إطار أفالون الخبيث ظهر كتهديد جديد في الأمن الرقمي، إذ يجمع سرقة البيانات والحركة الجانبية وتنفيذ فدية CrownX ضمن هجوم تصيد متعدد المراحل.
ما هو إطار أفالون الخبيث ولماذا يثير القلق؟
يرى باحثون في الأمن السيبراني أن Avalon ليس مجرد برمجية خبيثة تقليدية، بل منصة معيارية صُممت لتجميع عدة وظائف هجومية داخل سلسلة واحدة. هذا الدمج يمنح المهاجمين قدرة أعلى على التسلل، ثم توسيع السيطرة داخل الشبكة قبل الوصول إلى مرحلة الابتزاز.
الأخطر أن الهجوم لا يعتمد على ملف مرفق واضح كما في الحملات المعتادة، بل يبدأ برسالة بريد منتحلة الصفة تدفع الضحية إلى تنزيل أرشيف محمي بكلمة مرور. ووفقاً لتقرير تيكبامين، فإن هذا الأسلوب يرفع فرص تجاوز بوابات البريد وأنظمة الفحص الأولية.
كيف تبدأ سلسلة الهجوم ببرمجية Avalon؟
رسالة تصيد ثم ملف ISO مخادع
الرسالة الخادعة توجه المستخدم إلى ملف مستضاف سحابياً، وبعد فتحه يجد الضحية صورة ISO تحتوي على اختصار يبدو كأنه مستند قانوني. عند النقر على الاختصار، تبدأ سلسلة تحميل تدريجية تنتهي بزرع إطار أفالون الخبيث على الجهاز.
- المرحلة الأولى: بريد تصيد بانتحال مستند قانوني.
- المرحلة الثانية: تنزيل أرشيف محمي بكلمة مرور.
- المرحلة الثالثة: فتح ملف ISO بدل مرفق مباشر.
- المرحلة الرابعة: تشغيل ملف اختصار LNK لخداع المستخدم.
- المرحلة الخامسة: إطلاق مشروع MSBuild لتحميل الحمولة التالية.
بعد ذلك، يجري تحميل مكوّن .NET مدمج يعمل على تقليل الرؤية الجنائية عبر العبث بآليات Event Tracing for Windows، ثم يتصل بخادم خارجي عبر HTTPS لجلب المرحلة التالية المسؤولة عن تشغيل Avalon بالكامل.
ما قدرات أفالون الخبيث وRansomware CrownX؟
ما يميز هذه الحملة أن برمجية الفدية CrownX ليست إلا المرحلة الأخيرة. قبل ظهور رسالة الفدية، تكون المنصة قد جمعت بيانات حساسة، وفتحت قنوات تحكم عن بُعد، ومهّدت للحركة داخل الشبكة، كما عطلت خيارات الاستعادة المحلية قدر الإمكان.
- جمع بيانات الاعتماد وسرقة كلمات المرور.
- الوصول عن بُعد وتنفيذ الأوامر.
- الحركة الجانبية بين الأنظمة داخل الشبكة.
- تعطيل وسائل الاستعادة والتعافي.
- تشفير الملفات عبر وحدة CrownX.
منصات الحماية المستهدفة
تشير التفاصيل الفنية إلى أن الإطار يتضمن أساليب مراوغة تهدف إلى تقليل التنبيهات وتعديل السلوك وفق أدوات الحماية الموجودة على الجهاز. ويشمل ذلك محاولات للاختباء من منتجات أمنية معروفة في المؤسسات.
- Microsoft Defender
- SentinelOne
- CrowdStrike
- Sophos
- Elastic Endpoint
- FortiEDR وESET وMcAfee وBitdefender
هل تم تطوير Avalon بمساعدة الذكاء الاصطناعي؟
إحدى النقاط اللافتة أن الباحثين رصدوا مؤشرات على تطوير بعض مكونات Avalon بمساعدة أدوات ذكاء اصطناعي. هذا لا يعني بالضرورة احترافاً عالياً، لكنه يعكس كيف يمكن للتقنيات التوليدية أن تخفض حاجز الدخول أمام مطوري البرمجيات الخبيثة.
بالنسبة للمؤسسات، فإن الخطر لا يقتصر على تشفير الملفات، بل يمتد إلى سرقة الحسابات وتعطيل الاستجابة مبكراً. لذلك، يبقى إطار أفالون الخبيث مثالاً واضحاً على تصاعد الهجمات متعددة المراحل، وهو ما يدفع فرق الأمن إلى تشديد مراقبة ملفات ISO وLNK وتدفقات MSBuild، كما يؤكد تيكبامين أن الوعي البشري لا يزال خط الدفاع الأول.