팔로우 
요약
위협 클러스터가 자바 기반 Adwind RAT의 맞춤형 변형을 사용하여 JanaWare로 알려진 랜섬웨어 페이로드를 배포하고 있습니다. 이 활동은 주로 터키의 사용자들을 목표로 하며, 악성코드는 실행을 계속하기 전에 지역 및 IP 기반 확인을 수행합니다. 연구자들은 관련 샘플을 2020년부터 추적해왔으며, 최근의 명령 및 제어 활동은 해당 캠페인이 2025년에도 여전히 활성 상태임을 나타냅니다.
조사
Acronis TRU 팀은 Outlook과 Chrome을 통해 실행된 피싱 이메일을 통해 배포된 악성 JAR 파일을 조사했습니다. 실행되면, 감염 체인은 javaw.exe로 이동하여 맞춤형 Adwind RAT 변형을 로드하고 이후에 JanaWare 랜섬웨어 구성 요소를 배포했습니다. 분석 결과 다형적 JAR 파일, Tor 기반 명령 및 제어 인프라, 터키어로 작성된 몸값 메모가 사용된 것이 밝혀졌습니다.
완화
수비자는 악성 도메인 elementsplugin.duckdns.org 및 관련된 포트를 차단하고 환경 내에서 서명되지 않은 Java JAR 파일의 실행을 제한해야 합니다. 보안 팀은 또한 Google 드라이브에서의 다운로드와 관련된 의심스러운 chrome.exe 명령 라인을 주시하고 피싱 전달에 대한 이메일 보호를 강화해야 합니다. 엔드포인트 방어는 Adwind RAT 행동과 랜섬웨어 실행과 연결된 의심스러운 파일 암호화 활동을 식별하도록 조정되어야 합니다.
응답
감염이 의심되는 경우, 영향을 받은 시스템을 즉시 격리하고 javaw.exe 및 관련된 모든 악성 프로세스를 종료하며, 종료 또는 정리 전에 휘발성 증거를 캡처해야 합니다. 복구 노력은 검증된 클린 백업에서 파일을 복원하는 것을 우선시해야 합니다. 사고 대응 팀은 또한 사용 가능한 명령 및 제어 텔레메트리를 수집하고, 몸값 요구나 갈취가 관련된 경우 법 집행 알림의 적합성을 평가해야 합니다.
graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff classDef operator fill:#ff9900 %% Nodes action_phishing[“<b>작업</b> – <b>T1566 피싱</b>: 악성 Google Drive 링크가 포함된 피싱 이메일 전송”] class action_phishing action tool_malicious_link[“<b>도구</b> – <b>이름</b>: 악성 Google Drive 링크”] class tool_malicious_link tool action_user_exec[“<b>작업</b> – <b>T1204.001 사용자 실행</b>: 사용자가 클릭하고 Chrome이 JAR 다운로드”] class action_user_exec action process_chrome[“<b>프로세스</b> – Chrome 브라우저”] class process_chrome process malware_obf_jar[“<b>악성코드</b> – 난독화된 JAR (Allatori/Stringer)”] class malware_obf_jar malware process_javaw[“<b>프로세스</b> – javaw.exe (JamPlus)”] class process_javaw process action_obfuscation[“<b>작업</b> – <b>T1027 난독화 파일</b>: 다형성 코드 및 API 동적 호출”] class action_obfuscation action action_persistence[“<b>작업</b> – <b>T1547.014 Active Setup</b>: 자동 실행 레지스트리 생성”] class action_persistence action action_impair_defense[“<b>작업</b> – <b>T1562 방어 무력화</b>: Defender 비활성화”] class action_impair_defense action process_powershell[“<b>프로세스</b> – PowerShell”] class process_powershell process action_recovery_inhibit[“<b>작업</b> – <b>T1490 복구 방해</b> 및 <b>T1070.004 파일 삭제</b>”] class action_recovery_inhibit action action_encrypt[“<b>작업</b> – <b>T1486 데이터 암호화</b>: 랜섬웨어 실행”] class action_encrypt action malware_ransomware[“<b>악성코드</b> – 랜섬웨어 모듈”] class malware_ransomware malware action_c2_obfusc[“<b>작업</b> – <b>T1001 데이터 난독화</b>: Tor 사용”] class action_c2_obfusc action tool_tor[“<b>도구</b> – Tor 네트워크”] class tool_tor