Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Кластер загроз використовує модифікований варіант на основі Java Adwind RAT для розгортання програмного забезпечення для шкеттування під назвою JanaWare. Діяльність в основному спрямована на користувачів у Туреччині, причому шкідливе програмне забезпечення виконує локальні та IP-перевірки перед продовженням виконання. Дослідники відстежують пов’язані зразки з 2020 року, тоді як більш недавня діяльність командування та контролю вказує на те, що кампанія залишалася активною у 2025 році.
Розслідування
Команда Acronis TRU досліджувала шкідливі JAR-файли, розповсюджені через фішингові електронні листи, які запускались через Outlook та Chrome. Після виконання інфекційний ланцюжок перейшов до javaw.exe, який завантажував спеціально підготовлений варіант Adwind RAT і згодом розгортало компонент шкідливого програмного забезпечення JanaWare. Аналіз також показав використання поліморфних JAR-файлів, командно-контрольної інфраструктури на базі Tor та викупної записки, написаної турецькою мовою.
Пом’якшення
Захисникам слід заблокувати шкідливий домен elementsplugin.duckdns.org та будь-які пов’язані порти, при цьому обмеживши виконання непідписаних Java JAR-файлів у всій мережі. Також командам безпеки потрібно слідкувати за підозрілими chrome.exe командними рядками, пов’язаними із завантаженнями з Google Drive, і підсилити захист електронної пошти проти доставки фішингу. Захист кінцевих точок повинен бути налаштований для ідентифікації поведінки Adwind RAT, а також підозрілої діяльності шифрування файлів, пов’язаної з виконанням шкідливого програмного забезпечення з вимогою викупу.
Відповідь
Якщо підозра на інфікування, ізолюйте уражені системи негайно, завершите javaw.exe та будь-які пов’язані шкідливі процеси, і захопіть нестійкі дані перед вимиканням або очищенням. Зусилля з відновлення повинні пріоритетувати відновлення файлів з перевірених чистих резервних копій. Команди з реагування на інциденти повинні також зібрати доступну телеметрію командування та контролю і оцінити, чи доречно повідомити правоохоронні органи у випадках, які стосуються вимог викупу або шантажу.
graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff classDef operator fill:#ff9900 %% Nodes action_phishing[“<b>Дія</b> – <b>T1566 Фішинг</b>: Надсилання фішингового листа з шкідливим посиланням Google Drive”] class action_phishing action tool_malicious_link[“<b>Інструмент</b> – <b>Назва</b>: Шкідливе посилання Google Drive”] class tool_malicious_link tool action_user_exec[“<b>Дія</b> – <b>T1204.001 Виконання користувачем</b>: Жертва натискає; Chrome завантажує шкідливий JAR”] class action_user_exec action process_chrome[“<b>Процес</b> – Браузер Chrome”] class process_chrome process malware_obf_jar[“<b>Шкідливе ПЗ</b> – Обфускований JAR (Allatori/Stringer)”] class malware_obf_jar malware process_javaw[“<b>Процес</b> – javaw.exe (JamPlus)”] class process_javaw process action_obfuscation[“<b>Дія</b> – <b>T1027 Обфусковані файли</b>: Поліморфний код, junk-вставки, динамічні API”] class action_obfuscation action action_persistence[“<b>Дія</b> – <b>T1547.014 Active Setup</b>: Запис у реєстр для автозапуску”] class action_persistence action action_impair_defense[“<b>Дія</b> – <b>T1562 Порушення захисту</b>: Вимикає Defender, Windows Update, VSS”] class action_impair_defense action process_powershell[“<b>Процес</b> – PowerShell”] class process_powershell process action_recovery_inhibit[“<b>Дія</b> – <b>T1490 Відновлення системи</b> та <b>T1070.004 Видалення файлів</b>”] class action_recovery_inhibit action action_encrypt[“<b>Дія</b> – <b>T1486 Шифрування даних</b>: Завантажує ransomware, AES-шифрування”] class action_encrypt action malware_ransomware[“<b>Шкідливе ПЗ</b> – Модуль ransomware”] class malware_ransomware