새로운 Avalon 멀웨어 프레임워크, CrownX 랜섬웨어 기능 탑재
요약
새로운 모듈형 멀웨어 프레임워크인 Avalon이 발견되었습니다. 이 프레임워크는 CrownX 랜섬웨어를 포함하여 보안 솔루션을 회피하고 데이터를 탈취하는 정교한 기능을 갖추고 있으며, 특히 AI를 활용한 멀웨어 제작 트렌드를 보여줍니다.
핵심 포인트
- Avalon 프레임워크는 자격 증명 수집 및 CrownX 랜섬웨어 기능을 통합함
- MSBuid 및 ETW 방해를 통해 보안 제품의 탐지를 회피함
- AI 지원 개발을 통한 멀웨어 제작 진입 장벽 완화 현상 확인
- LLM 기반 에이전트형 랜섬웨어 등 AI 위협 환경의 고도화
사이버 보안 연구원들이 기존에 문서화되지 않았던 모듈형 멀웨어 프레임워크인 Avalon을 발견했습니다. 이 프레임워크는 전통적인 보안 제어를 회피하도록 설계된 정교한 다단계 피싱 체인을 통해 유포됩니다. Avalon은 자격 증명 수집 (credential harvesting), 측면 이동 (lateral movement), 원격 접속 (remote access), 시스템 복구 방해, 그리고 내부 랜섬웨어 구성 요소인 CrownX를 포함한 다양한 기능을 통합하고 있습니다. 공격은 일반적으로 위조된 법률 문서 이메일로 시작되며, 수신자를 Proton Drive에 있는 비밀번호로 보호된 아카이브로 유인합니다. 이 아카이브에는 LNK 파일이 포함된 악성 ISO 이미지가 들어 있습니다.
사용자가 상호작용하면, 이 LNK 파일들은 단계별 멀웨어 시퀀스를 트리거합니다. 여기에는 포렌식 가시성 (forensic visibility)을 줄이기 위해 Windows 이벤트 추적 (ETW, Event Tracing for Windows)을 방해하는 MSBuild 프로젝트가 포함되며, 이후 Avalon을 다운로드하고 실행합니다. 이 프레임워크는 Microsoft Defender, SentinelOne, CrowdStrike와 같은 주요 보안 제품을 표적으로 하는 광범위한 방어 회피 (defense evasion) 서브시스템을 특징으로 합니다. 그 포괄적인 기능은 수많은 브라우저와 암호화폐 지갑에서 자격 증명 및 민감한 데이터를 수집하는 것부터 정찰 (reconnaissance) 수행, helloxcherry[.]com으로의 데이터 유출, CrownX를 이용한 파일 암호화, 시스템 복구 저해, 그리고 사고 대응을 어렵게 만들기 위한 안티 포렌식 (anti-forensic) 정리 실행에 이릅니다. 특히, Avalon은 AI 지원 개발 (AI-assisted development)의 징후를 보이며, 이는 AI가 멀웨어 제작의 진입 장벽을 어떻게 낮추고 있는지를 강조합니다.
이러한 발견은 AI 위협 환경의 다른 중요한 조사 결과들과 일치합니다. Sysdig는 대규모 언어 모델(LLM)에 의해 처음부터 끝까지 구동되고 실시간으로 행동을 조정하는 최초로 공개 문서화된 에이전트형 랜섬웨어 감염체인 JADEPUFFER를 상세히 다루었습니다. 별도로, 자연어 지침을 셸 명령어(shell commands)로 번역하기 위해 공개 LLM API(api.groq[.]com)를 사용하는 Telegram 봇 기반의 AI 멀웨어가 발견되었으며, 이는 '코드 없는 공격(codeless attacks)'을 가능하게 합니다. 이러한 추세들은 집단적으로 정교한 사이버 위협이 더욱 접근하기 쉬워지고 있으며, 전통적인 위협 행위자 역량 평가에 도전하고 있음을 강조합니다.
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기