tool action_exfil[“<b>작업</b> – <b>T1041 데이터 유출</b>”] class action_exfil action %% Connections action_phishing –>|delivers| tool_malicious_link tool_malicious_link –>|opened by victim leads to| action_user_exec action_user_exec –>|downloads via| process_chrome process_chrome –>|saves and launches| malware_obf_jar malware_obf_jar –>|executed by| process_javaw process_javaw –>|performs| action_obfuscation process_javaw –>|establishes| action_persistence action_persistence –>|writes registry for| action_impair_defense action_impair_defense –>|uses| process_powershell action_impair_defense –>|enables| action_recovery_inhibit action_recovery_inhibit –>|precedes| action_encrypt action_encrypt –>|loads| malware_ransomware malware_ransomware –>|communicates via| action_c2_obfusc action_c2_obfusc –>|routes through| tool_tor tool_tor –>|enables| action_exfil malware_ransomware –>|exfiltrates data| action_exfil
공격 흐름
탐지
의심스러운 위치에서 Java 앱 실행 (via process_creation)
보기
데이터 침입/유출/제3자 서비스/도구 경유의 C2 가능성 (via dns)
보기
IP 조회 도메인 통신 시도 가능성 (via dns)
보기
다이내믹 DNS 서비스가 접속됨 (via dns)
보기
IOCs (SourceIP) 감지: Adwind RAT를 통해 터키를 타겟으로 하는 새로운 JanaWare 랜섬웨어
보기
IOCs (DestinationIP) 감지: Adwind RAT를 통해 터키를 타겟으로 하는 새로운 JanaWare 랜섬웨어
보기
Microsoft Defender를 비활성화하거나 약화시키기 위한 PowerShell 명령 [Windows PowerShell]
보기
피싱 및 Java 아카이브 실행을 통한 JanaWare 랜섬웨어 전달 [Windows 프로세스 생성]
보기
시뮬레이션 실행
전제조건: 텔레메트리 & 기준선 프리플라이트 체크가 통과해야 합니다.
이성적 근거: 이 섹션은 탐지 규칙을 작동시키기 위한 공격자 기술 (TTP)의 정확한 실행을 자세히 설명합니다. 명령과 설명은 식별된 TTP을 직접 반영해야 하며, 탐지 논리로 기대되는 정확한 텔레메트리 생성을 목표로 합니다.
-
공격 내러티브 및 명령:
낮은 권한의 사용자 액세스를 획득한 공격자가 랜섬웨어 배포를 위한 Windows Defender를 비활성화하려고 합니다. 서명된powershell.exe바이너리 (T1218.001)를 활용하여 공격자는 실시간 모니터링을 비활성화하고 클라우드 기반 보호를 비활성화하는 간단한 명령을 실행함으로써 엔드포인트의 방어 태세를 약화시킵니다.# 실시간 모니터링 및 클라우드 보호 비활성화 Set-MpPreference -DisableRealtimeMonitoring $true -MAPSReporting Disable명령 라인에는
Set-MpPreference키워드가 포함되어 있으며, 이는 탐지 규칙의선택기준과 일치합니다. -
회귀 테스트 스크립트: 다음의 독립형 PowerShell 스크립트는 공격을 재현하여 텔레메트리가 생성되도록 합니다.
# ============================== # 시뮬레이션: Microsoft Defender 비활성화 # ============================== try { Write-Host "[*] 실시간 모니터링 비활성화 중..." Set-MpPreference -DisableRealtimeMonitoring $true -MAPSReporting Disable Write-Host "[+] Defender 비활성화됨." } catch { Write-Error "Defender 환경 설정 수정 실패: $_" } -
정리 명령: 엔드포인트가 노출되지 않도록 원래의 Defender 구성을 복원하십시오.
# 실시간 모니터링 및 클라우드 보호 재활성화 Set-MpPreference -DisableRealtimeMonitoring $false -MAPSReporting Advanced Write-Host "[*] Defender가 기본 상태로 복원됨."