عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد التهديد المستمر المتقدم (APT) إطار عمل GentleKiller للبرمجيات الخبيثة

إطار عمل GentleKiller للبرمجيات الخبيثة

بواسطة Mezo في التهديد المستمر المتقدم (APT), برامج الفدية
ترجمة الى:

تقوم عملية "The Gentlemen" لبرامج الفدية كخدمة (RaaS) بتطوير وصيانة مجموعة شاملة من أدوات الكشف والاستجابة لنقاط النهاية (EDR) التي يمكن للجهات التابعة استخدامها لتعطيل الحماية الأمنية قبل نشر برامج تشفير الفدية.

يُعدّ إطار عمل GentleKiller محور هذه الترسانة، وهو مدعوم بالعديد من الأدوات الخارجية والمسرّبة، بما في ذلك HexKiller وThrottleBlood وHavocKiller. وتتحد هذه الأدوات من خلال إطار عمل مشترك للتهرّب من الحماية، يُخفيها في صورة منتجات أمنية شرعية باستخدام معلومات إصدار مزيفة، وشهادات رقمية منسوخة، وأيقونات تطبيقات مُستنسخة.

الاستغلال السريع للثغرات الأمنية المكتشفة حديثًا

من أبرز قدرات المجموعة قدرتها على تفعيل ثغرات إثبات المفهوم (PoC) المنشورة حديثًا والمرتبطة بتقنية "إحضار برنامج التشغيل الخاص بك المعرض للثغرات" (BYOVD) بسرعة. في كثير من الحالات، تُدمج الثغرات المكتشفة حديثًا في أدوات المجموعة في غضون أيام قليلة من نشرها.

يُتيح هذا النهج التطويري المُبسّط للشركات التابعة أدوات فعّالة للغاية، مع تقليل متطلبات التطوير للمشغلين أنفسهم. كما يُمكّن هذا النموذج المجموعة من تحديث أدواتها باستمرار من خلال دمج برامج التشغيل المُسيئة الجديدة فور الكشف عنها للجمهور.

ارتفاع سريع في منظومة برامج الفدية

منذ ظهورها في مارس 2025، سرعان ما أصبحت مجموعة "ذا جنتلمن" واحدة من أكثر مجموعات برامج الفدية نشاطاً على مستوى العالم. وقد أعلنت المجموعة مسؤوليتها عن 504 ضحايا، معظمهم من جنوب شرق آسيا وأمريكا الجنوبية وأوروبا الغربية.

كشفت التحقيقات الأخيرة أن ألكسندر أندرييفيتش ياباييف، وهو مواطن روسي يبلغ من العمر 36 عامًا ويُعرف على الإنترنت باسم "hastalamuerte"، هو قائد العملية. وقبل إطلاق برنامج "The Gentlemen"، أفادت التقارير أنه عمل كشريك لعدة برامج فدية أخرى، بما في ذلك برنامج "Kilin".

التهرب المتقدم من أنظمة الاستجابة للطوارئ عبر انتحال الهوية والحماية الثنائية

تُعتبر شركة "ذا جنتلمن" واحدة من أكثر عمليات "الكشف عن التهديدات كخدمة" (RaaS) تطورًا تقنيًا في الوقت الحالي. يستخدم مطوروها تقنيات متعددة لضمان إفلات برامج الاختراق المُجمّعة من الكشف، بما في ذلك آليات حماية الملفات الثنائية واستخدام أسماء ملفات مُصممة لتُشابه أسماء شركات الأمن السيبراني المعروفة. ويمتد هذا التمويه ليشمل معلومات الإصدار المُزوّرة، والتوقيعات الرقمية، وأيقونات التطبيقات.

تُعد أداة GentleKiller الأكثر استخدامًا في هذا المجال، وهي متوفرة بثمانية إصدارات مختلفة. يُحاكي كل إصدار منتجًا أمنيًا شرعيًا مختلفًا، ويستغل ثغرة أمنية أو برنامج تشغيل خبيثًا ضمن سلسلة هجمات BYOVD. يستطيع هذا الإطار تحديد واستهداف ما يقارب 400 عملية مرتبطة بـ 48 حلًا أمنيًا مختلفًا من العديد من الموردين.

تزايد إساءة معاملة السائقين الضعفاء

شهدت الأشهر الأخيرة تزايدًا في إساءة استخدام برنامج التشغيل PoisonX.sys في العديد من حملات BYOVD. في إحدى الحوادث، استُخدم برنامج التشغيل لتعطيل منصة CrowdStrike Falcon EDR. وفي حملة أخرى، استغل المهاجمون ثغرة الدعم عن بُعد في BeyondTrust لنشر برامج الفدية داخل شبكة الضحية بعد تعطيل منتجات الحماية عبر PoisonX.sys وhrwfpdrv.sys.

حتى عند إزالة الاختلافات في العلامات التجارية واختيار السائق، فإن الكود الأساسي لهذه البرامج القاتلة لبرامج تسجيل بيانات نقاط النهاية (EDR) يُظهر تشابهات هيكلية وسلوكية كبيرة، مما يشير بقوة إلى استخدام قالب تطوير مشترك.

تم دمج برامج قتل EDR التابعة لجهات خارجية في الترسانة

تتضمن مجموعة أدوات "السادة" العديد من برامج القتل الخارجية القائمة على نظام BYOVD:

  • HexKiller (googleApiUtil64.sys)، الذي كان يُعتقد سابقًا أنه حصري لمجموعة برامج الفدية Warlock.
  • تم رصد ThrottleBlood (ThrottleBlood.sys) في الهجمات المرتبطة بـ MedusaLocker و DragonForce التابعين، و HavocKiller أو HwAudKiller (havoc.sys).
  • برنامج OxideHarvest يوسع نطاق التهديد ليشمل ما هو أبعد من برامج الفدية

كما حدد الباحثون برمجية خبيثة لسرقة بيانات الاعتماد مبنية على لغة Rust تُدعى OxideHarvest، والمعروفة أيضًا باسم buildx641. وتستطيع هذه البرمجية جمع معلومات حساسة من العديد من المتصفحات الشائعة، بما في ذلك:

جوجل كروم، مايكروسوفت إيدج، تورش، كومودو، إبيك برايفسي براوزر، فيفالدي، بريف، أوبرا، أوبرا جي إكس، موزيلا فايرفوكس، ووترفوكس، بلاك هوك، وآيس كات.

نموذج مركزي يجذب الشركاء

بينما تترك العديد من مجموعات برامج الفدية عمليات تجاوز أنظمة الكشف والاستجابة لنقاط النهاية (EDR) لشركائها، اختارت مجموعة "ذا جنتلمن" مركزة هذه القدرة من خلال تزويد شركائها بمجموعة أدوات جاهزة للاستخدام وموحدة لاختراق أنظمة EDR. تُسهّل هذه الاستراتيجية بشكل كبير عملية اختراق برامج الفدية، وتُبسّط نشرها، وتزيد من جاذبيتها في بيئة الجريمة الإلكترونية.

جار التحميل...