フォローする 
概要
ある脅威クラスターが、特定のJavaベースのAdwind RATの変種を使用して、JanaWareとして知られるランサムウェアペイロードを展開しています。この活動は主にトルコのユーザーを対象としており、マルウェアは実行を続行する前にロケールとIPベースのチェックを行います。研究者は2020年から関連するサンプルを追跡しており、最近のコマンドアンドコントロール活動から、このキャンペーンが2025年まで活動を継続していることが示されています。
調査
Acronis TRUチームは、OutlookとChromeを通じて実行されたフィッシングメールを介して配布された悪意のあるJARファイルを調査しました。実行されると、感染チェーンは javaw.exeに移行し、カスタマイズされたAdwind RAT株を読み込んだ後、JanaWareランサムウェアコンポーネントを展開しました。分析では、ポリモーフィックJARファイルの使用、Torベースのコマンドアンドコントロールインフラ、およびトルコ語で書かれた身代金要求メモの使用も示されています。
緩和策
防御者は悪意のあるドメイン elementsplugin.duckdns.org および関連するポートをブロックし、環境全体で署名されていないJava JARファイルの実行を制限するべきです。セキュリティチームは、Google Driveからのダウンロードに関連する疑わしい chrome.exe のコマンドラインを監視し、フィッシング配信に対するメール保護を強化する必要があります。エンドポイントディフェンスは、Adwind RATの挙動を特定し、ランサムウェア実行に関連する疑わしいファイル暗号化活動を特定するように調整すべきです。
対応
感染が疑われる場合、直ちに影響を受けたシステムを隔離し、 javaw.exe および関連する悪意のあるプロセスを終了し、シャットダウンまたはクリーンアップ前に揮発性の証拠を収集します。復旧活動は、確認済みのクリーンバックアップからのファイル復元を優先するべきです。インシデント対応チームは、利用可能なコマンドアンドコントロールテレメトリを収集し、身代金の要求または脅迫が関与している場合には法執行機関への通知が適切かどうか評価するべきです。
graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff classDef operator fill:#ff9900 %% Nodes action_phishing[“<b>アクション</b> – <b>T1566 フィッシング</b>: 悪意のあるGoogle Driveリンクを含むフィッシングメールを送信”] class action_phishing action tool_malicious_link[“<b>ツール</b> – <b>名称</b>: 悪意のあるGoogle Driveリンク”] class tool_malicious_link tool action_user_exec[“<b>アクション</b> – <b>T1204.001 ユーザー実行</b>: 被害者がクリックし、Chromeが悪意のあるJARをダウンロード”] class action_user_exec action process_chrome[“<b>プロセス</b> – Chromeブラウザ”] class process_chrome process malware_obf_jar[“<b>マルウェア</b> – 難読化されたJAR(Allatori/Stringer)”] class malware_obf_jar malware process_javaw[“<b>プロセス</b> – javaw.exe (JamPlus)”] class process_javaw process action_obfuscation[“<b>アクション</b> – <b>T1027 難読化されたファイル</b>: ポリモーフィックコード、ジャンク挿入、動的API解決”] class action_obfuscation action action_persistence[“<b>アクション</b> – <b>T1547.014 Active Setup</b>: 自動起動のためのレジストリエントリ作成”] class action_persistence action action_impair_defense[“<b>アクション</b> – <b>T1562 防御の無効化</b>: Defenderや更新機能を無効化”] class action_impair_defense action process_powershell[“<b>プロセス</b> – PowerShell”] class process_powershell process action_recovery_inhibit[“<b>アクション</b> – <b>T1490 復旧の阻害</b> および <b>T1070.004 ファイル削除</b>”] class action_recovery_inhibit action action_encrypt[“<b>アクション</b> – <b>T1486 データ暗号化</b>: ランサムウェアを取得しAESで暗号化”] class action_encrypt action malware_ransomware[“<b>マルウェア</b> – ランサムウェアモジュール”] class malware_ransomware malware action_c2_obfusc[“<b>アクション</b> – <b>T1001 データ難読化</b>: Torを使用”] class action_c2_obfusc action