Avalon: nowy framework malware łączący phishing, kradzież danych i ransomware CrownX - Security Bez Tabu

Avalon: nowy framework malware łączący phishing, kradzież danych i ransomware CrownX

Cybersecurity news

Wprowadzenie do problemu / definicja

Avalon to nowo ujawniony, modułowy framework złośliwego oprogramowania, zaprojektowany do realizacji pełnego łańcucha ataku — od uzyskania dostępu początkowego, przez kradzież danych uwierzytelniających i rozpoznanie środowiska, aż po ruch boczny oraz wdrożenie ransomware. Tego typu narzędzia pokazują odejście od prostych kampanii opartych na pojedynczym ładunku na rzecz zintegrowanych platform ofensywnych.

W praktyce oznacza to, że jedna infekcja może prowadzić jednocześnie do wycieku danych, przejęcia dostępu do kolejnych systemów i zablokowania infrastruktury poprzez szyfrowanie plików. Dla zespołów bezpieczeństwa Avalon jest więc przykładem nowoczesnego zagrożenia typu post-exploitation framework z komponentem ransomware.

W skrócie

Avalon jest dostarczany przez wieloetapowy łańcuch phishingowy wykorzystujący fałszywe wiadomości z dokumentem prawnym oraz archiwum chronione hasłem. Po uruchomieniu przynęty ofiara aktywuje sekwencję prowadzącą do załadowania komponentów .NET, ograniczenia widoczności telemetrycznej systemu i pobrania kolejnego etapu malware przez HTTPS.

Framework łączy funkcje kradzieży poświadczeń, eksfiltracji danych, zdalnego dostępu, przygotowania ruchu bocznego, sabotażu mechanizmów odzyskiwania oraz końcowego szyfrowania realizowanego przez moduł ransomware CrownX. Badacze wskazują również, że konstrukcja narzędzia może nosić ślady rozwoju wspomaganego przez sztuczną inteligencję.

Kontekst / historia

Współczesne kampanie ransomware coraz rzadziej opierają się wyłącznie na pojedynczym binarnym ładunku szyfrującym. Dominującym trendem są operacje wieloetapowe, w których napastnicy najpierw zdobywają przyczółek w organizacji, następnie mapują infrastrukturę, wykradają dane i osłabiają możliwości reakcji, a dopiero na końcu uruchamiają mechanizm wymuszenia.

Avalon wpisuje się dokładnie w ten model. Szczególnie istotne jest połączenie klasycznego phishingu z technikami utrudniającymi detekcję na poziomie poczty i punktów końcowych. Wykorzystanie archiwum chronionego hasłem, obrazu ISO oraz skrótu LNK pozwala ominąć część tradycyjnych mechanizmów filtrujących, a modułowa budowa sugeruje możliwość dalszego dostosowywania kampanii do konkretnej ofiary.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od wiadomości phishingowej podszywającej się pod korespondencję dotyczącą dokumentu prawnego. Odbiorca jest kierowany do archiwum chronionego hasłem przechowywanego w usłudze chmurowej. Wewnątrz znajduje się obraz ISO, a nie bezpośredni plik wykonywalny, co zmniejsza szansę wykrycia na warstwie pocztowej.

Po zamontowaniu obrazu i uruchomieniu skrótu LNK inicjowany jest proces wykonania projektu MSBuild osadzonego w obrazie. Ten etap ładuje zestaw komponentów .NET, które ingerują w mechanizmy Event Tracing for Windows, ograniczając widoczność aktywności z perspektywy telemetryki i analizy powłamaniowej. Kolejny etap malware jest pobierany przez HTTPS i odpowiada za uruchomienie właściwego frameworka Avalon.

Z perspektywy technicznej Avalon pełni rolę rozbudowanej platformy post-exploitation. Zidentyfikowane możliwości obejmują:

  • kradzież poświadczeń, plików cookie, historii i zakładek z przeglądarek opartych na Chromium oraz z Firefoksa,
  • pozyskiwanie danych z aplikacji portfeli kryptowalutowych,
  • zbieranie artefaktów związanych z komunikatorami, klientami VPN i menedżerami poświadczeń,
  • przejmowanie informacji o zapisanych hostach SSH, połączeniach RDP, profilach Wi-Fi oraz artefaktach Group Policy Preferences,
  • komunikację z serwerem zdalnym w celu eksfiltracji danych i pobierania poleceń,
  • rozpoznanie środowiska i wybór systemów istotnych z punktu widzenia rozszerzenia kompromitacji,
  • uruchomienie komponentu ransomware CrownX,
  • zatrzymywanie usług związanych z kopiami w tle i usuwanie shadow copies,
  • czyszczenie artefaktów utrudniające dochodzenie,
  • bezpośrednią interakcję ze strukturami dyskowymi, potencjalnie w celu uszkodzenia informacji o partycjach lub rekordach rozruchowych.

CrownX nie działa więc jako samodzielny ransomware, lecz stanowi końcowy etap szerszej operacji. Zanim dojdzie do szyfrowania, środowisko ofiary może zostać już rozpoznane, osłabione i częściowo pozbawione możliwości odtworzenia. Szyfrowanie obejmuje pliki związane z działalnością biznesową, inżynierią, programowaniem, magazynowaniem danych i infrastrukturą wirtualną, a nota okupu zawiera instrukcje płatności oraz presję czasową.

