Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Ein Bedrohungscluster verwendet eine angepasste Variante des Java-basierten Adwind RAT, um eine Ransomware-Payload namens JanaWare bereitzustellen. Die Aktivität richtet sich hauptsächlich an Benutzer in der Türkei, wobei die Malware lokale und IP-basierte Überprüfungen durchführt, bevor sie die Ausführung fortsetzt. Forscher haben seit 2020 verwandte Proben verfolgt, während neuere Command-and-Control-Aktivitäten darauf hindeuten, dass die Kampagne 2025 aktiv blieb.
Untersuchung
Das Acronis TRU-Team untersuchte bösartige JAR-Dateien, die über Phishing-E-Mails verbreitet wurden, welche über Outlook und Chrome gestartet wurden. Nach der Ausführung wechselte die Infektionskette zu javaw.exe, welches den maßgeschneiderten Adwind RAT-Strain lud und später die JanaWare-Ransomware-Komponente bereitstellte. Die Analyse zeigte auch die Verwendung polymorpher JAR-Dateien, Tor-basierter Command-and-Control-Infrastruktur und eine Erpressernachricht auf Türkisch.
Eindämmung
Verteidiger sollten die bösartige Domain blockieren elementsplugin.duckdns.org und alle damit verbundenen Ports, während die Ausführung unsignierter Java-JAR-Dateien in der gesamten Umgebung eingeschränkt wird. Sicherheitsteams sollten auch auf verdächtige chrome.exe Befehlszeilen achten, die mit Downloads von Google Drive verbunden sind, und den E-Mail-Schutz gegen Phishing-Übertragungen verstärken. Endpunktverteidigungen sollten abgestimmt werden, um das Verhalten von Adwind RAT sowie verdächtige Dateiverschlüsselungsaktivitäten im Zusammenhang mit der Ausführung von Ransomware zu identifizieren.
Reaktion
Bei Verdacht auf Infektion sollten betroffene Systeme sofort isoliert und javaw.exe und alle damit verbundenen bösartigen Prozesse beendet und flüchtige Beweise vor dem Herunterfahren oder Bereinigen erfasst werden. Die Wiederherstellungsmaßnahmen sollten darauf abzielen, Dateien aus verifizierten sauberen Backups wiederherzustellen. Die Vorfallreaktionsteams sollten auch verfügbare Command-and-Control-Telemetrie sammeln und bewerten, ob eine Benachrichtigung der Strafverfolgungsbehörden in Fällen mit Lösegeldforderungen oder Erpressung angemessen ist.
graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff classDef operator fill:#ff9900 %% Nodes action_phishing[„<b>Aktion</b> – <b>T1566 Phishing</b>: Versand einer Phishing-E-Mail mit schädlichem Google-Drive-Link“] class action_phishing action tool_malicious_link[„<b>Tool</b> – <b>Name</b>: Bösartiger Google-Drive-Link“] class tool_malicious_link tool action_user_exec[„<b>Aktion</b> – <b>T1204.001 Benutzerausführung</b>: Opfer klickt; Chrome lädt schädliches JAR herunter“] class action_user_exec action process_chrome[„<b>Prozess</b> – Chrome-Browser“] class process_chrome process malware_obf_jar[„<b>Malware</b> – Verschleiertes JAR (Allatori/Stringer)“] class malware_obf_jar malware process_javaw[„<b>Prozess</b> – javaw.exe (JamPlus)“] class process_javaw process action_obfuscation[„<b>Aktion</b> – <b>T1027 Verschleierte Dateien</b>: Polymorpher Code, Junk-Code, dynamische API-Auflösung“] class action_obfuscation action action_persistence[„<b>Aktion</b> – <b>T1547.014 Active Setup</b>: Registry-Eintrag für Autostart“] class action_persistence action action_impair_defense[„<b>Aktion</b> – <b>T1562 Abwehrmaßnahmen beeinträchtigen</b>: Deaktiviert Defender und Updates“] class action_impair_defense action process_powershell[„<b>Prozess</b> – PowerShell“] class process_powershell process action_recovery_inhibit[„<b>Aktion</b> – <b>T1490 Wiederherstellung verhindern</b> und <b>T1070.004 Dateilöschung</b>“] class action_recovery_inhibit action action_encrypt[„<b>Aktion</b> – <b>T1486 Datenverschlüsselung</b>: Ransomware-Modul wird geladen“] class action_encrypt action malware_ransomware[„<b>Malware</b> – Ransomware-Modul“] class