Khung phần mềm độc hại GentleKiller

Đến năm Mezo năm Mối đe dọa dai dẳng nâng cao (APT), Phần mềm tống tiền

Dịch sang:

Hoạt động tấn công ransomware-as-a-service (RaaS) của Gentlemen đang tích cực phát triển và duy trì một bộ công cụ toàn diện để phát hiện và phản hồi điểm cuối (EDR) nhằm vô hiệu hóa các biện pháp bảo vệ an ninh trước khi triển khai phần mềm mã hóa ransomware.

Cốt lõi của kho vũ khí này là một khung phần mềm có tên GentleKiller, được hỗ trợ bởi một số công cụ của bên thứ ba và các công cụ bị rò rỉ, bao gồm HexKiller, ThrottleBlood và HavocKiller. Các tiện ích này được thống nhất thông qua một khung phần mềm né tránh phòng thủ chung, ngụy trang chúng thành các sản phẩm bảo mật hợp pháp bằng cách sử dụng thông tin phiên bản giả mạo, chứng chỉ số được sao chép và biểu tượng ứng dụng được nhân bản.

Mục lục

Khai thác nhanh chóng các lỗ hổng bảo mật mới được phát hiện

Một trong những khả năng đáng chú ý nhất của nhóm là khả năng nhanh chóng đưa vào vận hành các bằng chứng khái niệm (PoC) mới được công bố liên quan đến kỹ thuật Bring Your Own Vulnerable Driver (BYOVD). Trong nhiều trường hợp, các lỗ hổng bảo mật mới được tiết lộ được tích hợp vào bộ công cụ của nhóm chỉ trong vòng vài ngày sau khi được công khai.

Phương pháp phát triển tinh gọn này cung cấp cho các chi nhánh những công cụ hiệu quả cao, đồng thời giảm thiểu yêu cầu phát triển cho chính các nhà điều hành. Mô hình này cũng cho phép tập đoàn liên tục cập nhật kho công cụ của mình bằng cách tích hợp các trình điều khiển bị lạm dụng mới gần như ngay lập tức sau khi được công khai.

Sự gia tăng nhanh chóng của hệ sinh thái phần mềm tống tiền

Kể từ khi xuất hiện vào tháng 3 năm 2025, The Gentlemen đã nhanh chóng trở thành một trong những nhóm ransomware hoạt động mạnh nhất trên toàn thế giới. Nhóm này đã nhận trách nhiệm về 504 nạn nhân, với phần lớn các mục tiêu nằm ở Đông Nam Á, Nam Mỹ và Tây Âu.

Các cuộc điều tra gần đây đã xác định Alexander Andreevich Yapaev, một công dân Nga 36 tuổi, được biết đến trên mạng với biệt danh 'hastalamuerte', là kẻ cầm đầu chiến dịch này. Trước khi khởi động The Gentlemen, hắn được cho là đã làm việc với tư cách là cộng tác viên cho một số chương trình mã độc tống tiền khác, bao gồm cả Qilin.

Phương pháp né tránh EDR nâng cao thông qua giả mạo và bảo vệ nhị phân.

The Gentlemen được coi là một trong những hoạt động RaaS (Remote Access Service) có kỹ thuật linh hoạt nhất hiện nay. Các nhà phát triển của nó sử dụng nhiều kỹ thuật để đảm bảo rằng các phần mềm diệt EDR được biên dịch không bị phát hiện, bao gồm các cơ chế bảo vệ nhị phân và sử dụng tên tệp được thiết kế để giống với tên của các nhà cung cấp an ninh mạng nổi tiếng. Sự lừa đảo còn mở rộng đến thông tin phiên bản giả mạo, chữ ký số và biểu tượng ứng dụng.

Công cụ được sử dụng rộng rãi nhất trong kho vũ khí này, GentleKiller, tồn tại ở tám biến thể khác nhau. Mỗi phiên bản mô phỏng một sản phẩm bảo mật hợp pháp khác nhau và khai thác một trình điều khiển dễ bị tổn thương hoặc độc hại riêng biệt như một phần của chuỗi tấn công BYOVD. Khung phần mềm này có khả năng xác định và nhắm mục tiêu vào khoảng 400 quy trình liên quan đến 48 giải pháp bảo mật khác nhau từ nhiều nhà cung cấp.

Tình trạng lạm dụng ngày càng gia tăng đối với những người lái xe dễ bị tổn thương

Những tháng gần đây, việc lạm dụng trình điều khiển PoisonX.sys đã gia tăng trong nhiều chiến dịch BYOVD. Trong một vụ việc, trình điều khiển này đã được sử dụng để chấm dứt hoạt động của nền tảng CrowdStrike Falcon EDR. Một chiến dịch khác liên quan đến việc kẻ tấn công khai thác lỗ hổng BeyondTrust Remote Support để triển khai phần mềm tống tiền trong mạng lưới nạn nhân sau khi vô hiệu hóa các sản phẩm bảo mật thông qua PoisonX.sys và hrwfpdrv.sys.

Ngay cả khi loại bỏ những khác biệt về thương hiệu và lựa chọn trình điều khiển, mã nguồn cơ bản của các phần mềm phá hủy EDR này vẫn thể hiện những điểm tương đồng đáng kể về cấu trúc và hành vi, cho thấy rõ ràng việc sử dụng một khuôn mẫu phát triển chung.

Các phần mềm diệt EDR của bên thứ ba được tích hợp vào kho vũ khí.

Bộ công cụ của Gentlemen tích hợp một số phần mềm diệt EDR dựa trên BYOVD bên ngoài:

HexKiller (googleApiUtil64.sys), trước đây được cho là chỉ có ở nhóm ransomware Warlock.
ThrottleBlood (ThrottleBlood.sys), được quan sát thấy trong các cuộc tấn công liên quan đến MedusaLocker và các chi nhánh của DragonForce, cũng như HavocKiller hoặc HwAudKiller (havoc.sys).
OxideHarvest mở rộng mối đe dọa vượt ra ngoài phạm vi phần mềm tống tiền.

Các nhà nghiên cứu cũng đã xác định được một phần mềm độc hại đánh cắp thông tin đăng nhập dựa trên ngôn ngữ Rust có tên là OxideHarvest, còn được biết đến với tên gọi buildx641. Phần mềm này có khả năng thu thập thông tin nhạy cảm từ nhiều trình duyệt phổ biến, bao gồm:

Google Chrome, Microsoft Edge, Torch, Comodo, Epic Privacy Browser, Vivaldi, Brave, Opera, OperaGX, Mozilla Firefox, Waterfox, BlackHawk và IceCat.

Một mô hình tập trung thu hút các đối tác liên kết

Trong khi nhiều nhóm ransomware giao phó việc vượt qua hệ thống EDR cho các chi nhánh của mình, The Gentlemen đã chọn cách tập trung hóa khả năng này bằng cách cung cấp cho các chi nhánh một bộ công cụ tiêu diệt EDR sẵn sàng sử dụng và được tiêu chuẩn hóa. Chiến lược này giúp giảm đáng kể rào cản kỹ thuật cho các chi nhánh, đơn giản hóa việc triển khai ransomware và tăng sức hấp dẫn tổng thể của hoạt động này trong hệ sinh thái tội phạm mạng.

Bộ xử lý thanh toán Digital River GmbH của EnigmaSoft nộp đơn xin phá sản không ảnh hưởng đến khả năng bảo vệ chống phần mềm độc hại của khách hàng SpyHunter

Tìm kiếm

Đổi địa điểm