Avalon: Framework malware đa năng tích hợp ransomware CrownX đang gây chú ý
Các chuyên gia an ninh mạng vừa phát hiện Avalon, một framework malware tinh vi sử dụng kỹ thuật phishing đa giai đoạn để xâm nhập, đánh cắp dữ liệu và triển khai ransomware...
Các nhà nghiên cứu an ninh mạng vừa phát hiện một framework malware module hóa mới có tên mã Avalon. Điểm đáng chú ý của Avalon là khả năng vượt qua các biện pháp kiểm soát an ninh truyền thống thông qua chuỗi tấn công phishing đa giai đoạn.
Table Of Content
Cơ chế tấn công của Avalon
Avalon không chỉ là một công cụ đơn lẻ mà là một hệ sinh thái tích hợp nhiều tính năng: từ thu thập thông tin xác thực, di chuyển ngang (lateral movement), truy cập từ xa, vô hiệu hóa khả năng khôi phục hệ thống cho đến thực thi ransomware (được định danh nội bộ là CrownX).
Cuộc tấn công thường bắt đầu bằng email giả mạo tài liệu pháp lý, dẫn dụ nạn nhân tải xuống một tệp lưu trữ được bảo vệ bằng mật khẩu từ Proton Drive. Thay vì đính kèm trực tiếp, kẻ tấn công nhúng mã độc vào tệp ISO để tránh bị quét bởi các hệ thống bảo mật email. Khi người dùng mở tệp shortcut (.lnk) bên trong ISO, một chuỗi lệnh sẽ kích hoạt MSBuild để tải assembly .NET, can thiệp vào Event Tracing for Windows (ETW) nhằm che giấu dấu vết, sau đó tải payload chính của Avalon qua HTTPS.
Khả năng vượt mặt các giải pháp bảo mật
Avalon sở hữu hệ thống con tinh vi giúp né tránh sự phát hiện từ hàng loạt giải pháp bảo mật phổ biến như Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee và Bitdefender. Framework này có khả năng điều chỉnh hành vi thực thi tùy thuộc vào các biện pháp phòng thủ đang hiện diện trên máy chủ.
Các tính năng nguy hiểm
- Thu thập dữ liệu: Đánh cắp thông tin xác thực, cookie, lịch sử duyệt web từ các trình duyệt Chromium và Firefox; thu thập dữ liệu ví tiền điện tử và thông tin từ các ứng dụng như Discord, Slack, Teams, VPN.
- Tấn công ransomware: Mã hóa các tệp tin quan trọng, vô hiệu hóa Volume Shadow Copy Service để ngăn chặn khôi phục dữ liệu.
- Phá hoại hệ thống: Tương tác trực tiếp với cấu trúc đĩa để làm hỏng phân vùng hoặc bản ghi khởi động, khiến hệ thống không thể hoạt động.
- Anti-forensics: Tự động xóa dấu vết sau khi thực thi để gây khó khăn cho quá trình ứng cứu sự cố.
Dấu ấn của AI trong phát triển malware
Các chuyên gia nhận định Avalon có dấu hiệu được phát triển với sự hỗ trợ của AI. Điều này cho thấy rào cản kỹ thuật để tạo ra các công cụ tấn công phức tạp đang ngày càng thấp đi. Kẻ tấn công không cần phải có trình độ chuyên môn quá cao vẫn có thể tạo ra các framework nguy hiểm nhờ sự trợ giúp từ các mô hình ngôn ngữ lớn (LLM).
Sự xuất hiện của Avalon cùng với các xu hướng mới như agentic ransomware (điển hình là vụ việc JADEPUFFER tấn công qua lỗ hổng CVE-2025-3248) hay các malware điều khiển bằng lệnh tự nhiên qua Telegram cho thấy một kỷ nguyên mới của các cuộc tấn công tự động hóa, nơi AI đóng vai trò là lớp dịch thuật từ ngôn ngữ tự nhiên sang các lệnh shell độc hại.
Nguồn tham khảo: The Hacker News
No Comment! Be the first one.