GentleKiller恶意软件框架

Gentlemen 勒索软件即服务 (RaaS) 运营团队正在积极开发和维护一套全面的端点检测和响应 (EDR) 清除工具，其成员可以在部署勒索软件加密器之前使用这些工具禁用安全保护。

这套攻击手段的核心是一个名为 GentleKiller 的框架，它由多个第三方工具和泄露的工具提供支持，包括 HexKiller、ThrottleBlood 和 HavocKiller。这些工具通过一个通用的防御规避框架进行统一，该框架利用伪造的版本信息、复制的数字证书和克隆的应用程序图标，将它们伪装成合法的安全产品。

快速利用新披露的漏洞

该组织最显著的能力之一是能够迅速将新发布的与自带漏洞驱动程序 (BYOVD) 技术相关的概念验证 (PoC) 漏洞利用程序投入实际应用。在许多情况下，新披露的漏洞利用程序在公开发布后的短短几天内就会被整合到该组织的工具包中。

这种精简的开发方法为加盟商提供了高效的工具，同时降低了运营商自身的开发需求。该模式还使该集团能够不断更新其工具库，在新发现的滥用驱动因素被公开披露后几乎立即将其纳入其中。

勒索软件生态系统的迅速崛起

自2025年3月出现以来， “绅士帮”（The Gentlemen）迅速成为全球最活跃的勒索软件组织之一。该组织声称对504起受害者事件负责，其中大部分受害者位于东南亚、南美和西欧。

近期调查已确认，网名为“hastalamuerte”的36岁俄罗斯公民亚历山大·安德烈耶维奇·亚帕耶夫是此次勒索软件行动的头目。据报道，在发起“绅士”勒索软件行动之前，他曾为包括麒麟在内的多个勒索软件项目担任过合作者。

通过冒充和二进制保护实现高级EDR规避

The Gentlemen 被认为是目前技术最敏捷的 RaaS（远程访问即服务）项目之一。其开发者采用多种技术来确保编译后的 EDR（端点检测与响应）攻击程序能够逃避检测，包括二进制保护机制和使用与知名网络安全厂商文件名相似的文件名。这种欺骗手段甚至延伸到伪造版本信息、数字签名和应用程序图标。

GentleKiller是目前最常用的工具，它有八个不同的变体。每个版本都模仿不同的合法安全产品，并利用不同的易受攻击或恶意驱动程序，作为BYOVD攻击链的一部分。该框架能够识别并攻击与来自众多供应商的48种不同安全解决方案相关的约400个进程。

对弱势驾驶员的虐待日益增多

近几个月来，PoisonX.sys驱动程序在多起BYOVD攻击活动中被滥用的情况日益增多。其中一起事件中，该驱动程序被用于终止CrowdStrike Falcon EDR平台。另一起攻击活动中，攻击者利用BeyondTrust远程支持漏洞，在通过PoisonX.sys和hrwfpdrv.sys禁用安全产品后，在受害者网络中部署勒索软件。

即使去除品牌和驱动程序选择上的差异，这些 EDR 杀手的底层代码也表现出显著的结构和行为相似性，这强烈表明它们使用了共享的开发模板。

第三方EDR杀手已整合到武器库中

绅士工具包中包含多个基于 BYOVD 的外部 EDR 杀手：

• HexKiller (googleApiUtil64.sys) 此前被认为是 Warlock 勒索软件组织独有的。
• ThrottleBlood (ThrottleBlood.sys)，在与 MedusaLocker 和 DragonForce 附属组织有关的攻击中被发现，以及 HavocKiller 或 HwAudKiller (havoc.sys)。
• OxideHarvest 将威胁范围扩大到勒索软件之外

研究人员还发现了一种基于 Rust 的凭证窃取恶意软件，名为 OxideHarvest，也称为 buildx641。该窃取程序能够从众多主流浏览器中窃取敏感信息，包括：

Google Chrome、Microsoft Edge、Torch、Comodo、Epic Privacy Browser、Vivaldi、Brave、Opera、OperaGX、Mozilla Firefox、Waterfox、BlackHawk 和 IceCat。

吸引加盟商的集中式模式

虽然许多勒索软件团伙将EDR绕过操作交给其关联组织，但“绅士团伙”（The Gentlemen）选择集中管理这项能力，为关联组织提供即用型标准化EDR绕过工具套件。这一策略显著降低了关联组织的技术门槛，简化了勒索软件的部署，并提升了该行动在网络犯罪生态系统中的整体吸引力。