JanaWare ランサムウェアがカスタマイズされたAdwind RATを通じてトルコユーザーを襲撃

新たに分析されたランサムウェアキャンペーン「JanaWare」は、カスタマイズされたAdwind遠隔アクセストロイの木馬（RAT）を利用してトルコのユーザーを標的にしている。

このキャンペーンは、ステルス配信技術、地理的制限、および多型マルウェアを組み合わせ、検出を回避しながら長期的な活動を維持している。

研究者らは、JanaWareがトルコに位置するシステムに感染するように特別に設計されていることを特定した。マルウェアはシステム言語、ロケール設定、および外部IPアドレスをチェックすることにより、厳密なジオフェンシング制御を実施している。

実行はシステムがトルコの地域的指標と一致した場合にのみ進行し、グローバルなセキュリティ分析への暴露を大幅に削減している。

テレメトリとサンプル分析により、キャンペーンは少なくとも2020年以降活動しており、より新しいサンプルは2025年11月まで最近コンパイルされていることが示唆されている。

その継続性にもかかわらず、この作戦はローカライズされた標的化と難読化技術の使用により、比較的レーダーの下にとどまっている。

被害者は主にホームユーザーおよび中小企業（SMB）を含む。高額の身代金を要求する大規模なランサムウェアグループとは異なり、JanaWare運営者は高容量の低コスト戦略を採用しており、身代金要求は通常200ドルから400ドルの範囲である。

フィッシングベースの感染チェーン

攻撃はユーザーに悪意のあるリンクをクリックさせるフィッシングメールで始まる。これらのリンクは多くの場合、被害者をGoogle Driveでホストされているペイロードにリダイレクトし、悪意のあるJavaアーカイブ（JAR）ファイルのダウンロードにつながる。

Java（javaw.exe）経由で実行されると、マルウェアはシステムへの足がかりを確立する。エンドポイント検出および応答（EDR）テレメトリは明確な実行チェーンを明らかにする：

この方法は、公開フォーラムでの被害者からの報告と一致し、ソーシャルエンジニアリングの広範な使用を確認している。

JanaWareは分析を妨げるために複数の層の難読化を使用する。研究者らは、Stringerとallatoriのような公開されているツールの使用を、リバースエンジニアリングを複雑にするカスタムクラスローダーと組み合わせて観察した。

重要な特徴はその多型動作である。マルウェアは「FilePumper」と呼ばれるコンポーネントを使用して独自のJARファイルを変更し、各感染に対して一意のファイルハッシュを生成するようにランダムデータを挿入する。この技術はシグネチャベースの検出システムを効果的にバイパスする。

さらに、マルウェアは、コマンドアンドコントロール（C2）インフラストラクチャ、認証トークン、および匿名化通信用のTORネットワーク設定を含むハードコードされた設定データが含まれている。

被害者がトルコに位置していることを確認した後、マルウェアはPowerShellコマンドを使用してセキュリティ防御をオフにする。これらのアクションは以下を含む：

その後、マルウェアはAES暗号化を使用してすべてのドライブ全体のファイルを暗号化するJavaベースのランサムウェアモジュールをダウンロードする。C2サーバーとの通信はTorネットワーク経由で発生し、追跡と回復を困難にする。

暗号化されたシステムはトルコ語で書かれた身代金要求を受け取り、被害者にqToxまたはTorベースの.onionサイト経由で攻撃者に連絡するよう指示している。

メモファイル名には「重要なメモ」を意味するトルコ語の句が含まれており、キャンペーンの地域的焦点を強化している。

JanaWareは、小規模で地域に焦点を当てたランサムウェア操作がいかに何年も検出されずに継続できるかを示している。標的配信、ジオフェンシング、およびモジュラー設計の組み合わせにより、攻撃者は柔軟性を維持しながら静かに操作できる。

セキュリティ専門家は、このようなキャンペーンが増加傾向を強調していることを警告している：グローバルな注目を避けながら特定のユーザーグループを悪用する、ローカライズされたランサムウェアの脅威。

MD5ハッシュ	説明
4f0444e11633a331eddb0deeec17fd69	Adwind RAT
b2d5bbf7746c2cb87d5505ced8d6c4c6	ランサムウェアモジュール（JanaWare）