Низкопрофильная угроза: таргетированная программа-вымогатель JanaWare годами атакует пользователей в Турции

Особенность этой угрозы заключается в её узкой географической направленности, скромных финансовых запросах и использовании сложных методов маскировки, которые позволили ей долгое время оставаться незамеченной для глобальных систем мониторинга. В отличие от высокобюджетных APT-групп, атаки которых нацелены на критическую инфраструктуру, эта операция демонстрирует модель "низкая ставка - большой объём", ориентированную на массовое инфицирование домашних пользователей и небольших компаний с требованием выкупа в скромные 200-400 долларов.

Исследование началось с анализа необычного варианта Adwind RAT, подозрительная активность которого указывала на связь с программами-вымогателями. В процессе изучения образцов JAR-архивов один из них в тестовой среде проявил себя неожиданным образом, сгенерировав файл с требованием выкупа на турецком языке. Это наблюдение стало отправной точкой для более глубокого расследования.

Путём анализа телеметрических данных EDR-систем специалистам удалось восстановить цепочку заражения. Атака инициируется через фишинговые письма, которые побуждают жертву перейти по ссылке, ведущей, например, на Google Диск, для загрузки вредоносного JAR-файла. Запуск этого архива с помощью "javaw.exe" приводит к исполнению сложного многоступенчатого вредоносного кода. В отчёте Acronis TRU приводится подробная реконструкция этого процесса, включая данные о родительских процессах, что чётко указывает на классический фишинговый сценарий.

С технической точки зрения вредоносная программа демонстрирует высокий уровень изощрённости в области противодействия анализу. Код подвергнут обфускации с помощью инструментов Stringer и Allatori, что серьёзно затрудняет реверс-инжиниринг. Более того, злоумышленники реализовали полиморфизм: на каждой заражённой системе вредоносный JAR-архив модифицирует сам себя, добавляя случайный "мусорный" контент, что увеличивает размер файла на десятки мегабайт и создаёт уникальный хеш для каждого экземпляра. Этот приём эффективно обходит простые сигнатурные и хеш-ориентированные методы детектирования.

Ключевым элементом для понимания специфики кампании является строгое географическое ограничение (геофенсинг). Перед активацией основной вредоносной нагрузки программа выполняет многоуровневую проверку окружения. Она анализирует системные локаль, язык и региональные настройки, требуя соответствия турецкому языку. Затем, используя внешний сервис, проверяет геолокацию по IP-адресу машины и продолжает работу только в том случае, если страна начинается с кода "TR". Такой подход не только служит методом уклонения от песочниц, часто развёрнутых за пределами целевого региона, но и прямо указывает на целенаправленный характер атак на Турцию.

Если система проходит проверки, вредоносная программа приступает к подготовке окружения: с помощью команд PowerShell и манипуляций с реестром она отключает или ослабляет защитные механизмы Windows, включая Microsoft Defender, уведомления безопасности, службу теневого копирования тома (VSS) и обновления. После этого загружается и исполняется модуль программы-вымогателя - JanaWare. Этот модуль, также написанный на Java, шифрует файлы на всех доступных дисках, используя для связи с управляющим сервером (C2) исключительно сеть Tor, что повышает анонимность злоумышленников. Ключ шифрования, как показал статический анализ, передаётся на C2, делая самостоятельное восстановление файлов практически невозможным.

По завершении шифрования в нескольких каталогах создаётся файл с требованием выкупа, имя которого содержит турецкую фразу "ONEMLI NOT" ("Важное примечание"). Содержимое записки также жёстко зашито в код на турецком языке. Для связи жертвам предлагается использовать либо децентрализованный мессенджер qTox, либо специальный сайт в сети Tor, что ещё раз подчёркивает стремление операторов к конфиденциальности.

В целом, кампания JanaWare представляет собой пример целевой, устойчивой и технически продвинутой, но при этом низкопрофильной операции. Её фокус на конкретном географическом регионе, использование местного языка и относительно небольшие суммы выкупа создают своеобразную "экосистему", которая может годами существовать, не привлекая излишнего внимания международного сообщества ИБ-специалистов. Этот случай напоминает, что угроза программами-вымогателями неоднородна: наряду с громкими атаками на глобальные компании существуют десятки подобных локальных кампаний, которые наносят совокупный значительный ущерб, оставаясь в тени. Для защиты от подобных угроз критически важны повышение осведомлённости пользователей об опасности фишинга, использование актуальных версий Java с ограничением исполнения непроверенных JAR-файлов, а также многослойная защита конечных точек, способная детектировать не только известные сигнатуры, но и подозрительное поведение, такое как массовое отключение системных служб безопасности.

IPv4

• 151.243.109.115

Domain Port Combinations

• elementsplugin.duckdns.org:49152
• elementsplugin.duckdns.org:49153

MD5

• 4f0444e11633a331eddb0deeec17fd69
• b2d5bbf7746c2cb87d5505ced8d6c4c6