젠틀킬러 멀웨어 프레임워크

젠틀맨 랜섬웨어 서비스(RaaS) 운영은 제휴사가 랜섬웨어 암호화 도구를 배포하기 전에 보안 보호 기능을 비활성화하는 데 사용할 수 있는 포괄적인 엔드포인트 탐지 및 대응(EDR) 도구 모음을 적극적으로 개발 및 유지 관리하고 있습니다.

이러한 공격 도구들의 중심에는 GentleKiller라는 프레임워크가 있으며, HexKiller, ThrottleBlood, HavocKiller 등 여러 타사 도구 및 유출된 도구들이 이를 뒷받침합니다. 이러한 유틸리티들은 가짜 버전 정보, 복제된 디지털 인증서, 복제된 애플리케이션 아이콘 등을 사용하여 합법적인 보안 제품처럼 위장하는 공통된 방어 회피 프레임워크를 통해 통합되어 있습니다.

새롭게 공개된 취약점의 신속한 악용

이 그룹의 가장 주목할 만한 능력 중 하나는 BYOVD(Bring Your Own Vulnerable Driver) 기법과 관련된 새로 공개된 개념 증명(PoC) 익스플로잇을 신속하게 실제 운영 환경에 적용하는 능력입니다. 많은 경우, 새로 공개된 익스플로잇은 공개된 지 불과 며칠 만에 그룹의 툴킷에 통합됩니다.

이러한 간소화된 개발 접근 방식은 제휴사에게 매우 효과적인 도구를 제공하는 동시에 운영자 본인의 개발 요구 사항을 줄여줍니다. 또한 이 모델을 통해 그룹은 새롭게 악용되는 요인들이 공개된 직후 거의 즉시 이를 통합하여 지속적으로 무기고를 업데이트할 수 있습니다.

랜섬웨어 생태계의 급속한 성장

2025년 3월에 등장한 '더 젠틀맨(The Gentlemen)'은 전 세계에서 가장 활발한 랜섬웨어 그룹 중 하나로 빠르게 성장했습니다. 이들은 총 504명의 피해자를 발생시켰으며, 대부분의 공격 대상은 동남아시아, 남미, 서유럽에 집중되어 있습니다.

최근 조사에 따르면 온라인에서 'hastalamuerte'라는 닉네임으로 알려진 36세 러시아 국적의 알렉산더 안드레예비치 야파예프가 이 공격의 주도자로 밝혀졌습니다. 그는 '더 젠틀맨'을 실행하기 전, Qilin을 포함한 여러 다른 랜섬웨어 프로그램의 관련자로 활동했던 것으로 알려졌습니다.

신분 위장 및 바이너리 보호를 통한 고급 EDR 회피

The Gentlemen은 현재 활동 중인 RaaS(Reliability as a Service) 업체 중 기술적으로 가장 민첩한 업체 중 하나로 평가받습니다. 개발자들은 컴파일된 EDR 킬러가 탐지를 피하도록 바이너리 보호 메커니즘과 유명 사이버 보안 업체와 유사한 파일명 사용을 포함한 여러 기술을 활용합니다. 이러한 기만은 위조된 버전 정보, 디지털 서명, 애플리케이션 아이콘에까지 확장됩니다.

가장 널리 사용되는 도구인 GentleKiller는 8가지 변종이 있습니다. 각 버전은 서로 다른 합법적인 보안 제품을 모방하고 BYOVD 공격 체인의 일부로 취약하거나 악의적인 드라이버를 악용합니다. 이 프레임워크는 여러 공급업체의 48개 보안 솔루션과 관련된 약 400개의 프로세스를 식별하고 공격할 수 있습니다.

취약한 운전자에 대한 학대 행위 증가

최근 몇 달 동안 여러 BYOVD 공격 캠페인에서 PoisonX.sys 드라이버 악용 사례가 증가했습니다. 한 사례에서는 이 드라이버가 CrowdStrike Falcon EDR 플랫폼을 종료하는 데 사용되었습니다. 또 다른 캠페인에서는 공격자들이 PoisonX.sys 및 hrwfpdrv.sys를 통해 보안 제품을 무력화한 후 BeyondTrust Remote Support를 악용하여 피해자 네트워크에 랜섬웨어를 배포했습니다.

브랜드와 드라이버 선택의 차이점을 제거하더라도, 이러한 EDR 킬러의 기본 코드는 상당한 구조적 및 행동적 유사성을 보여주며, 이는 공통 개발 템플릿을 사용했음을 강력하게 시사합니다.

타사 EDR 킬러가 무기고에 통합되었습니다.

젠틀맨 툴킷에는 여러 외부 BYOVD 기반 EDR 킬러가 포함되어 있습니다.

• HexKiller(googleApiUtil64.sys)는 이전에는 Warlock 랜섬웨어 그룹에서만 발견되는 것으로 여겨졌습니다.
• ThrottleBlood(ThrottleBlood.sys)는 MedusaLocker 및 DragonForce 계열사와 관련된 공격에서 발견되었으며, HavocKiller 또는 HwAudKiller(havoc.sys)도 마찬가지입니다.
• OxideHarvest, 랜섬웨어를 넘어 위협 범위 확장

연구원들은 또한 OxideHarvest(buildx641이라고도 함)라는 Rust 기반 자격 증명 탈취 악성 프로그램을 발견했습니다. 이 악성 프로그램은 다음과 같은 여러 인기 브라우저에서 민감한 정보를 수집할 수 있습니다.

구글 크롬, 마이크로소프트 엣지, 토치, 코모도, 에픽 프라이버시 브라우저, 비발디, 브레이브, 오페라, 오페라GX, 모질라 파이어폭스, 워터폭스, 블랙호크, 아이스캣.

제휴사를 유치하는 중앙 집중식 모델

많은 랜섬웨어 그룹이 EDR 우회 작업을 조직원들에게 맡기는 반면, The Gentlemen은 조직원들에게 바로 사용할 수 있는 표준화된 EDR 킬러 제품군을 제공함으로써 이 기능을 중앙 집중화했습니다. 이러한 전략은 조직원들의 진입 장벽을 크게 낮추고, 랜섬웨어 배포를 간소화하며, 사이버 범죄 생태계 내에서 작전의 전반적인 매력을 높입니다.