عائلة برمجيات خبيثة جديدة تُعرف باسم JanaWare بدأت تستهدف مستخدمي أجهزة الكمبيوتر في تركيا، معتمدة على نسخة مخصصة من برنامج Adwind للوصول عن بعد (RAT) لاختراق أنظمة الضحايا.
يتميز هذا الهجوم بدمجه بين برنامج وصول عن بعد معروف ومتعدد المنصات ومنطق جديد لبرامج الفدية، بالإضافة إلى نموذج توزيع مصمم خصيصاً للمستخدمين المحليين، مما يجعل هذا التهديد مألوفاً ولكنه خطير بشكل فريد للمستخدمين في تركيا.
وفقاً للتحقيقات، يبدو أن العملية تركز على المستخدمين الأفراد والشركات الصغيرة، حيث غالباً ما تكون الضوابط الأمنية أضعف وتكون الهجمات القائمة على البريد الإلكتروني أكثر نجاحاً.
تبدأ سلسلة الهجوم عادةً برسائل تصيد احتيالي أو رسائل هندسة اجتماعية تدفع الضحايا إلى فتح مرفقات أو روابط خبيثة، غالباً ما تكون مموهة كمستندات روتينية أو ملفات متعلقة بالأعمال باللغة التركية.
عندما يتفاعل الضحية مع هذه المحفزات، يتم تثبيت برنامج Adwind RAT المخصص بصمت، مما يمنح المهاجم سيطرة عن بعد على الجهاز ويمكّن المرحلة التالية من الهجوم.
في هذه المرحلة من الحملة، لا يتم تشفير الملفات بعد؛ بدلاً من ذلك، يتم استخدام برنامج RAT لمسح النظام، وتحديد ملف الضحية، وتنزيل حمولة JanaWare فقط عندما يبدو الهدف مربحاً أو مثيراً للاهتمام.
آلية العدوى واستخدام Adwind المخصص
تعتمد آلية العدوى وراء JanaWare بشكل كبير على Adwind، ولكن النسخة المستخدمة في هذه الهجمات تتضمن تخصيصات ملحوظة توسع دورها إلى ما هو أبعد من مجرد الوصول عن بعد.
بعد أن يفتح الضحية المرفق الخبيث الأولي، يستخدم محمل Adwind نصوصاً مشفرة ونشراً متعدد المراحل لتجنب الكشف السهل بواسطة أدوات مكافحة الفيروسات، حيث يقوم بفك تشفير برنامج RAT إلى الذاكرة وإنشاء ثبات عبر سجلات النظام، أو المهام المجدولة، أو إدخالات بدء تشغيل المستخدم.
لاحظ باحثو Acronis أن هذا المتغير المخصص يتحقق بشكل دوري من خادم القيادة والتحكم (C2) لطلب بيانات تكوين محدثة، بما في ذلك التعليمات حول ما إذا كان سيتم تسليم وحدة JanaWare الضارة ومتى.
تُظهر سلسلة العدوى كيف يقوم المستند الخبيث بتسليم التنفيذ إلى محمل نصوص برمجية، والذي يقوم بدوره بسحب حمولة Adwind وإعداد قناة الاتصال مرة أخرى إلى المهاجمين.
هذا التصميم يسمح للمشغلين بفصل البنية التحتية للتصيد الاحتيالي عن البرامج الضارة الأساسية، مما يمكنهم من تدوير المحفزات بسرعة مع إعادة استخدام نفس مكونات RAT وبرامج الفدية في الخلفية.
يعني هذا أيضاً أن المدافعين الذين يركزون فقط على حظر المرفقات المشبوهة قد يفوتون حركة المرور في المراحل اللاحقة أو تسليم الحمولات التي تحدث عبر قناة C2 الخاصة بـ Adwind.
بمجرد نشاط Adwind، فإنه يجمع معلومات النظام مثل اسم الجهاز، وإصدار نظام التشغيل، والبرامج المثبتة، وقائمة بملفات ومجلدات المستخدم، ويرسل هذه المخزون مرة أخرى إلى المهاجم للمراجعة.
بناءً على هذا الملف الشخصي، يمكن للمشغلين نشر JanaWare بشكل انتقائي عن طريق إعطاء تعليمات لبرنامج RAT بتنزيل وتنفيذ برنامج الفدية من خادم بعيد، وغالباً ما يستخدمون قنوات مشفرة أو مشفرة لتجنب الفحص.
قبل بدء التشفير، قد تحاول عملية برنامج الفدية تعطيل أدوات الأمان المحلية، وإنهاء الخدمات المتعلقة بالنسخ الاحتياطي، وحذف النسخ المتماثلة لتقليل فرصة الاسترداد دون دفع الفدية.
طوال هذه المرحلة، يستخدم كل من برنامج RAT وبرنامج الفدية تكتيكات بسيطة ولكنها فعالة لتجنب الكشف مثل أسماء العمليات الشائعة، وفحوصات التحليل الأساسية، ووعي البيئة للحد من تعرضهما لأنظمة التحليل الآلي.
لتقليل المخاطر من JanaWare وعمليات برامج الفدية المماثلة المعتمدة على RAT، يجب على المؤسسات والمستخدمين في تركيا إعطاء الأولوية لترشيح البريد الإلكتروني، وتدريب وعي المستخدم، والضوابط الصارمة على تشغيل النصوص البرمجية والمرفقات غير المعروفة، خاصة تلك التي يتم تسليمها بلغة محلية وبصيغ متعلقة بالأعمال.
تُعد حلول حماية نقاط النهاية التي يمكنها اكتشاف سلوك RAT، وحركة مرور C2 المشبوهة، وأنماط تشفير الملفات المفاجئة، أمراً بالغ الأهمية أيضاً، حيث أنها توفر فرصاً متعددة لاعتراض سلسلة الهجوم قبل تنفيذ JanaWare.
يؤدي الحفاظ على نسخ احتياطية منتظمة وغير متصلة بالإنترنت، وتحديث أنظمة التشغيل والتطبيقات، ومراقبة أدوات الوصول عن بعد عن كثب، إلى تقليل الأضرار بشكل كبير في حال تم اختراق نظام ما، حتى عندما يحاول المهاجمون الاختباء خلف مكونات Adwind المخصصة.