GentleKiller惡意軟體框架

Gentlemen 勒索軟體即服務 (RaaS) 營運團隊正在積極開發和維護一套全面的端點偵測和回應 (EDR) 清除工具，其成員可以在部署勒索軟體加密器之前使用這些工具停用安全保護。

這套攻擊手段的核心是一個名為 GentleKiller 的框架，它由多個第三方工具和洩漏的工具提供支持，包括 HexKiller、ThrottleBlood 和 HavocKiller。這些工具透過一個通用的防禦規避框架進行統一，該框架利用偽造的版本資訊、複製的數位證書和克隆的應用程式圖標，將它們偽裝成合法的安全產品。

快速利用新揭露的漏洞

該組織最顯著的能力之一是能夠迅速將新發布的與自帶漏洞驅動程式 (BYOVD) 技術相關的概念驗證 (PoC) 漏洞程式投入實際應用程式。在許多情況下，新揭露的漏洞利用程式在公開發布後的短短幾天內就會被整合到該組織的工具包中。

這種精簡的開發方法為加盟商提供了高效的工具，同時降低了營運商本身的開發需求。該模式還使該集團能夠不斷更新其工具庫，在新發現的濫用驅動因素被公開披露後幾乎立即將其納入其中。

勒索軟體生態系統的快速崛起

自2025年3月出現以來， 「紳士幫」（The Gentlemen）迅速成為全球最活躍的勒索軟體組織之一。該組織聲稱對504起受害者事件負責，其中大部分受害者位於東南亞、南美和西歐。

近期調查已確認，網名為「hastalamuerte」的36歲俄羅斯公民亞歷山大·安德烈耶維奇·亞帕耶夫是這次勒索軟體行動的頭目。據報道，在發起「紳士」勒索軟體行動之前，他曾為包括麒麟在內的多個勒索軟體專案擔任合作者。

透過冒充和二進位保護實現高階EDR規避

The Gentlemen 被認為是目前技術最敏捷的 RaaS（遠端存取即服務）專案之一。其開發者採用多種技術來確保編譯後的 EDR（端點偵測與回應）攻擊程式能夠逃避偵測，包括二元保護機制和使用與知名網路安全廠商檔案名稱相似的檔案名稱。這種欺騙手段甚至延伸到偽造版本資訊、數位簽名和應用程式圖示。

GentleKiller是目前最常用的工具，它有八個不同的變體。每個版本都模仿不同的合法安全產品，並利用不同的易受攻擊或惡意驅動程序，作為BYOVD攻擊鏈的一部分。該框架能夠識別並攻擊與來自眾多供應商的48種不同安全解決方案相關的約400個進程。

對弱勢駕駛員的虐待日益增多

近幾個月來，PoisonX.sys驅動程式在多起BYOVD攻擊活動中被濫用的情況日益增多。在其中一起事件中，該驅動程式被用於終止CrowdStrike Falcon EDR平台。另一起攻擊活動中，攻擊者利用BeyondTrust遠端支援漏洞，在透過PoisonX.sys和hrwfpdrv.sys停用安全產品後，在受害者網路中部署勒索軟體。

即使去除品牌和驅動程式選擇上的差異，這些 EDR 殺手的底層程式碼也表現出顯著的結構和行為相似性，這強烈表明它們使用了共享的開發模板。

第三方EDR殺手已整合到武器庫中

紳士工具包中包含多個基於 BYOVD 的外部 EDR 殺手：

• HexKiller (googleApiUtil64.sys) 先前被認為是 Warlock 勒索軟體組織獨有的。
• ThrottleBlood (ThrottleBlood.sys)，在與 MedusaLocker 和 DragonForce 附屬組織有關的攻擊中被發現，以及 HavocKiller 或 HwAudKiller (havoc.sys)。
• OxideHarvest 將威脅範圍擴大到勒索軟體之外

研究人員還發現了一種基於 Rust 的憑證竊取惡意軟體，名為 OxideHarvest，也稱為 buildx641。該竊取程式能夠從眾多主流瀏覽器中竊取敏感資訊，包括：

Google Chrome、Microsoft Edge、Torch、Comodo、Epic Privacy Browser、Vivaldi、Brave、Opera、OperaGX、Mozilla Firefox、Waterfox、BlackHawk 和 IceCat。

吸引加盟主的集中式模式

雖然許多勒索軟體團夥將EDR繞過操作交給其關聯組織，但「紳士團夥」（The Gentlemen）選擇集中管理這項能力，為關聯組織提供即用型標準化EDR繞過工具套件。這項策略顯著降低了關聯組織的技術門檻，簡化了勒索軟體的部署，並提升了該行動在網路犯罪生態系統中的整體吸引力。