Cybersecurityonderzoekers hebben een nieuw, modulair malwareframework ontdekt met de codenaam Avalon, dat via een meerfasige phishingketen wordt verspreid en traditionele beveiligingsmaatregelen kan omzeilen. Avalon combineert het verzamelen van inloggegevens, laterale bewegingen, externe toegang, verstoring van herstelmogelijkheden en ransomware-uitvoering in één pakket. De ransomwarecomponent is intern bekend als CrownX.
Volgens onderzoekers van Blackpoint Cyber, Nevan Beal en Sam Decker, begon de aanval met een e-mail die een vervalst juridisch document bevatte en ontvangers doorverwees naar een met een wachtwoord beveiligd archief op Proton Drive. Schadelijke inhoud zat niet direct in de e-mail, maar was verpakt in een ISO-image, wat de detectiekans op e-mailniveau verkleinde. Wanneer de ontvanger een Windows-snelkoppeling met een documentthema binnen het aangekoppelde image activeert, start een meerfasige malwareketen die uiteindelijk leidt tot de inzet van Avalon. De snelkoppeling voert een commando uit om een MSBuild-project in het ISO-image te starten. Dit project laadt een ingebedde .NET-assembly die de werking van Event Tracing for Windows (ETW) verstoort om forensische zichtbaarheid te verminderen en een volgende payload via HTTPS downloadt die Avalon activeert.
Het framework beschikt over uitgebreide mechanismen om detectie te ontwijken en gebruikt specifieke technieken om de uitvoering te verbergen voor beveiligingstools zoals Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee en Bitdefender. Hierdoor kan het framework telemetrie verminderen, monitoring op gebruikersniveau omzeilen en zijn gedrag aanpassen aan de aanwezige beveiligingsmaatregelen.
Avalon verzamelt onder meer inloggegevens, cookies, browsegeschiedenis en bladwijzers uit Chromium-gebaseerde browsers en Mozilla Firefox. Daarnaast worden gegevens uit cryptocurrency-wallets zoals MetaMask, Phantom, Coinbase Wallet, Exodus, Electrum, Atomic Wallet, Ledger Live en Bitcoin Core buitgemaakt, evenals informatie uit communicatie- en VPN-applicaties zoals Discord, Slack, Teams, OpenVPN, WireGuard en Windows Credential Manager. Ook SSH known hosts, opgeslagen RDP-verbindingen, wifi-profielen en Group Policy Preferences cpassword-artifacten worden verzameld. De gestolen data wordt naar een externe server gestuurd en het framework ontvangt opdrachten van die server.
Verder voert Avalon verkenning uit om systemen te identificeren die het bereik van de aanval kunnen vergroten. Bestanden die verband houden met bedrijfsactiviteiten, softwareontwikkeling, engineering, databeheer en virtuele infrastructuur worden versleuteld met behulp van de Windows Cryptography API. Daarbij wordt een losgeldbericht achtergelaten met betalingsinstructies en een timer die aangeeft hoe lang er nog is voordat het losgeldbedrag stijgt. Het framework belemmert systeemherstel door de Volume Shadow Copy Service te beëindigen en schaduwkopieën te verwijderen. Daarnaast verwijdert het sporen met een anti-forensisch opschoonsysteem om incidentrespons te bemoeilijken. Ook worden schijfstructuren direct gemanipuleerd om partitie-informatie, opstartrecords of andere kritieke gebieden te beschadigen, waardoor het systeem onbruikbaar wordt.
Volgens de onderzoekers vertegenwoordigt CrownX de laatste fase van afpersing, maar reikt de schade verder dan alleen de versleuteling. Tegen de tijd dat het losgeldbericht verschijnt, heeft het framework al inloggegevens verzameld, command & control-communicatie opgezet, meerdere routes voor laterale beweging voorbereid en lokale herstelopties verzwakt. Een opvallend aspect is dat Avalon tekenen vertoont van door kunstmatige intelligentie ondersteunde ontwikkeling, waarbij meerdere componenten zijn samengevoegd zonder veel aandacht voor geavanceerde tactieken of operaties, aldus de onderzoekers van Blackpoint Cyber.
Reacties
Geef een reactie
Vereiste velden zijn gemarkeerd met *