これまで確認されていなかったマルウェアフレームワーク「Avalon」が発見されました。偽装した法的文書をおとりに使い、複数段階かつファイルレス指向の攻撃チェーンを通じて、内部で「CrownX」と呼ばれるランサムウェアコンポーネントを配布していることが分かりました。
このキャンペーンは、複数の攻撃機能を単一の回収可能なペイロードに統合するという傾向を示しており、AIによる支援が疑われる最新の開発手法によって、脅威アクターが高度でモジュール化されたツールセットを展開するハードルが下がっていることを浮き彫りにしています。
ペイロードをメール本文の外に隠すことで、メールゲートウェイによる検査の機会を減らしていました。アーカイブにはISOイメージが含まれており、マウントすると文書風のショートカットと、偽の「Mimecast Secure File Logs」フォルダが表示される仕組みになっていました。
これらの表示用ファイルは安全な文書であるという偽装を強化する役割を果たしており、実際のペイロードは.tmp拡張子で偽装されたMSBuildプロジェクトファイル内に潜んでいました。
メモリ内で動作するローダーは、複数のテレメトリ回避手法を実装していました。ETW(Event Tracing for Windows)のエントリポイントを解決してパッチを当てるとともに、AMSI(Antimalware Scan Interface)の処理を改ざんし、セキュリティ製品が「成功」と誤認するか、検知自体を回避されるようにしていました。
マネージドダウンローダーは、許容的な証明書コールバック、ブラウザを模したUser-Agent、カスタムリクエストヘッダーを使って、暗号化されたリモートペイロードを取得していました。
そのレスポンスの復号には、HMAC-SHA256による鍵付き検証と、オフセットを利用したキーストリームが必要であり、サーバーから配信されるPEファイルを受動的な解析に対して耐性のあるものにしていました。
BlackpointのAdversary Pursuit Group(APG)がこのマルウェアフレームワークを発見し、現在「Avalon」として追跡しています。この侵入は、もっともらしく偽装されたメールから始まり、マルウェアをメッセージに添付するのではなく、Proton Drive上のパスワード保護されたアーカイブへ受信者を誘導する形を取っていました。
CrownXランサムウェアの機能
ローダーは復号したPEファイルを手動でプロセスメモリにマッピングし、インポートを解決し、リロケーションを適用し、例外テーブルを登録していました。これにより、最終的なネイティブバイナリは新規プロセスを生成することも、ディスク上にファイルを残すこともなく実行できるようになっていました。
ショートカットを起動するとcmd.exeが呼び出され、続いてMSBuild.exeが実行されます。MSBuild.exeはCodeTaskFactoryを悪用して埋め込まれたC#コードをコンパイル・実行し、次段階のアセンブリを完全にメモリ上でロードすることで、ディスクに保存された実行ファイルを使わずに済ませていました。
回収されたネイティブインプラントは、Avalonというオーケストレーションフレームワークとして機能し、認証情報窃取、永続化、横展開、アンチフォレンジック、復旧妨害、恐喝の各機能を一つのパッケージに統合していました。
Avalonは、ブラウザデータ(Chromiumおよびfirefoxのストアを含む)、ウォレットや暗号資産関連ファイル、メッセージングアプリのトークン、VPNおよびSSHキー関連の情報、Wi-Fiプロファイル、そしてDPAPI呼び出しを通じてWindowsの認証情報データを収集していました。
その後、FlushViewOfFileによって変更されたデータがディスクに書き戻され、SetEndOfFileによってメタデータの追加・削除後にファイルの最終サイズを調整できるようになっていました。
また、弱い認証情報や窃取した認証情報を、拡散のために有効なアクセス権へと変換するローカル認証情報検証ルーチンも備えていました。C2通信にはWinHTTPによるPOSTリクエストを使用し、helloxcherry[.]com上の/api/v2/taskingエンドポイントへ、正規のWebトラフィックに見えるよう整形して送信していました。
Avalonは価値の高いターゲットやVeeamなどのバックアップ基盤、Acronis、NetApp、Synology、Hyper-V、vCenterなどを優先的に狙い、管理共有や一般に書き込み可能なシステムパスを通じて後続のコンポーネントを展開していました。
HTML形式の身代金要求メッセージのテンプレートは、単なる静的な支払い要求メッセージにとどまりませんでした。暗号化されたファイル数など、被害システムから取得した詳細情報をCrownXが埋め込めるプレースホルダーが用意されていました。