tool_tor[“<b>ツール</b> – Torネットワーク”] class tool_tor tool action_exfil[“<b>アクション</b> – <b>T1041 C2経由の情報流出</b>”] class action_exfil action %% Connections action_phishing –>|delivers| tool_malicious_link tool_malicious_link –>|opened by victim leads to| action_user_exec action_user_exec –>|downloads via| process_chrome process_chrome –>|saves and launches| malware_obf_jar malware_obf_jar –>|executed by| process_javaw process_javaw –>|performs| action_obfuscation process_javaw –>|establishes| action_persistence action_persistence –>|writes registry for| action_impair_defense action_impair_defense –>|uses| process_powershell action_impair_defense –>|enables| action_recovery_inhibit action_recovery_inhibit –>|precedes| action_encrypt action_encrypt –>|loads| malware_ransomware malware_ransomware –>|communicates via| action_c2_obfusc action_c2_obfusc –>|routes through| tool_tor tool_tor –>|enables| action_exfil malware_ransomware –>|exfiltrates data| action_exfil
攻撃フロー
検出
Javaアプリが疑わしい場所から実行 (プロセス作成経由)
表示
既知のデータ流出/流入/C2がサードパーティサービス/ツール経由で行われる可能性がある (dns経由)
表示
IPルックアップドメインの通信を試みた可能性がある (dns経由)
表示
動的DNSサービスが接触された可能性がある (dns経由)
表示
IOC (SourceIP)を検出する: 新しいJanaWareランサムウェアがトルコをAdwind RAT経由でターゲットに
表示
IOC (DestinationIP)を検出する: 新しいJanaWareランサムウェアがトルコをAdwind RAT経由でターゲットに
表示
Microsoft Defenderを無効化または弱体化するためのPowerShellコマンド [Windows PowerShell]
表示
フィッシングとJavaアーカイブ実行を介したJanaWareランサムウェア配信 [Windowsプロセス作成]
表示
シミュレーション実行
前提条件: テレメトリー&ベースライン事前チェックが合格している必要がある。
理由: このセクションは、検出ルールをトリガーするように設計された敵の技術 (TTP) の正確な実行を詳述しています。コマンドとレポートは、特定されたTTPを直接反映し、検出ロジックに期待される正確なテレメトリーを生成することを目的としています。
-
攻撃の概要&コマンド:
低権限のユーザーアクセスを得た攻撃者は、ランサムウェア展開の道を開くためにWindows Defenderを無効にすることを意図しています。署名されたpowershell.exeバイナリ (T1218.001)を利用して、攻撃者はリアルタイム監視を無効化し、クラウドベースの保護を無効にするワンライナーを実行し、したがってエンドポイントの防御態勢を弱体化します。# リアルタイム監視とクラウド保護を無効化 Set-MpPreference -DisableRealtimeMonitoring $true -MAPSReporting Disableこのコマンドラインには
Set-MpPreferenceというキーワードが含まれており、これは検出ルールの選択基準と一致します。 -
リグレッションテストスクリプト: 以下のセルフコンテインドされたPowerShellスクリプトは、攻撃を再現し、テレメトリーが生成されることを保証します。
# ============================== # シミュレーション: Microsoft Defenderを無効にする # ============================== try { Write-Host "[*] リアルタイム監視を無効にしています..." Set-MpPreference -DisableRealtimeMonitoring $true -MAPSReporting Disable Write-Host "[+] Defenderが無効になりました。" } catch { Write-Error "Defenderの設定を変更できませんでした: $_" } -
クリーンアップコマンド: エンドポイントを露出させたままにしないために、元のDefenderの設定を復元します。
# リアルタイム監視とクラウド保護を再有効化 Set-MpPreference -DisableRealtimeMonitoring $false -MAPSReporting Advanced Write-Host "[*] Defenderが初期状態に復元されました。"