Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Un groupe de menace utilise une variante personnalisée du rat basé sur Java pour déployer une charge utile de ransomware connue sous le nom de JanaWare. L’activité vise principalement les utilisateurs en Turquie, le malware effectuant des vérifications basées sur la localisation et l’IP avant de poursuivre l’exécution. Les chercheurs ont suivi des échantillons liés depuis 2020, tandis que l’activité récente de commandement et de contrôle indique que la campagne est restée active en 2025.
Enquête
L’équipe Acronis TRU a examiné des fichiers JAR malveillants distribués via des e-mails de phishing qui ont été lancés grâce à Outlook et Chrome. Une fois exécutée, la chaîne d’infection est passée à javaw.exe, qui a chargé la souche personnalisée de Adwind RAT et a ensuite déployé le composant de ransomware JanaWare. L’analyse a également montré l’utilisation de fichiers JAR polymorphiques, d’une infrastructure de commandement et de contrôle basée sur Tor, et d’une demande de rançon rédigée en turc.
Atténuation
Les défenseurs devraient bloquer le domaine malveillant elementsplugin.duckdns.org et tous les ports associés, tout en restreignant l’exécution de fichiers JAR Java non signés dans tout l’environnement. Les équipes de sécurité devraient également surveiller les lignes de commande chrome.exe suspectes liées aux téléchargements depuis Google Drive et renforcer les protections des e-mails contre la livraison par phishing. Les défenses des points de terminaison doivent être ajustées pour identifier le comportement du Adwind RAT ainsi que l’activité suspecte de chiffrement des fichiers liée à l’exécution du ransomware.
Réponse
Si une infection est suspectée, isolez immédiatement les systèmes affectés, terminez javaw.exe et tous les processus malveillants associés, et capturez les éléments de preuve volatiles avant la fermeture ou le nettoyage. Les efforts de récupération devraient donner la priorité à la restauration des fichiers depuis des sauvegardes propres vérifiées. Les équipes de réponse aux incidents devraient également rassembler la télémétrie de commande et contrôle disponible et évaluer si une notification aux autorités law enforcement est appropriée dans les cas impliquant des demandes de rançon ou de l’extorsion.
graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff classDef operator fill:#ff9900 %% Nodes action_phishing[« <b>Action</b> – <b>T1566 Phishing</b>: Envoi d’un email de phishing avec lien Google Drive malveillant »] class action_phishing action tool_malicious_link[« <b>Outil</b> – <b>Nom</b>: Lien Google Drive malveillant »] class tool_malicious_link tool action_user_exec[« <b>Action</b> – <b>T1204.001 Exécution utilisateur</b>: La victime clique, Chrome télécharge JAR »] class action_user_exec action process_chrome[« <b>Processus</b> – Navigateur Chrome »] class process_chrome process malware_obf_jar[« <b>Malware</b> – JAR obfusqué (Allatori/Stringer) »] class malware_obf_jar malware process_javaw[« <b>Processus</b> – javaw.exe (JamPlus) »] class process_javaw process action_obfuscation[« <b>Action</b> – <b>T1027 Fichiers obfusqués</b>: Code polymorphe »] class action_obfuscation action action_persistence[« <b>Action</b> – <b>T1547.014 Active Setup</b>: Persistance via registre »] class action_persistence action action_impair_defense[« <b>Action</b> – <b>T1562 Altération des défenses</b> »] class action_impair_defense action process_powershell[« <b>Processus</b> – PowerShell »] class process_powershell process action_recovery_inhibit[« <b>Action</b> – <b>T1490 Récupération système</b> et <b>T1070.004 Suppression fichiers</b> »] class action_recovery_inhibit action action_encrypt[« <b>Action</b> – <b>T1486 Chiffrement des données</b> »] class action_encrypt action malware_ransomware[« <b>Malware</b> – Module ransomware »] class malware_ransomware malware action_c2_obfusc[« <b>Action</b> – <b>T1001 Obfuscation données</b>: Tor »] class action_c2_obfusc action tool_tor[« <b>Outil</b> – Réseau Tor »] class tool_tor tool action_exfil[« <b>Action</b> – <b>T1041 Exfiltration</b> »] class action_exfil action %% Connections action_phishing –>|delivers| tool_malicious_link tool_malicious_link –>|opened by victim leads to| action_user_exec action_user_exec –>|downloads via| process_chrome process_chrome –>|saves and launches| malware_obf_jar malware_obf_jar –>|executed by| process_javaw process_javaw –>|performs| action_obfuscation process_javaw –>|establishes| action_persistence action_persistence –>|writes registry for| action_impair_defense action_impair_defense –>|uses| process_powershell action_impair_defense –>|enables| action_recovery_inhibit action_recovery_inhibit –>|precedes| action_encrypt action_encrypt –>|loads| malware_ransomware malware_ransomware –>|communicates via| action_c2_obfusc action_c2_obfusc –>|routes through| tool_tor tool_tor –>|enables| action_exfil malware_ransomware –>|exfiltrates data| action_exfil
Flux du Attaque
Détections
Exécution de l’application Java depuis un emplacement suspect (via process_creation)
Voir
Possible Infiltration/Exfiltration de données / Commande & Contrôle via des services / outils tiers (via dns)
Voir
Tentative possible de communication de domaines de consultation IP (via dns)
Voir
Contact avec un service DNS dynamique possible (via dns)
Voir
IOCs (SourceIP) pour détecter : Le nouveau ransomware JanaWare cible la Turquie via Adwind RAT
Voir
IOCs (DestinationIP) pour détecter : Le nouveau ransomware JanaWare cible la Turquie via Adwind RAT
Voir
Commandes PowerShell pour désactiver ou affaiblir Microsoft Defender [Windows Powershell]
Voir
Livraison du ransomware JanaWare via Phishing et exécution d’archives Java [Création de processus Windows]
Voir
Exécution de simulation
Prérequis : Le contrôle télémétrie et de référence pré-vol doit avoir réussi.
Rationale : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer exactement la télémétrie attendue par la logique de détection.
-
Narratif de l’attaque et commandes :
Un attaquant ayant obtenu un accès utilisateur à faible privilège souhaite désactiver Windows Defender pour préparer le terrain à un déploiement de ransomware. En utilisant le binaire signépowershell.exe(T1218.001), l’attaquant exécute une ligne unique qui désactive la surveillance en temps réel et désactive la protection basée sur le cloud, affaiblissant ainsi la posture défensive du point de terminaison.# Désactiver la surveillance en temps réel et la protection sur le cloud Set-MpPreference -DisableRealtimeMonitoring $true -MAPSReporting DisableLa ligne de commande contient le mot-clé
Set-MpPreference, qui correspond aux critères de sélection de la règle de détection.sélectioncritères. -
Script de test de régression : Le script PowerShell autonome suivant reproduit l’attaque et garantit que la télémétrie est générée.
# ============================== # Simulation : Désactiver Microsoft Defender # ============================== try { Write-Host "[*] Désactivation de la surveillance en temps réel..." Set-MpPreference -DisableRealtimeMonitoring $true -MAPSReporting Disable Write-Host "[+] Defender désactivé." } catch { Write-Error "Échec de la modification des préférences de Defender : $_" } -
Commandes de nettoyage : Rétablir la configuration originale de Defender pour éviter de laisser le point de terminaison exposé.
# Réactiver la surveillance en temps réel et la protection sur le cloud Set-MpPreference -DisableRealtimeMonitoring $false -MAPSReporting Advanced Write-Host "[*] Defender restauré à l'état par défaut."