softovator.com

Kerangka Malware Baru Gabungkan Ransomware CrownX dan Kemampuan Canggih Lainnya

Peneliti keamanan siber baru-baru ini menemukan kerangka kerja malware modular yang belum terdokumentasi sebelumnya, diberi kode nama Avalon. Framework ini didistribusikan melalui rantai phishing multi-tahap, sebuah metode yang diklaim mampu melewati kontrol keamanan tradisional.

Menurut laporan dari Blackpoint Cyber, Avalon bukan hanya sekadar alat enkripsi biasa. Kerangka kerja canggih ini menggabungkan berbagai fungsi berbahaya—mulai dari pengumpulan kredensial, pergerakan lateral (lateral movement), akses jarak jauh, gangguan pemulihan data, hingga eksekusi ransomware yang secara internal dinamai CrownX.

Pakar keamanan menjelaskan bahwa kerumitan serangan ini terletak pada penyamarannya. Serangan awal dimulai dengan email dokumen hukum palsu, mengarahkan penerima ke arsip terproteksi kata sandi di Proton Drive. Konten berbahaya tidak dilampirkan langsung melainkan disematkan di dalam gambar ISO (ISO image).

Ketika korban berinteraksi dengan shortcut bertema dokumen (“Secure Document CA-283505.pdf.lnk”) di dalam citra yang dimount, serangkaian malware akan terpicu secara bertahap. Pemicu ini menjalankan proyek MSBuild yang kemudian memuat assembly .NET tertanam. Langkah ini sangat penting karena tujuannya adalah mengganggu fungsi Event Tracing for Windows (ETW), sehingga mengurangi visibilitas forensik sebelum mengunduh payload tahap berikutnya melalui HTTPS untuk meluncurkan Avalon secara penuh.

Mengapa Avalon Sangat Berbahaya?

Kemampuan yang dimiliki kerangka kerja Avalon membuatnya sangat sulit dideteksi dan dihentikan. Malware ini membanggakan subsistem penghindaran pertahanan (defense evasion) yang luas, dirancang khusus untuk lolos dari berbagai alat keamanan kelas atas seperti Microsoft Defender, SentinelOne, CrowdStrike, Sophos, hingga Bitdefender.

Para peneliti menekankan bahwa kapabilitas semacam ini memberi kerangka kerja banyak cara untuk mengurangi telemetri sistem, melewati pemantauan mode pengguna (user mode monitoring), dan menyesuaikan eksekusi berdasarkan kontrol defensif yang ada pada host target. 🛡️

Meskipun CrownX adalah tahap pemerasan akhir, dampak bahayanya jauh melampaui enkripsi data itu sendiri. Sebelum pesan tebusan muncul, kerangka kerja Avalon telah menyelesaikan langkah-langkah krusial lainnya: pengumpulan kredensial, pembentukan komunikasi C2 (Command and Control), persiapan jalur pergerakan lateral yang beragam, dan melemahkan opsi pemulihan lokal korban.

Tren Baru Ancaman Malware Berbasis AI

Penemuan Avalon ini menyoroti tren peningkatan ancaman siber yang dipengaruhi oleh Kecerdasan Buatan (AI). Kehadiran kemampuan-kemampuan canggih semacam itu tidak lagi menjadi indikator kuat dari tingkat kecanggihan atau kematangan operasional aktor ancaman.

Sebaliknya, AI kini telah menurunkan barrier to entry dalam pengembangan malware. Hal ini membuat pembuatan alat berbahaya lebih mudah diakses dengan waktu dan usaha yang minimal, bahkan memungkinkan pelaku tanpa keahlian teknis mendalam untuk menghasilkan alat kompleks.

Tren ini diperkuat oleh temuan-temuan terbaru lainnya:

1. Ransomware Agen (Agentic Ransomware) LLM:

Sysdig melaporkan insiden infeksi ransomware paling awal terdokumentasi secara publik yang didorong oleh Large Language Model (LLM). Dalam operasi ini, aktor ancaman berhasil mengakses sistem melalui kerentanan dan menjalankan kampanye otomatis adaptif. Mereka melakukan pivot ke target yang dituju, menjalankan permainan perusakan basis data (database-extortion playbook) di server produksi korban.

2. Serangan Tanpa Kode (Codeless Attack) LLM:

Ditemukan pula malware AI yang menggabungkan bot Telegram dengan API publik LLM untuk melancarkan serangan tanpa kode. Setelah sistem disusupi, implant akan mengirim detail sistem ke bot Telegram milik penyerang dan masuk ke loop C2.

Keunikan dari malware ini adalah setiap perintah teks natural language yang diketik oleh penyerang di Telegram diterjemahkan oleh endpoint LLM publik menjadi perintah shell command setara. Korban hanya perlu menjalankan perintah shell tanpa mengetahui sintaksis baris perintah sama sekali. 💡

Temuan-temuan ini secara kolektif menunjukkan pergeseran signifikan dalam lanskap keamanan siber: kerumitan menyerang kini semakin menurun, dan ancaman dapat diotomatisasi dengan biaya yang mendekati nol bagi para pelaku kejahatan siber.


Exit mobile version