Segui 
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
Un cluster di minacce sta utilizzando una variante personalizzata del RAT Adwind basato su Java per distribuire un payload di ransomware noto come JanaWare. L’attività è principalmente rivolta agli utenti in Turchia, con il malware che esegue controlli basati sulla località e sull’IP prima di continuare l’esecuzione. I ricercatori hanno tracciato campioni correlati dal 2020, mentre attività di comando e controllo più recenti indicano che la campagna è rimasta attiva nel 2025.
Indagine
Il team TRU di Acronis ha esaminato file JAR malevoli distribuiti tramite email di phishing che sono state avviate tramite Outlook e Chrome. Una volta eseguito, la catena di infezione si è spostata su javaw.exe, che ha caricato la versione su misura del RAT Adwind e successivamente ha distribuito il componente ransomware JanaWare. L’analisi ha anche rilevato l’uso di file JAR polimorfici, infrastruttura di comando e controllo basata su Tor, e una nota di riscatto scritta in turco.
Mitigazione
I difensori dovrebbero bloccare il dominio malevolo elementsplugin.duckdns.org e tutte le porte associate, limitando al contempo l’esecuzione di file JAR Java non firmati nell’ambiente. I team di sicurezza dovrebbero anche monitorare chrome.exe per linee di comando sospette legate a download da Google Drive e rafforzare le protezioni email contro la consegna del phishing. Le difese degli endpoint dovrebbero essere configurate per identificare il comportamento del RAT Adwind così come le attività di crittografia di file sospette collegate all’esecuzione dell’ransomware.
Risposta
Se si sospetta un’infezione, isolare immediatamente i sistemi colpiti, terminare javaw.exe e tutti i processi malevoli correlati, e catturare prove volatili prima dello spegnimento o della pulizia. Gli sforzi di recupero dovrebbero prioritizzare il ripristino dei file da backup puliti verificati. I team di risposta agli incidenti dovrebbero anche raccogliere telemetria di comando e controllo disponibile e valutare se la notifica alle forze dell’ordine è appropriata nei casi che coinvolgono richieste di riscatto o estorsione.
graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff classDef operator fill:#ff9900 %% Nodes action_phishing[“<b>Azione</b> – <b>T1566 Phishing</b>: Invio email di phishing con link Google Drive malevolo”] class action_phishing action tool_malicious_link[“<b>Strumento</b> – <b>Nome</b>: Link Google Drive malevolo”] class tool_malicious_link tool action_user_exec[“<b>Azione</b> – <b>T1204.001 Esecuzione utente</b>: La vittima clicca e Chrome scarica JAR”] class action_user_exec action process_chrome[“<b>Processo</b> – Browser Chrome”] class process_chrome process malware_obf_jar[“<b>Malware</b> – JAR offuscato (Allatori/Stringer)”] class malware_obf_jar malware process_javaw[“<b>Processo</b> – javaw.exe (JamPlus)”] class process_javaw process action_obfuscation[“<b>Azione</b> – <b>T1027 File offuscati</b>: Codice polimorfico e API dinamiche”] class action_obfuscation action action_persistence[“<b>Azione</b> – <b>T1547.014 Active Setup</b>: Persistenza tramite registro”] class action_persistence action action_impair_defense[“<b>Azione</b> – <b>T1562 Compromissione difese</b>”] class action_impair_defense action process_powershell[“<b>Processo</b> – PowerShell”] class process_powershell process action_recovery_inhibit[“<b>Azione</b> – <b>T1490 Recupero sistema</b> e <b>T1070.004 Eliminazione file</b>”] class action_recovery_inhibit action action_encrypt[“<b>Azione</b> – <b>T1486 Cifratura dati</b>”] class action_encrypt action malware_ransomware[“<b>Malware</b> – Modulo ransomware”] class malware_ransomware malware action_c2_obfusc[“<b>Azione</b> – <b>T1001 Offuscamento dati</b>: Tor”] class action_c2_obfusc action tool_tor[“<b>Strumento</b> – Rete Tor”] class tool_tor tool action_exfil[“<b>Azione</b> – <b>T1041 Esfiltrazione</b>”] class action_exfil action %% Connections action_phishing –>|delivers| tool_malicious_link tool_malicious_link –>|opened by victim leads to| action_user_exec action_user_exec –>|downloads via| process_chrome process_chrome –>|saves and launches| malware_obf_jar malware_obf_jar –>|executed by| process_javaw process_javaw –>|performs| action_obfuscation process_javaw –>|establishes| action_persistence action_persistence –>|writes registry for| action_impair_defense action_impair_defense –>|uses| process_powershell action_impair_defense –>|enables| action_recovery_inhibit action_recovery_inhibit –>|precedes| action_encrypt action_encrypt –>|loads| malware_ransomware malware_ransomware –>|communicates via| action_c2_obfusc action_c2_obfusc –>|routes through| tool_tor tool_tor –>|enables| action_exfil malware_ransomware –>|exfiltrates data| action_exfil
Flusso di Attacco
Rilevazioni
Esecuzione di App Java da Posizione Sospetta (via process_creation)
Visualizza
Possibile Infiltrazione/Esfiltrazione Dati/C2 via Servizi/Ferementi di Terze Parti (via dns)
Visualizza
Possibile Tentativo di Comunicazioni del Dominio di Ricerca IP (via dns)
Visualizza
Possibile Servizio DNS Dinamico è Stato Contattato (via dns)
Visualizza
IOC (SourceIP) da rilevare: Il nuovo ransomware JanaWare prende di mira la Turchia tramite Adwind RAT
Visualizza
IOC (DestinationIP) da rilevare: Il nuovo ransomware JanaWare prende di mira la Turchia tramite Adwind RAT
Visualizza
Comandi PowerShell per Disabilitare o Indebolire Microsoft Defender [Windows Powershell]
Visualizza
Consegna di Ransomware JanaWare tramite Phishing ed Esecuzione di Archive Java [Creazione Processo Windows]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Preliminare di Telemetria & Baseline deve essere superato.
Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevazione. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare esattamente la telemetria prevista dalla logica di rilevazione.
-
Narrativa & Comandi di Attacco:
Un attaccante che ha ottenuto l’accesso come utente a bassa priorità desidera disabilitare Windows Defender per aprire la strada alla distribuzione di ransomware. Sfruttando ilpowershell.exebinario firmato (T1218.001), l’attaccante esegue un comando one-liner che disabilita il monitoraggio in tempo reale e protezione basata su cloud, indebolendo così la postura difensiva dell’endpoint.# Disabilita monitoraggio in tempo reale e protezione basata su cloud Set-MpPreference -DisableRealtimeMonitoring $true -MAPSReporting DisableLa linea di comando contiene la parola chiave
Set-MpPreferenceche corrisponde alla regola di rilevazionecriteriselezione. -
Script di Test di Regressione: Il seguente script PowerShell autonomo riproduce l’attacco e assicura che la telemetria venga generata.
# ============================== # Simulazione: Disabilita Microsoft Defender # ============================== try { Write-Host "[*] Disabilita monitoraggio in tempo reale..." Set-MpPreference -DisableRealtimeMonitoring $true -MAPSReporting Disable Write-Host "[+] Defender disabilitato." } catch { Write-Error "Impossibile modificare le preferenze di Defender: $_" } -
Comandi di Pulizia: Ripristina la configurazione originale di Defender per evitare di lasciare l’endpoint esposto.
# Riabilita monitoraggio in tempo reale e protezione cloud Set-MpPreference -DisableRealtimeMonitoring $false -MAPSReporting Advanced Write-Host "[*] Defender ripristinato allo stato predefinito."