قیمت چند مجوز تخفیف
پایگاه داده تهدید تهدید مداوم پیشرفته (APT) چارچوب بدافزار GentleKiller

چارچوب بدافزار GentleKiller

تا Mezo در تهدید مداوم پیشرفته (APT), باج افزار
ترجمه به:

عملیات باج‌افزار به عنوان سرویس (RaaS) جنتلمن (Gentlemen) به طور فعال در حال توسعه و نگهداری مجموعه‌ای جامع از ابزارهای از بین بردن تشخیص و پاسخ (EDR) برای نقاط پایانی است که شرکت‌های وابسته می‌توانند قبل از استقرار رمزگذارهای باج‌افزار، از آنها برای غیرفعال کردن حفاظت‌های امنیتی استفاده کنند.

در مرکز این زرادخانه، چارچوبی به نام GentleKiller قرار دارد که توسط چندین ابزار شخص ثالث و لو رفته، از جمله HexKiller، ThrottleBlood و HavocKiller پشتیبانی می‌شود. این ابزارها از طریق یک چارچوب مشترک گریز از دفاع، یکپارچه شده‌اند که با استفاده از اطلاعات نسخه جعلی، گواهی‌های دیجیتال کپی شده و آیکون‌های برنامه کلون شده، آنها را به عنوان محصولات امنیتی قانونی پنهان می‌کند.

بهره‌برداری سریع از آسیب‌پذیری‌های تازه افشا شده

یکی از قابل توجه‌ترین قابلیت‌های این گروه، توانایی آن در عملیاتی کردن سریع اکسپلویت‌های اثبات مفهوم (PoC) تازه منتشر شده مرتبط با تکنیک Bring Your Own Vulnerable Driver (BYOVD) است. در بسیاری از موارد، اکسپلویت‌های تازه افشا شده تنها ظرف چند روز پس از انتشار عمومی، در مجموعه ابزارهای این گروه ادغام می‌شوند.

این رویکرد توسعه‌ی ساده، ابزارهای بسیار موثری را در اختیار شرکت‌های وابسته قرار می‌دهد و در عین حال، الزامات توسعه را برای خود اپراتورها کاهش می‌دهد. این مدل همچنین گروه را قادر می‌سازد تا تقریباً بلافاصله پس از افشای عمومی، با ادغام درایورهای تازه مورد سوءاستفاده قرار گرفته، به طور مداوم زرادخانه‌ی خود را به‌روز کند.

افزایش سریع اکوسیستم باج‌افزارها

از زمان ظهور در مارس ۲۰۲۵، گروه The Gentlemen به سرعت به یکی از فعال‌ترین گروه‌های باج‌افزاری در سراسر جهان تبدیل شده است. این عملیات مسئولیت ۵۰۴ قربانی را بر عهده گرفته است که اکثر اهداف آن در جنوب شرقی آسیا، آمریکای جنوبی و اروپای غربی قرار دارند.

تحقیقات اخیر، الکساندر آندریویچ یاپایف، یک تبعه ۳۶ ساله روس که در فضای مجازی با نام مستعار «hastalamuerte» شناخته می‌شود، را به عنوان رهبر این عملیات شناسایی کرده است. طبق گزارش‌ها، او پیش از راه‌اندازی The Gentlemen، به عنوان وابسته برای چندین برنامه باج‌افزار دیگر، از جمله Qilin، کار می‌کرده است.

فرار پیشرفته از EDR از طریق جعل هویت و محافظت دودویی

Gentlemen یکی از چابک‌ترین عملیات‌های RaaS فعال فعلی از نظر فنی محسوب می‌شود. توسعه‌دهندگان آن از تکنیک‌های متعددی برای اطمینان از عدم شناسایی قاتلان EDR کامپایل‌شده استفاده می‌کنند، از جمله مکانیسم‌های محافظت باینری و استفاده از نام فایل‌هایی که شبیه به نام‌های فروشندگان شناخته‌شده امنیت سایبری طراحی شده‌اند. این فریب به اطلاعات نسخه جعلی، امضاهای دیجیتال و آیکون‌های برنامه نیز گسترش می‌یابد.

پرکاربردترین ابزار موجود در این مجموعه، GentleKiller، در هشت نوع مختلف وجود دارد. هر نسخه از یک محصول امنیتی قانونی متفاوت تقلید می‌کند و از یک درایور آسیب‌پذیر یا مخرب جداگانه به عنوان بخشی از یک زنجیره حمله BYOVD سوءاستفاده می‌کند. این چارچوب قادر به شناسایی و هدف قرار دادن تقریباً ۴۰۰ فرآیند مرتبط با ۴۸ راهکار امنیتی مختلف از فروشندگان متعدد است.

سوءاستفاده روزافزون از رانندگان آسیب‌پذیر

در ماه‌های اخیر شاهد افزایش سوءاستفاده از درایور PoisonX.sys در چندین کمپین BYOVD بوده‌ایم. در یک حادثه، از این درایور برای خاتمه دادن به پلتفرم CrowdStrike Falcon EDR استفاده شد. در کمپین دیگری، مهاجمان پس از غیرفعال کردن محصولات امنیتی از طریق PoisonX.sys و hrwfpdrv.sys، از BeyondTrust Remote Support برای استقرار باج‌افزار در شبکه قربانی سوءاستفاده کردند.

حتی زمانی که تفاوت‌ها در برندسازی و انتخاب درایور حذف شوند، کد اصلی این قاتلان EDR شباهت‌های ساختاری و رفتاری قابل توجهی را نشان می‌دهد که قویاً نشان‌دهنده استفاده از یک الگوی توسعه مشترک است.

قاتلان EDR شخص ثالث که در زرادخانه ادغام شده‌اند

جعبه ابزار آقایان شامل چندین قاتل EDR خارجی مبتنی بر BYOVD است:

  • HexKiller (googleApiUtil64.sys) که پیش از این تصور می‌شد مختص گروه باج‌افزار Warlock است.
  • ThrottleBlood (ThrottleBlood.sys)، که در حملات مرتبط با شرکت‌های وابسته به MedusaLocker و DragonForce مشاهده شده است، و HavocKiller یا HwAudKiller (havoc.sys).
  • OxideHarvest تهدید را فراتر از باج‌افزار گسترش می‌دهد

محققان همچنین یک بدافزار سرقت اطلاعات کاربری مبتنی بر Rust به نام OxideHarvest که با نام buildx641 نیز شناخته می‌شود را شناسایی کرده‌اند. این بدافزار قادر به جمع‌آوری اطلاعات حساس از مرورگرهای محبوب متعددی از جمله موارد زیر است:

گوگل کروم، مایکروسافت اج، تورچ، کومودو، مرورگر حریم خصوصی اپیک، ویوالدی، بریو، اپرا، اپرا جی ایکس، موزیلا فایرفاکس، واترفاکس، بلک هاوک و آیس کت.

یک مدل متمرکز که همکاران فروش را جذب می‌کند

در حالی که بسیاری از گروه‌های باج‌افزاری عملیات دور زدن EDR را به شرکت‌های وابسته خود واگذار می‌کنند، گروه The Gentlemen تصمیم گرفته است با ارائه یک مجموعه آماده و استاندارد برای از بین بردن EDR به شرکت‌های وابسته، این قابلیت را متمرکز کند. این استراتژی به طور قابل توجهی موانع فنی ورود به شرکت‌های وابسته را کاهش می‌دهد، استقرار باج‌افزار را ساده می‌کند و جذابیت کلی عملیات را در اکوسیستم جرایم سایبری افزایش می‌دهد.

بارگذاری...