GentleKiller Kötü Amaçlı Yazılım Çerçevesi

Mezo'de Gelişmiş Sürekli Tehdit (APT), Fidye yazılımı'de

Çevir:

Gentlemen fidye yazılımı hizmeti (RaaS) operasyonu, iştiraklerinin fidye yazılımı şifreleyicilerini dağıtmadan önce güvenlik korumalarını devre dışı bırakmak için kullanabileceği kapsamlı bir uç nokta tespit ve müdahale (EDR) öldürme araçları paketini aktif olarak geliştiriyor ve sürdürüyor.

Bu silah cephaneliğinin merkezinde, HexKiller, ThrottleBlood ve HavocKiller dahil olmak üzere çeşitli üçüncü taraf ve sızdırılmış araçlar tarafından desteklenen GentleKiller olarak bilinen bir çerçeve yer almaktadır. Bu yardımcı programlar, sahte sürüm bilgileri, kopyalanmış dijital sertifikalar ve klonlanmış uygulama simgeleri kullanarak onları meşru güvenlik ürünleri gibi gösteren ortak bir savunma atlatma çerçevesiyle birleştirilmiştir.

İçindekiler

Yeni Keşfedilen Güvenlik Açıklarının Hızlı Bir Şekilde İstismar Edilmesi

Grubun en dikkat çekici yeteneklerinden biri, Kendi Güvenlik Açığı Olan Sürücünüzü Getirin (BYOVD) tekniğiyle ilişkili yeni yayınlanan kavram kanıtı (PoC) saldırılarını hızla operasyonel hale getirme becerisidir. Birçok durumda, yeni açıklanan saldırılar, kamuya açık hale geldikten sadece birkaç gün sonra grubun araç setine entegre edilir.

Bu sadeleştirilmiş geliştirme yaklaşımı, iştirakçilere son derece etkili araçlar sağlarken, operatörlerin kendileri için geliştirme gereksinimlerini de azaltmaktadır. Model ayrıca, yeni kötüye kullanılan sürücüleri kamuoyuna açıklanmasının hemen ardından dahil ederek grubun araçlarını sürekli olarak yenilemesini de mümkün kılmaktadır.

Fidye Yazılımı Ekosisteminde Hızlı Bir Yükseliş

Mart 2025'te ortaya çıkmasından bu yana, The Gentlemen hızla dünya çapında en aktif fidye yazılımı gruplarından biri haline geldi. Operasyon, çoğunluğu Güneydoğu Asya, Güney Amerika ve Batı Avrupa'da olmak üzere 504 kurbandan sorumlu olduğunu iddia etti.

Son araştırmalar, internette 'hastalamuerte' olarak bilinen 36 yaşındaki Rus vatandaşı Alexander Andreevich Yapaev'in operasyonun lideri olduğunu ortaya çıkardı. The Gentlemen'ı başlatmadan önce, Qilin de dahil olmak üzere çeşitli fidye yazılımı programları için ortak olarak çalıştığı bildiriliyor.

Kimlik Taklidi ve İkili Koruma Yöntemleriyle Gelişmiş EDR Kaçırma

The Gentlemen, şu anda aktif olan en teknik açıdan çevik RaaS (Hizmet Olarak Saldırı) operasyonlarından biri olarak kabul ediliyor. Geliştiricileri, derlenmiş EDR (Enterprise Dedektiflik Tehditleri) saldırılarını engellemek için ikili koruma mekanizmaları ve tanınmış siber güvenlik sağlayıcılarınınkine benzeyecek şekilde tasarlanmış dosya adları da dahil olmak üzere birden fazla teknik kullanıyor. Aldatma, sahte sürüm bilgileri, dijital imzalar ve uygulama simgelerine kadar uzanıyor.