信頼されたMicrosoft純正ツール(MSBuild、csc、InstallUtil)を活用して.NETコンポーネントをリモートで実行しており、制約の多い環境でも攻撃を成功させやすくしていました。
ランサムウェアモジュールであるCrownXは、Windows CNGとAES-GCMによる堅牢な暗号化を実装しており、効率的な一括暗号化のためにファイルマッピングを使用し、トランザクション形式のファイル操作をサポートするとともに、鍵が提供された際に制御された復号ができるよう構造化されたメタデータをファイルに付加していました。
CrownXはまた、VSSスナップショットの停止・削除、復旧環境関連情報の破壊、システム復元メタデータの削除を通じて、復旧手段を無力化しようとしていました。
包括的なアンチフォレンジックサブシステムが、Prefetch、AmCache、SRUM、ShimCache、タイムライン関連の痕跡、PowerShellの履歴、RDPキャッシュなど、調査担当者にとって重要な記録を削除していました。
さらにAvalonには、物理ドライブを直接上書きできるディスクアクセスルーチンも含まれており、単なる復元可能な暗号化にとどまらず、復旧不能なダメージにまで発展するリスクがありました。
運用面で見たAvalonの重要性は、その統合性とアクセスのしやすさにあります。認証情報窃取、永続化、ランサムウェアが開発者によって単一のフレームワークとしてラベル付けされ一体化されており、最新の支援ツールによって迅速に組み上げられた可能性を示す証拠も見つかっています。
侵害指標(IoC)
| 種別 | 指標 | 内容 |
| ISOイメージ | Secure_Document_CA-283505_pdf.iso | 偽のPDFショートカットとMSBuildプロジェクトを含むマウントイメージ。 |
| ショートカット | Secure Document CA-283505.pdf.lnk | cmd.exeを起動する偽のPDFショートカット。Microsoft Edgeのアイコンを使用。 |
| MSBuildプロジェクト | Mimecast Secure File Logs\zfighv.tmp | ISOからコピーされた悪意のあるMSBuild XMLプロジェクト。 |
| おとりファイル | Mimecast Secure File Logs\verification.txt | ISO内のおとりテキストファイル。 |
| おとりファイル | Mimecast Secure File Logs\manifest.xml | ISO内のおとりXMLファイル。 |
| 一時プロジェクトパス | %TEMP%\ngen0cc9.dat | MSBuild.exeが実行するMSBuildプロジェクトの一時コピー。 |
| ステージングドメイン | helloxcherry[.]com | マネージドローダーが通信するリモートステージングドメイン。 |
| ステージングURL | hxxps://helloxcherry[.]com/cdn/static/c3587edc48c37656b29bcd3da9458eea/update | マネージドローダーが取得する暗号化されたリモートオブジェクト。後のサンドボックステストではURLは利用不可だった。 |
| HTTPヘッダー | X-Edge-Cache: e3ec5926a167d6e3359f98cdfb7ac3b2cce97652843056505d02e6d2898573c6 | リモートステージの取得時にマネージドローダーが送信するカスタムヘッダー。 |
| User Agent | Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 | マネージドローダーが送信するUser Agent。 |
| 暗号化ファイル拡張子 | .8hn2yc | CrownXによって暗号化されたファイルに関連付けられる拡張子。 |
| 暗号資産アドレス | bc1qq9tx6p99jpqcj9p6nr3mwc3f9q3sxmj45l4anz | 身代金要求メッセージに埋め込まれたビットコインアドレス。 |
注: IPアドレスおよびドメインは、誤って名前解決やハイパーリンク化されることを防ぐため、意図的に無害化表記(例: [.])にしています。再度有効な表記に戻す作業は、MISP、VirusTotal、あるいは自組織のSIEMなど、管理された脅威インテリジェンス基盤の中でのみ行ってください。
翻訳元: https://gbhackers.com/crownx-ransomware-capabilities/