Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Ancaman Berterusan Lanjutan (APT) Rangka Kerja Perisian Hasad GentleKiller

Rangka Kerja Perisian Hasad GentleKiller

Menjelang Mezo pada Ancaman Berterusan Lanjutan (APT), Perisian tebusan
Terjemahkan ke

Operasi Gentlemen ransomware-as-a-service (RaaS) sedang giat membangun dan menyelenggara suit komprehensif alat pembunuhan pengesanan dan tindak balas titik akhir (EDR) yang boleh digunakan oleh sekutu untuk melumpuhkan perlindungan keselamatan sebelum menggunakan penyulitan ransomware.

Di tengah-tengah senjata ini terdapat rangka kerja yang dikenali sebagai GentleKiller, yang disokong oleh beberapa alat pihak ketiga dan yang bocor, termasuk HexKiller, ThrottleBlood dan HavocKiller. Utiliti ini disatukan melalui rangka kerja pengelakan pertahanan yang sama yang menyamarkannya sebagai produk keselamatan yang sah dengan menggunakan maklumat versi palsu, sijil digital yang disalin dan ikon aplikasi yang diklon.

Eksploitasi Pantas Kerentanan yang Baru Didedahkan

Salah satu keupayaan kumpulan yang paling ketara ialah keupayaannya untuk mengoperasikan eksploitasi bukti konsep (PoC) yang baru diterbitkan dengan pantas yang berkaitan dengan teknik Bring Your Own Vulnerable Driver (BYOVD). Dalam banyak kes, eksploitasi yang baru didedahkan disepadukan ke dalam toolkit kumpulan hanya dalam beberapa hari selepas tersedia untuk umum.

Pendekatan pembangunan yang diperkemas ini menyediakan sekutu dengan alat yang sangat berkesan sambil mengurangkan keperluan pembangunan untuk pengendali itu sendiri. Model ini juga membolehkan kumpulan itu untuk terus menyegarkan senjata mereka dengan memasukkan pemandu yang baru disalahgunakan hampir sejurus selepas pendedahan awam.

Peningkatan Pesat dalam Ekosistem Ransomware

Sejak muncul pada Mac 2025, The Gentlemen dengan pantas menjadi salah satu kumpulan ransomware paling aktif di seluruh dunia. Operasi ini telah mengaku bertanggungjawab ke atas 504 mangsa, dengan majoriti sasaran terletak di seluruh Asia Tenggara, Amerika Selatan dan Eropah Barat.

Siasatan baru-baru ini telah mengenal pasti Alexander Andreevich Yapaev, seorang warga Rusia berusia 36 tahun yang dikenali dalam talian sebagai 'hastalamuerte', sebagai ketua operasi tersebut. Sebelum melancarkan The Gentlemen, beliau dilaporkan bekerja sebagai sekutu untuk beberapa program ransomware lain, termasuk Qilin.

Pengelakan EDR Lanjutan Melalui Penyamaran dan Perlindungan Perduaan

Gentlemen dianggap sebagai salah satu operasi RaaS yang paling tangkas dari segi teknikal yang sedang aktif. Pembangunnya menggunakan pelbagai teknik untuk memastikan pembunuh EDR yang dikompilasi mengelak daripada pengesanan, termasuk mekanisme perlindungan binari dan penggunaan nama fail yang direka bentuk untuk menyerupai vendor keselamatan siber yang terkenal. Penipuan ini meliputi maklumat versi palsu, tandatangan digital dan ikon aplikasi.

Alat yang paling banyak digunakan dalam arsenal, GentleKiller, wujud dalam lapan varian berbeza. Setiap versi meniru produk keselamatan sah yang berbeza dan menyalahgunakan pemacu terdedah atau berniat jahat yang berasingan sebagai sebahagian daripada rantaian serangan BYOVD. Rangka kerja ini mampu mengenal pasti dan menyasarkan kira-kira 400 proses yang berkaitan dengan 48 penyelesaian keselamatan berbeza daripada pelbagai vendor.

Penyalahgunaan Pemandu Rentan yang Semakin Berkembang

Beberapa bulan kebelakangan ini telah menyaksikan peningkatan penyalahgunaan pemacu PoisonX.sys dalam pelbagai kempen BYOVD. Dalam satu kejadian, pemacu tersebut telah digunakan untuk menamatkan platform CrowdStrike Falcon EDR. Satu lagi kempen melibatkan penyerang yang mengeksploitasi Sokongan Jauh BeyondTrust untuk menggunakan ransomware dalam rangkaian mangsa selepas melumpuhkan produk keselamatan melalui PoisonX.sys dan hrwfpdrv.sys terlebih dahulu.

Walaupun perbezaan dalam penjenamaan dan pemilihan pemacu dihapuskan, kod asas pembunuh EDR ini menunjukkan persamaan struktur dan tingkah laku yang ketara, dengan jelas menunjukkan penggunaan templat pembangunan kongsi.

Pembunuh EDR Pihak Ketiga Bersepadu ke dalam Arsenal

Kit alat Gentlemen menggabungkan beberapa pembunuh EDR berasaskan BYOVD luaran:

  • HexKiller (googleApiUtil64.sys), sebelum ini dipercayai eksklusif untuk kumpulan ransomware Warlock.
  • ThrottleBlood (ThrottleBlood.sys), diperhatikan dalam serangan yang dikaitkan dengan sekutu MedusaLocker dan DragonForce, dan HavocKiller atau HwAudKiller (havoc.sys).
  • OxideHarvest Memperluas Ancaman Melampaui Ransomware

Penyelidik juga telah mengenal pasti perisian hasad pencuri kelayakan berasaskan Rust yang dinamakan OxideHarvest, juga dikenali sebagai buildx641. Pencuri ini mampu menuai maklumat sensitif daripada pelbagai pelayar popular, termasuk:

Google Chrome, Microsoft Edge, Torch, Comodo, Pelayar Privasi Epic, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk dan IceCat.

Model Berpusat Yang Menarik Ahli Gabungan

Walaupun banyak kumpulan ransomware menyerahkan operasi pintasan EDR kepada sekutu mereka, The Gentlemen telah memilih untuk memusatkan keupayaan ini dengan menyediakan sekutu dengan suit pembunuh EDR yang sedia digunakan dan diseragamkan. Strategi ini dengan ketara mengurangkan halangan teknikal untuk kemasukan bagi sekutu, memudahkan penggunaan ransomware dan meningkatkan daya tarikan keseluruhan operasi dalam ekosistem jenayah siber.

Memuatkan...