowników skoncentrowane na rozpoznawaniu wiadomości wykorzystujących presję biznesową lub motyw dokumentów prawnych.
  • Przygotowanie procedur IR obejmujących szybkie odcięcie hosta od sieci, reset poświadczeń, analizę ruchu C2, przegląd repozytoriów backupowych oraz hunting pod kątem użycia ISO, LNK i MSBuild.
  • Aktualizację polityk EDR i SIEM tak, by korelowały sekwencje: otwarcie obrazu ISO, uruchomienie skrótu LNK, start MSBuild, pobranie payloadu przez HTTPS, zmiany w ETW i operacje na shadow copies.

Podsumowanie

Avalon pokazuje ewolucję nowoczesnych kampanii malware w kierunku zintegrowanych frameworków, które łączą phishing, kradzież poświadczeń, unikanie detekcji, ruch boczny i ransomware w jednym łańcuchu operacyjnym. CrownX jest jedynie finałowym etapem presji na ofiarę, a rzeczywiste szkody zaczynają się znacznie wcześniej — w momencie utraty widoczności, wycieku danych i kompromitacji kont. Dla obrońców oznacza to konieczność wykrywania całego przebiegu ataku, a nie tylko końcowej fazy szyfrowania.

Źródła