GentleKilleri pahavara raamistik

Aastaks Mezo aastal Täiustatud püsiv oht (APT), Lunavara

Tõlgi:

Gentlemen ransomware-as-a-service (RaaS) operatsioon arendab ja haldab aktiivselt terviklikku komplekti lõpp-punkti tuvastamise ja reageerimise (EDR) tapmise tööriistu, mida sidusettevõtted saavad kasutada turvakaitse keelamiseks enne lunavara krüpteerijate juurutamist.

Selle arsenali keskmes on raamistik nimega GentleKiller, mida toetavad mitmed kolmandate osapoolte ja lekkinud tööriistad, sealhulgas HexKiller, ThrottleBlood ja HavocKiller. Neid utiliite ühendab ühine kaitsest kõrvalehoidumise raamistik, mis maskeerib neid võltsitud versiooniteabe, kopeeritud digitaalsete sertifikaatide ja kloonitud rakenduseikoonide abil seaduslikeks turvatoodeteks.

Sisukord

Äsja avalikustatud haavatavuste kiire ärakasutamine

Üks grupi tähelepanuväärsemaid võimeid on võime kiiresti kasutusele võtta äsja avaldatud kontseptsioonitõenduse (PoC) ärakasutamisvõimalusi, mis on seotud „Bring Your Own Vulnerable Driver” (BYOVD) tehnikaga. Paljudel juhtudel integreeritakse äsja avaldatud ärakasutamised grupi tööriistakomplekti vaid mõne päeva jooksul pärast avalikuks saamist.

See sujuv arendusmeetod pakub sidusettevõtetele ülitõhusaid tööriistu, vähendades samal ajal operaatorite endi arendusvajadust. Mudel võimaldab ka grupil oma arsenali pidevalt värskendada, lisades äsja kuritarvitatud draivereid peaaegu kohe pärast avalikustamist.

Lunavara ökosüsteemi kiire tõus

Alates 2025. aasta märtsist, mil The Gentlemen esile kerkis, on sellest kiiresti saanud üks aktiivsemaid lunavararühmitusi maailmas. Operatsioon on võtnud vastutuse 504 ohvri eest, kellest enamik asub Kagu-Aasias, Lõuna-Ameerikas ja Lääne-Euroopas.

Hiljutised uurimised on tuvastanud operatsiooni juhina 36-aastase Venemaa kodaniku Alexander Andreevich Yapaev'i, keda tuntakse internetis hüüdnimega 'hastalamuerte'. Enne The Gentlemeni käivitamist töötas ta väidetavalt mitme teise lunavaraprogrammi, sealhulgas Qilini, partnerina.

Täiustatud EDR-i varjamine isikupärastamise ja binaarkaitse abil

The Gentlemenit peetakse üheks tehniliselt kõige paindlikumaks RaaS-operatsiooniks, mis praegu tegutseb. Selle arendajad kasutavad kompileeritud EDR-tappajate tuvastamise vältimiseks mitmeid tehnikaid, sealhulgas binaarkaitse mehhanisme ja failinimede kasutamist, mis on loodud meenutama tuntud küberturbetootjate nimesid. Pettus hõlmab võltsitud versiooniteavet, digitaalallkirju ja rakenduste ikoone.

Arsenali kõige laialdasemalt kasutatav tööriist GentleKiller eksisteerib kaheksas erinevas variandis. Iga versioon imiteerib erinevat legitiimset turvatoodet ja kuritarvitab eraldi haavatavat või pahatahtlikku draiverit osana BYOVD rünnakuahelast. Raamistik suudab tuvastada ja sihtida ligikaudu 400 protsessi, mis on seotud 48 erineva turvalahendusega arvukatelt tarnijatelt.

Haavatavate juhtide üha suurem väärkohtlemine

Viimastel kuudel on mitmetes BYOVD kampaaniates täheldatud draiveri PoisonX.sys kuritarvitamise sagenemist. Ühel juhul kasutati draiverit CrowdStrike Falcon EDR platvormi sulgemiseks. Teises kampaanias kasutasid ründajad BeyondTrust Remote Supporti ära, et levitada ohvri võrgustikus lunavara pärast seda, kui nad olid esmalt turvatooted PoisonX.sys ja hrwfpdrv.sys kaudu keelanud.

Isegi kui brändingu ja draiveri valiku erinevused kõrvaldada, näitab nende EDR-i tapjate aluskood olulisi struktuurilisi ja käitumuslikke sarnasusi, mis viitab tugevalt ühise arendusmalli kasutamisele.

Arsenali integreeritud kolmanda osapoole EDR-tapjad

Härrasmeeste tööriistakomplekt sisaldab mitmeid väliseid BYOVD-põhiseid EDR-tapjaid:

HexKiller (googleApiUtil64.sys), mida varem peeti Warlocki lunavararühma eksklusiivseks omaduseks.
ThrottleBlood (ThrottleBlood.sys), mida on täheldatud MedusaLockeri ja DragonForce'i sidusettevõtetega seotud rünnakutes ning HavocKilleri või HwAudKilleriga (havoc.sys).
OxideHarvest laiendab ohtu lunavarast kaugemale

Teadlased on tuvastanud ka Rustil põhineva pahavara nimega OxideHarvest, mis varastab mandaate ja on tuntud ka kui buildx641. Varastaja on võimeline koguma tundlikku teavet paljudest populaarsetest brauseritest, sealhulgas:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk ja IceCat.

Tsentraliseeritud mudel, mis meelitab ligi sidusettevõtteid

Kuigi paljud lunavara rühmitused jätavad EDR-i möödaviigu toimingud oma sidusettevõtete hooleks, on The Gentlemen otsustanud selle võimaluse tsentraliseerida, pakkudes sidusettevõtetele kasutusvalmis ja standardiseeritud EDR-i hävitajate komplekti. See strateegia alandab oluliselt sidusettevõtete tehnilist sisenemisbarjääri, lihtsustab lunavara juurutamist ja suurendab operatsiooni üldist atraktiivsust küberkuritegevuse ökosüsteemis.

EnigmaSofti makseprotsessor Digital River GmbH pankrotiavalduse esitamine ei mõjuta SpyHunteri klientide pahavaravastast kaitset

Otsing

Vaheta piirkonda