malware_ransomware malware action_c2_obfusc[„<b>Aktion</b> – <b>T1001 Datenverschleierung</b>: Nutzung von Tor“] class action_c2_obfusc action tool_tor[„<b>Tool</b> – Tor-Netzwerk“] class tool_tor tool action_exfil[„<b>Aktion</b> – <b>T1041 Exfiltration über C2</b>“] class action_exfil action %% Connections action_phishing –>|delivers| tool_malicious_link tool_malicious_link –>|opened by victim leads to| action_user_exec action_user_exec –>|downloads via| process_chrome process_chrome –>|saves and launches| malware_obf_jar malware_obf_jar –>|executed by| process_javaw process_javaw –>|performs| action_obfuscation process_javaw –>|establishes| action_persistence action_persistence –>|writes registry for| action_impair_defense action_impair_defense –>|uses| process_powershell action_impair_defense –>|enables| action_recovery_inhibit action_recovery_inhibit –>|precedes| action_encrypt action_encrypt –>|loads| malware_ransomware malware_ransomware –>|communicates via| action_c2_obfusc action_c2_obfusc –>|routes through| tool_tor tool_tor –>|enables| action_exfil malware_ransomware –>|exfiltrates data| action_exfil
Angriffsfluss
Erkennungen
Java-App-Ausführung von verdächtigem Ort (via Prozess-Erstellung)
Ansehen
Mögliche Daten-Infiltration / -Exfiltration / C2 über Drittanbieter-Dienste / -Werkzeuge (via DNS)
Ansehen
Möglicher Versuch zur Kommunikation mit IP Lookup Domains (via DNS)
Ansehen
Möglicher Kontakt zu einem Dynamic DNS Dienst hergestellt (via DNS)
Ansehen
IOCs (SourceIP) zu erkennen: Neue JanaWare-Ransomware zielt auf die Türkei über Adwind RAT
Ansehen
IOCs (DestinationIP) zu erkennen: Neue JanaWare-Ransomware zielt auf die Türkei über Adwind RAT
Ansehen
PowerShell-Befehle zum Deaktivieren oder Schwächen von Microsoft Defender [Windows PowerShell]
Ansehen
JanaWare-Ransomware-Bereitstellung über Phishing und Java-Archiv-Ausführung [Windows Prozess-Erstellung]
Ansehen
Simulation-Ausführung
Voraussetzung: Die Telemetrie- und Basislinien-Vorflugprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Gegnertechnik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und das Narrativ MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genau erwartete Telemetrie zu erzeugen, die durch die Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
Ein Angreifer, der Zugriff mit geringen Benutzerrechten erlangt hat, möchte Windows Defender deaktivieren, um den Weg für die Ransomware-Bereitstellung zu ebnen. Unter Verwendung des signiertenpowershell.exeProgrammdatei (T1218.001), führt der Angreifer einen Einzeiler aus, der die Echtzeitüberwachung deaktiviert und den cloud-basierten Schutz deaktiviert und somit die Verteidigungsposition des Endpunkts schwächt.# Deaktivieren der Echtzeitüberwachung und des cloud-basierten Schutzes Set-MpPreference -DisableRealtimeMonitoring $true -MAPSReporting DisableDie Befehlszeile enthält das
Set-MpPreferenceStichwort, das den Kriterien der Erkennungsregel entspricht.AuswahlKriterien. -
Regressionstest-Skript: Das folgende selbstständige PowerShell-Skript reproduziert den Angriff und stellt sicher, dass die Telemetrie generiert wird.
# ============================== # Simulation: Microsoft Defender deaktivieren # ============================== try { Write-Host "[*] Deaktivieren der Echtzeitüberwachung..." Set-MpPreference -DisableRealtimeMonitoring $true -MAPSReporting Disable Write-Host "[+] Defender deaktiviert." } catch { Write-Error "Modifikation der Defender-Einstellungen fehlgeschlagen: $_" } -
Säuberungsbefehle: Stellen Sie die ursprüngliche Defender-Konfiguration wieder her, um zu vermeiden, den Endpunkt ungeschützt zu lassen.
# Echtzeitüberwachung und Cloud-Schutz wieder aktivieren Set-MpPreference -DisableRealtimeMonitoring $false -MAPSReporting Advanced Write-Host "[*] Defender auf Standardzustand zurückgesetzt."