malware action_c2_obfusc[“<b>Дія</b> – <b>T1001 Обфускація даних</b>: Використання Tor”] class action_c2_obfusc action tool_tor[“<b>Інструмент</b> – Мережа Tor”] class tool_tor tool action_exfil[“<b>Дія</b> – <b>T1041 Ексфільтрація через C2</b>”] class action_exfil action %% Connections action_phishing –>|delivers| tool_malicious_link tool_malicious_link –>|opened by victim leads to| action_user_exec action_user_exec –>|downloads via| process_chrome process_chrome –>|saves and launches| malware_obf_jar malware_obf_jar –>|executed by| process_javaw process_javaw –>|performs| action_obfuscation process_javaw –>|establishes| action_persistence action_persistence –>|writes registry for| action_impair_defense action_impair_defense –>|uses| process_powershell action_impair_defense –>|enables| action_recovery_inhibit action_recovery_inhibit –>|precedes| action_encrypt action_encrypt –>|loads| malware_ransomware malware_ransomware –>|communicates via| action_c2_obfusc action_c2_obfusc –>|routes through| tool_tor tool_tor –>|enables| action_exfil malware_ransomware –>|exfiltrates data| action_exfil
Потік атаки
Детекції
Виконання Java додатків із підозрілого місця розташування (через process_creation)
Переглянути
Можливе проникнення/експорт даних/C2 через сторонні сервіси/інструменти (через dns)
Переглянути
Можливий запит до домену перевірки IP адресу (через dns)
Переглянути
Можливий запит до динамічного DNS сервісу (через dns)
Переглянути
IOCs (SourceIP) для виявлення: Нове програмне забезпечення з вимогою викупу JanaWare націлює Туреччину за допомогою Adwind RAT
Переглянути
IOCs (DestinationIP) для виявлення: Нове програмне забезпечення з вимогою викупу JanaWare націлює Туреччину за допомогою Adwind RAT
Переглянути
Команди PowerShell для відключення або ослаблення Microsoft Defender [Windows Powershell]
Переглянути
Доставка програмного забезпечення з вимогою викупу JanaWare через фішинг і виконання архіву Java [створення процесу Windows]
Переглянути
Виконання симуляції
Передумова: Телеметрія та перевірка базової лінії повинні пройдені.
Обґрунтування: Ця секція детально описує точне виконання техніки супротивника (TTP), спрямованої на ініціювання правила виявлення. Команди та наратив ПОВИННІ прямо відображати ідентифіковані TTP та мати на меті створення очікуваної телеметрії.
-
Опис атаки та команди:
Атакуючий, який отримав доступ з низькими привілеями, прагне відключити Windows Defender, щоб забезпечити умов для розгортання програмного забезпечення для вимоги викупу. Використовуючи підписанийpowershell.exeбінарний файл (T1218.001), атакуючий запускає однолінійний сценарій, який відключає моніторинг у реальному часі та відключає захист на базі хмари, тим самим підсилюючи захисну позицію кінцевого пункту.# Відключити моніторинг у реальному часі та захист на основі хмари Set-MpPreference -DisableRealtimeMonitoring $true -MAPSReporting DisableКомандний рядок містить
Set-MpPreferenceключове слово, яке відповідає критеріямвиборуправила виявлення. -
Сценарій тесту регресії: Наступний самостійний сценарій PowerShell відтворює атаку та забезпечує створення телеметрії.
# ============================== # Симуляція: Відключення Microsoft Defender # ============================== try { Write-Host "[*] Відключення моніторингу у реальному часі..." Set-MpPreference -DisableRealtimeMonitoring $true -MAPSReporting Disable Write-Host "[+] Defender відключено." } catch { Write-Error "Не вдалося змінити налаштування Defender: $_" } -
Команди очищення: Відновіть вихідну конфігурацію Defender, щоб уникнути залишення кінцевої точки вразливою.
# Поновити моніторинг у реальному часі та захист на основі хмари Set-MpPreference -DisableRealtimeMonitoring $false -MAPSReporting Advanced Write-Host "[*] Defender відновлено до стандартного стану."