Cephanelikteki en yaygın kullanılan araç olan GentleKiller, sekiz farklı varyantta mevcuttur. Her sürüm, farklı bir meşru güvenlik ürününü taklit eder ve BYOVD saldırı zincirinin bir parçası olarak ayrı bir savunmasız veya kötü amaçlı sürücüyü kötüye kullanır. Çerçeve, çok sayıda satıcıdan 48 farklı güvenlik çözümüyle ilişkili yaklaşık 400 işlemi tanımlayabilir ve hedefleyebilir.

Savunmasız Sürücülere Yönelik Artan İstismar

Son aylarda, PoisonX.sys sürücüsünün birden fazla BYOVD (Kendi Cihazını Getir) kampanyasında kötüye kullanımında artış görüldü. Bir olayda, sürücü CrowdStrike Falcon EDR platformunu sonlandırmak için kullanıldı. Başka bir kampanyada ise saldırganlar, PoisonX.sys ve hrwfpdrv.sys aracılığıyla güvenlik ürünlerini devre dışı bıraktıktan sonra, kurbanın ağında fidye yazılımı yaymak için BeyondTrust Remote Support'u istismar etti.

Marka ve sürücü seçimindeki farklılıklar ortadan kaldırıldığında bile, bu EDR katillerinin temel kodunda önemli yapısal ve davranışsal benzerlikler görülmekte olup, bu da ortak bir geliştirme şablonunun kullanıldığına dair güçlü bir işaret vermektedir.

Üçüncü Parti EDR Sonlandırıcıları Cephaneliğe Entegre Edildi

Beyefendiler için hazırlanan araç seti, harici BYOVD tabanlı EDR sonlandırıcılarından birkaçını içermektedir:

HexKiller (googleApiUtil64.sys), daha önce yalnızca Warlock fidye yazılımı grubuna özgü olduğu düşünülen bir zararlı yazılımdır.
MedusaLocker ve DragonForce bağlantılı saldırılarda gözlemlenen ThrottleBlood (ThrottleBlood.sys) ve HavocKiller veya HwAudKiller (havoc.sys).
OxideHarvest, tehdidi fidye yazılımlarının ötesine genişletiyor.

Araştırmacılar ayrıca, OxideHarvest veya buildx641 olarak da bilinen Rust tabanlı bir kimlik bilgisi hırsızlığı yapan kötü amaçlı yazılımı tespit etti. Bu hırsız, aşağıdakiler de dahil olmak üzere çok sayıda popüler tarayıcıdan hassas bilgileri toplayabiliyor:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk ve IceCat.

Üye Çeken Merkezi Bir Model

Birçok fidye yazılımı grubu EDR atlatma işlemlerini iştiraklerine bırakırken, The Gentlemen bu yeteneği merkezileştirerek iştiraklerine kullanıma hazır ve standartlaştırılmış bir EDR-katil paketi sunmayı tercih etti. Bu strateji, iştirakler için teknik giriş engelini önemli ölçüde düşürüyor, fidye yazılımı dağıtımını basitleştiriyor ve siber suçlu ekosistemi içinde operasyonun genel çekiciliğini artırıyor.

EnigmaSoft'un Ödeme İşlemcisi Digital River GmbH'nin İflas Başvurusunda Bulunması SpyHunter Müşterilerinin Kötü Amaçlı Yazılımlara Karşı Korumasını Etkilemiyor

Ara

Bölge değiştir

GentleKiller Kötü Amaçlı Yazılım Çerçevesi

Yeni Keşfedilen Güvenlik Açıklarının Hızlı Bir Şekilde İstismar Edilmesi

Fidye Yazılımı Ekosisteminde Hızlı Bir Yükseliş

Kimlik Taklidi ve İkili Koruma Yöntemleriyle Gelişmiş EDR Kaçırma

Savunmasız Sürücülere Yönelik Artan İstismar

Üçüncü Parti EDR Sonlandırıcıları Cephaneliğe Entegre Edildi

Üye Çeken Merkezi Bir Model

Yorum Gönder

En çok görüntülenen

'Yazıcı Sürücüsü Kullanılamıyor' Hatası Nasıl Onarılır

Discord Ekranı Paylaşırken Siyah Ekran Görüyor