研究者たちは、カスタマイズ版のAdwind リモートアクセストロイの木馬(RAT)を通じてトルコのユーザーを標的とした、ランサムウェアの標的型キャンペーンを発見しました。
このマルウェアはトルコ語の身代金要求状を配信し、最終的なペイロードを実行する前に言語設定と外部IP地理情報位置を確認することで、トルコの被害者に焦点を当てているようです。
調査は、VirusTotalから収集された複数の疑わしいJavaアーカイブ(JAR)ファイルをアナリストが確認した後に始まりました。1つのサンプルは、感染したマシンに身代金要求状を配信したため、テスト中に際立っていました。
トルコ語で書かれた身代金要求状は、被害者にqToxなどのプライバシー重視プラットフォーム、および場合によってはTorベースのオニオンサイトを通じて攻撃者に連絡するよう指示していました。
このマルウェアは分析に対して強固に保護されています。研究者たちは、Javaサンプルが、リバースエンジニアリングを難しくするため、StringerやAllatoriなどの既知の難読化ツールと、カスタムクラスローダーを使用していることを発見しました。
また、FilePumperというマルウェア自体のJARファイルを変更するクラスも含まれており、ランダムなコンテンツを追加します。これにより、各感染したシステムのファイルサイズとハッシュが変わり、単純なハッシュベースの検出が効果的でなくなります。
起動時に、マルウェアは動作を決定するハードコードされた設定値をロードします。これらには、C2ドメイン、TCPポート、バージョン番号、Tor関連パス、および共有パスワードが含まれます。
そのパスワードは、C2サーバーとの初回接触中に認証トークンとして機能します。また、ダウンロードされたモジュールを復号化するためにも使用されます。
この設計により、マルウェアは柔軟性を持ち、オペレーターがプログラム全体を再構築することなく新機能またはペイロードをプッシュすることができます。被害者がトルコ固有のチェックに合格すると、マルウェアはローカルの防御を弱体化させます。
PowerShellとレジストリの変更を使用して、Microsoft Defender保護を無効にするか削減し、セキュリティアラートを抑制し、シャドウコピーを削除し、Windows Updateに干渉し、インストールされたアンチウイルスツールを識別します。
その後、Javaでも書かれているJanaWareランサムウェアモジュールをダウンロードします。ランサムウェアはTorを通じて通信し、ファイルを暗号化、削除、またはさらに流出させることができます。
アナリストは、マルウェアはAES暗号化を使用し、暗号化キーはTorを通じてC2サーバーに送信されると述べています。これは、被害者が攻撃者のインフラストラクチャにアクセスできない限り、ファイルを復旧する可能性が低いことを意味します。
暗号化後、マルウェアは複数のフォルダーに身代金要求状をドロップします。ファイル名は部分的にランダムですが、固定されたトルコ語フレーズ「ONEMLI_NOT」(「重要な通知」に翻訳)を保持します。
身代金要求状の内容はマルウェアコードに直接埋め込まれており、トルコのユーザーが意図された標的であることを再び強調しています。
しかし、その狭い焦点と控えめな要求のために、数年間活動し続けている可能性があります。それでも、JanaWareは、小規模でローカライズされたランサムウェアグループがどのようにして広範な注目を避けながら長期間静かに活動できるかを示しています。
翻訳元: https://cyberpress.org/janaware-targets-turkish-users/