Na uwagę zasługuje także zestaw technik unikania detekcji. Framework ma dostosowywać swoje zachowanie do obecności określonych narzędzi ochronnych i ograniczać telemetrię oraz monitoring działający w trybie user mode. To wskazuje, że operatorzy priorytetowo traktują stabilność działania na zainfekowanym systemie i chcą zwiększyć skuteczność całej kampanii jeszcze przed uruchomieniem modułu szyfrującego.

Konsekwencje / ryzyko

Największe zagrożenie związane z Avalonem wynika z jego wielofunkcyjności. Organizacja dotknięta takim incydentem nie mierzy się wyłącznie z utratą dostępności danych, ale również z ryzykiem długotrwałej kompromitacji tożsamości, systemów i informacji biznesowych.

  • kompromitacja poświadczeń użytkowników i administratorów,
  • wyciek danych operacyjnych i informacji wrażliwych,
  • możliwość ruchu bocznego do kolejnych systemów,
  • osłabienie zdolności do odzyskiwania po incydencie,
  • potencjalne uszkodzenie elementów krytycznych dla uruchomienia systemu.

To znacząco podnosi koszt incydentu na poziomie technicznym, operacyjnym, regulacyjnym i reputacyjnym. Nawet jeśli organizacji uda się częściowo ograniczyć skutki szyfrowania, wcześniejsze etapy ataku mogły już doprowadzić do wycieku danych i przejęcia dostępu do innych zasobów. Dla SOC i zespołów IR oznacza to konieczność traktowania takich kampanii jako pełnoskalowych naruszeń bezpieczeństwa, a nie jedynie klasycznego ataku ransomware.

Dodatkowym problemem jest obniżanie progu wejścia dla twórców złośliwego oprogramowania. Jeśli podobne frameworki są rozwijane z wykorzystaniem narzędzi AI, można spodziewać się szybszego powstawania nowych wariantów, większej automatyzacji oraz częstszego łączenia gotowych komponentów w nowe zestawy ofensywne.

Rekomendacje

Skuteczna obrona przed zagrożeniami klasy Avalon wymaga ochrony wielowarstwowej, obejmującej zarówno prewencję, jak i detekcję oraz gotowość do odtworzenia środowiska po incydencie.

W obszarze poczty i dostępu początkowego warto:

  • blokować lub rygorystycznie ograniczać dostarczanie obrazów ISO, skrótów LNK oraz archiwów chronionych hasłem,
  • wzmacniać sandboxing i analizę behawioralną załączników oraz treści pobieranych z usług chmurowych,
  • szkolić użytkowników pod kątem przynęt wykorzystujących dokumenty prawne, faktury i pilne wezwania do działania.

Na poziomie stacji roboczych i serwerów należy:

  • monitorować nietypowe uruchomienia MSBuild, zwłaszcza z katalogów tymczasowych, udziałów sieciowych i zamontowanych obrazów,
  • wykrywać próby manipulacji ETW oraz anomalie związane z ograniczaniem telemetrii,
  • analizować tworzenie procesów potomnych przez LNK, interpretery skryptowe i komponenty .NET,
  • stosować zasadę najmniejszych uprawnień oraz separację kont administracyjnych,
  • utrzymywać EDR lub XDR z regułami ukierunkowanymi na kradzież danych z przeglądarek, portfeli kryptowalutowych i menedżerów poświadczeń.

W obszarze odporności operacyjnej kluczowe są:

  • segmentacja sieci i ograniczenie ruchu bocznego,
  • wyłączenie zbędnych ścieżek administracyjnych oraz kontrola RDP i zdalnych kanałów dostępu,
  • regularne, odseparowane kopie zapasowe offline lub immutable,
  • testy odtwarzania po awarii i procedur reagowania na ransomware,
  • szybka rotacja poświadczeń po wykryciu incydentu, zwłaszcza dla kont uprzywilejowanych, VPN, usług katalogowych i kont serwisowych.

Warto także budować detekcje oparte na korelacji zachowań, a nie wyłącznie na pojedynczych wskaźnikach. W przypadku takich frameworków większą wartość mają zależności obejmujące phishing, montowanie obrazu, wykonanie LNK, użycie MSBuild, pobranie payloadu przez HTTPS, nietypowy dostęp do magazynów poświadczeń oraz próby usuwania shadow copies.

Podsumowanie

Avalon pokazuje, że współczesne kampanie malware i ransomware coraz częściej przybierają formę spójnych platform do pełnej obsługi kompromitacji. W jednym zestawie funkcji łączy phishing, obejście zabezpieczeń, kradzież danych, rozpoznanie środowiska, eksfiltrację, przygotowanie ruchu bocznego oraz destrukcyjne szyfrowanie realizowane przez moduł CrownX.

Dla obrońców oznacza to konieczność analizy całego łańcucha ataku, a nie tylko końcowego etapu wymuszenia. Skuteczna obrona wymaga połączenia kontroli na poziomie poczty, endpointu, tożsamości, sieci oraz odporności na odtwarzanie po incydencie.

Źródła

  1. New Avalon Malware Framework Packs CrownX Ransomware Capabilities
  2. Microsoft Learn
  3. Blackpoint Cyber