Avalon Modüler Kötü Amaçlı Yazılım Çerçevesi
Güvenlik araştırmacıları, geleneksel güvenlik önlemlerini aşabilen çok aşamalı bir kimlik avı zinciri aracılığıyla dağıtılan, daha önce belgelenmemiş bir modüler kötü amaçlı yazılım çerçevesi olan Avalonu keşfetti. Bu yazılım, kimlik toplama, yan hareket, uzaktan erişim, kurtarma engelleme ve fidye yazılımı yürütme işlevlerini bir arada sunmaktadır.
Saldırı Nasıl Çalışıyor?
Saldırı, alıcıları bir şifre korumalı arşiv dosyasına yönlendiren sahte bir yasal belge e-postası ile başlamaktadır. Proton Drive üzerinde bulunan bu arşiv, zararlı içeriğin doğrudan ek olarak değil, bir ISO görüntüsü içinde yerleştirilmesi sayesinde daha az tespit riski taşımaktadır. E-posta alıcısı, ISO görüntüsü içinde “Secure Document CA-283505.pdf.lnk” adındaki bir Windows kısayoluna etkileşime geçerse, bu, Avalon’ı başlatan aşamalı bir kötü amaçlı yazılım dizisini tetiklemektedir.
Kısayol, ISO görüntüsünde bulunan bir MSBuild projesini çalıştıran bir komut çalıştırır. Bu proje, herhangi bir tespit için görünürlüğü azaltmak amacıyla Event Tracing for Windows (ETW) fonksiyonunu etkiler ve Avalon’ı başlatmak için gerekli bir sonraki aşama yükünü HTTPS üzerinden indirir.
Etkilenen Sistemler
Avalon çerçevesi, çeşitli güvenlik araçlarına karşı yapıyı gizlemek için kapsamlı bir savunma aşma alt sistemine sahiptir. Bu, aşağıdaki hedef sistemleri kapsar:
- Microsoft Defender
- SentinelOne
- CrowdStrike
- Sophos
- Elastic Endpoint
- FortiEDR
- ESET
- McAfee
- Bitdefender
Avalon, kullanıcıdan bilgi toplama, şifre ve tarayıcı geçmişi gibi verileri çalma, hem fiziksel hem de sanal sistemlerde saldırı yapma yeteneğine sahiptir. Bu çerçeve ayrıca, kullanıcıların kripto para cüzdanları gibi hassas bilgileri toplamak ve uzaktan komutlar almak için bir sunucuya veri aktarmak gibi eylemleri gerçekleştirmektedir.
Çözüm ve Korunma
- Tüm sistemler için en güncel güvenlik yamalarının uygulanması.
- Aşamalı yükleri tanımlamak için e-posta istemcilerindeki “ekleri aç” ayarlarının gözden geçirilmesi.
- sahte e-posta içeriklerine karşı kullanıcı eğitimlerinin artırılması.
- Ağ güvenlik duvarı ayarlarının sıkılaştırılması ve gereksiz portların kapatılması.
Kötü amaçlı yazılımlar gün geçtikçe daha sofistike hale geldiğinden, sistem yöneticileri ve kullanıcıların bilinçli olması önemlidir. Bunlara ek olarak, uzaktan erişim ve sistem kurtarma seçeneklerinin güvenliği artırılmalıdır.
Sonuç
Kullanıcıların bilgisayarlarını ve verilerini korumak amacıyla düzenli güncellemeler yapması, tehlikeli ve şüpheli içeriklere karşı dikkatli olması ve sistem ayarlarını gözden geçirmesi gerekmektedir. Herhangi bir şüpheli aktivite tespit edilirse, derhal gerekli güvenlik önlemleri alınmalıdır.


