SOC Prime Bias: Alto

15 Abr 2026 17:41
newspaper icon Acronis

Ransomware JanaWare Alvo a Turquia Via Adwind RAT

Author Photo
SOC Prime Team linkedin icon Seguir
Ransomware JanaWare Alvo a Turquia Via Adwind RAT
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Um cluster de ameaças está utilizando uma variante customizada do Adwind RAT baseado em Java para implantar um payload de ransomware conhecido como JanaWare. A atividade é principalmente direcionada a usuários na Turquia, com o malware realizando verificações baseadas em localidade e IP antes de continuar a execução. Os pesquisadores têm rastreado amostras relacionadas desde 2020, enquanto atividades mais recentes de comando e controle indicam que a campanha permaneceu ativa em 2025.

Investigação

A equipe Acronis TRU examinou arquivos JAR maliciosos distribuídos por meio de e-mails de phishing que foram lançados através do Outlook e Chrome. Uma vez executados, a cadeia de infecção moveu-se para javaw.exe, que carregou a versão adaptada do Adwind RAT e posteriormente implantou o componente de ransomware JanaWare. A análise também mostrou o uso de arquivos JAR polimórficos, infraestrutura de comando e controle baseada em Tor e uma nota de resgate escrita em turco.

Mitigação

Defensores devem bloquear o domínio malicioso elementsplugin.duckdns.org e quaisquer portas associadas, enquanto restringem a execução de arquivos Java JAR não assinados em todo o ambiente. As equipes de segurança também devem monitorar linhas de comando suspeitas de chrome.exe relacionadas a downloads do Google Drive e fortalecer as proteções de e-mail contra entrega de phishing. As defesas de endpoint devem ser ajustadas para identificar comportamentos do Adwind RAT, bem como atividades suspeitas de criptografia de arquivos vinculadas à execução de ransomware.

Resposta

Se a infecção for suspeitada, isole os sistemas afetados imediatamente, termine javaw.exe e quaisquer processos maliciosos relacionados, e capture evidências voláteis antes do desligamento ou limpeza. Os esforços de recuperação devem priorizar a restauração de arquivos de backups limpos verificados. As equipes de resposta a incidentes também devem reunir os dados de telemetria de comando e controle disponíveis e avaliar se a notificação à aplicação da lei é apropriada em casos que envolvem exigências de resgate ou extorsão.

graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccccff classDef operator fill:#ff9900 %% Nodes action_phishing[“<b>Ação</b> – <b>T1566 Phishing</b>: Enviar email de phishing com link malicioso do Google Drive”] class action_phishing action tool_malicious_link[“<b>Ferramenta</b> – <b>Nome</b>: Link malicioso do Google Drive”] class tool_malicious_link tool action_user_exec[“<b>Ação</b> – <b>T1204.001 Execução do Utilizador</b>: Vítima clica; Chrome descarrega JAR malicioso”] class action_user_exec action process_chrome[“<b>Processo</b> – Navegador Chrome”] class process_chrome process malware_obf_jar[“<b>Malware</b> – JAR ofuscado (Allatori/Stringer)”] class malware_obf_jar malware process_javaw[“<b>Processo</b> – javaw.exe (JamPlus)”] class process_javaw process action_obfuscation[“<b>Ação</b> – <b>T1027 Ficheiros ou informação ofuscados</b>: Código polimórfico, junk insertion, resolução dinâmica de API”] class action_obfuscation action action_persistence[“<b>Ação</b> – <b>T1547.014 Active Setup</b>: Escreve entrada de registo para arranque automático”] class action_persistence action action_impair_defense[“<b>Ação</b> – <b>T1562 Comprometer defesas</b>: Desativa Defender, Windows Update e VSS”] class action_impair_defense action process_powershell[“<b>Processo</b> – PowerShell”] class process_powershell process action_recovery_inhibit[“<b>Ação</b> – <b>T1490 Inibir recuperação</b> e <b>T1070.004 Eliminação de ficheiros</b>”] class action_recovery_inhibit action action_encrypt[“<b>Ação</b> – <b>T1486 Dados cifrados para impacto</b>: Descarrega ransomware e cifra com AES”] class action_encrypt action malware_ransomware[“<b>Malware</b> – Módulo ransomware”] class malware_ransomware malware action_c2_obfusc[“<b>Ação</b> – <b>T1001 Ofuscação de dados</b> e <b>T1102.003 Serviço Web</b>: Usa Tor para C2”] class action_c2_obfusc action tool_tor[“<b>Ferramenta</b> – Rede Tor”] class tool_tor tool action_exfil[“<b>Ação</b> – <b>T1041 Exfiltração via C2</b> e <b>T1020 Exfiltração automática</b>”] class action_exfil action %% Connections action_phishing –>|delivers| tool_malicious_link tool_malicious_link –>|opened by victim leads to| action_user_exec action_user_exec –>|downloads via| process_chrome process_chrome –>|saves and launches| malware_obf_jar malware_obf_jar –>|executed by| process_javaw process_javaw –>|performs| action_obfuscation process_javaw –>|establishes| action_persistence action_persistence –>|writes registry for| action_impair_defense action_impair_defense –>|uses| process_powershell action_impair_defense –>|enables| action_recovery_inhibit action_recovery_inhibit –>|precedes| action_encrypt action_encrypt –>|loads| malware_ransomware malware_ransomware –>|communicates via| action_c2_obfusc action_c2_obfusc –>|routes through| tool_tor tool_tor –>|enables| action_exfil malware_ransomware –>|exfiltrates data| action_exfil

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação Prévia de Telemetria e Linha de Base deve ter passado.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e o enredo DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa & Comandos do Ataque:
    Um atacante que obteve acesso de usuário com privilégios baixos deseja desativar o Windows Defender para abrir caminho para a implantação de ransomware. Aproveitando o powershell.exe binário assinado (T1218.001), o invasor executa uma linha única que desativa o monitoramento em tempo real e desativa a proteção baseada em nuvem, enfraquecendo assim a postura defensiva do endpoint.

    # Desativar monitoramento em tempo real e proteção em nuvem
Set-MpPreference -DisableRealtimeMonitoring $true -MAPSReporting Disable

    A linha de comando contém a palavra-chave Set-MpPreference , que coincide com os critérios de seleção da regra de detecção.

  • Script de Teste de Regressão: O seguinte script PowerShell independente reproduz o ataque e garante que a telemetria seja gerada.

    # ==============================
# Simulação: Desativar Microsoft Defender
# ==============================
tente {
    Write-Host "[*] Desativando monitoramento em tempo real..."
    Set-MpPreference -DisableRealtimeMonitoring $true -MAPSReporting Disable
    Write-Host "[+] Defender desativado."
} catch {
    Write-Error "Falha ao modificar preferências do Defender: $_"
}

  • Comandos de Limpeza: Restaure a configuração original do Defender para evitar deixar o endpoint exposto.

    # Reativar monitoramento em tempo real e proteção em nuvem
Set-MpPreference -DisableRealtimeMonitoring $false -MAPSReporting Advanced
Write-Host "[*] Defender restaurado para estado padrão."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente