カスタマイズされたAdwind RATは、フィッシング駆動型Javaマルウェアを介してトルコのユーザーと小規模組織を対象とした地理的に焦点を当てたキャンペーンで、JanaWareという名称の新しいランサムウェアファミリーを配備するために武装化されています。
研究者は、サンドボックステスト中に他のサンプルとは異なる動作をするカスタマイズされたAdwind Java RAT変種を発見し、最終的にはトルコ語の身代金メモを感染システムに投下しました。
このメモは被害者に、qTox(ピアツーピア暗号化メッセンジャー)またはTor Browserを含むプライバシー重視のチャネルを介して演者に連絡し、専用の.onionサイトにアクセスするよう指示しており、演者が匿名性と回復力のある通信を強調していることを示しています。
テレメトリと被害者報告は、この活動がしばらくの間静かに実行されてきたが、その地域的焦点と大規模ランサムウェアと比較して比較的控えめな身代金要求のため、注目を浴びずに続いていることを示唆しています。
内部的には、Adwindベースのローダーは、StringerやAllatoriを含む複数層のJavaオブスケーション、およびストレート前述の逆コンパイルを挫折させるためのカスタムクラスローダーを通じて、分析に対して厳しく強化されています。
専用のFilePumperコンポーネントはインストール中にJARアーカイブに大量のランダムコンテンツを追加し、ファイルサイズを増やし、展開された各サンプルが異なるハッシュを生成し、それにより単純なハッシュベースの検出と静的署名マッチングを損なわせます。
Javaデオブファスケーターなどのオープンソースツールは、アナリストがこれらの保護の一部を剥がすのを支援できます。ただし、商業的なオブファスケーターとポリモーフィズムの組み合わせは、依然として防御者のためのバーを大幅に引き上げます。
マルウェアの構成はJavaクラスに埋め込まれています。これは、DuckDNSベースのドメインと、コアC2チャネルを形成する2つのTCPポートを含む、コマンドアンドコントロールインフラストラクチャを定義しています。
特に、構成はTor関連のパスとコンポーネントを参照し、RATとそのモジュールがTorネットワークを介して通信をトンネリングして、追加の難読化と匿名性を実現できるようにします。
暗号化後、マルウェアはトルコ語の身代金メモを部分的にランダム化されたファイル名で投下し、常に固定の_ONEMLI_NOT_コンポーネント(トルコ語で「重要な注記」)を含みます。これは、言語とネーミングの両方が意図的に地元の被害者と一致していることを示しています。
静的分析は、ランサムウェアがAESベースのファイル暗号化に依存しており、キーがTor上のC2インフラストラクチャに送信されるため、攻撃者の協力なしに復号化はほぼ不可能であることを示しています。
現在の報告によると、Acronis EDR/XDRソリューションはこの脅威クラスターを検出してブロックできます。ただし、この操作は引き続きアクティブであり、C2インフラストラクチャは2025年後半までオンラインで観察されています。
この攻撃パターンを考えると、トルコの組織(特に中小企業とホームユーザー)は、Google Driveダウンロードへのリンクを含む迷惑メールを極度の注意で扱い、Javaが不要な場所で厳しく制御または削除されていることを確認し、難読化されたJava RATと段階的なランサムウェアモジュールをキャッチできる動作ベースの検出を展開する必要があります。
翻訳元: https://cyberpress.org/adwind-delivers-janaware-ransomware/