تخطى إلى المحتوى الرئيسي
شارك

عصابة Gentlemen RaaS تستهدف 400 عملية أمنية بأداة GentleKiller الجديدة

فريق جلتشمنذ ساعتين0 مشاهدة6 دقائق
شارك
عصابة Gentlemen RaaS تستهدف 400 عملية أمنية بأداة GentleKiller الجديدة

كشف تقرير ESET عن إطار GentleKiller الذي تستخدمه عصابة Gentlemen RaaS لتعطيل أنظمة EDR قبل هجمات الفدية، مستهدفاً 400 عملية أمنية. هذا يمثل تصعيداً خطيراً في حرب الأمن السيبراني.

مقدمة تحليلية

في تطور خطير يهدد البنى التحتية الرقمية العالمية، كشفت شركة ESET المتخصصة في الأمن السيبراني عن تفاصيل إطار عمل متقدم يُعرف باسم GentleKiller، تستخدمه عصابة برامج الفدية المعروفة باسم The Gentlemen RaaS. صُمم هذا الإطار خصيصاً لتعطيل أنظمة الكشف والاستجابة للنقاط الطرفية (EDR)، وهي خط الدفاع الأول للعديد من المؤسسات، وذلك قبل نشر برامج الفدية الخبيثة. تستهدف أداة GentleKiller بشكل مباشر ما يقرب من 400 عملية مرتبطة بـ 48 برنامج أمني مختلفاً من مجموعة واسعة من البائعين، مما يمثل تصعيداً كبيراً في قدرات مجموعات الفدية.

تُعد هذه الاستراتيجية المركزية لتعطيل EDR قبل الهجوم أمراً بالغ الأهمية، حيث تمنح المهاجمين ميزة حاسمة من خلال إزالة الحواجز الأمنية الرئيسية. إن قدرة العصابة على نشر مجموعة متكاملة من أدوات قتل EDR لأتباعها تخفض بشكل كبير من حاجز الدخول للمبتدئين، مما يجعلها عامل جذب لمزيد من المجرمين السيبرانيين. يؤكد هذا الكشف على الطبيعة المتطورة للتهديدات السيبرانية وضرورة تحديث استراتيجيات الدفاع لمواجهة هذه التكتيكات المعقدة.

التحليل التقني

يتمحور إطار GentleKiller حول سلسلة من الأدوات المصممة لإنهاء عمليات EDR بذكاء. يتكون الإطار من ثمانية متغيرات مختلفة، كل منها يحاكي منتجاً شرعياً مختلفاً ويستغل تعريفاً ضعيفاً أو خبيثاً كجزء من هجمات Bring Your Own Vulnerable Driver (BYOVD). تعتمد هذه التقنية على إدخال تعريفات نظام ضعيفة موقعة رقمياً من قبل بائعين موثوقين، مما يسمح للمهاجمين بتجاوز آليات الأمان والحصول على امتيازات عالية.

تتضمن قائمة التعريفات المستغلة في كل متغير من متغيرات GentleKiller ما يلي:

  • Kaspersky ("eb.sys")
  • FACEIT Anti-Cheat ("nseckrnl.sys")
  • Valorant ("GameDriverX64.sys")
  • Javelin ("stpm_old.sys" أو "stpm_new.sys")
  • WatchDog ("dmx.sys")
  • Network Blocker ("360netmon_wfp.sys")
  • Cleaner ("IMFForceDelete.sys")
  • G11 ("PoisonX.sys")

تجدر الإشارة إلى أن استغلال "PoisonX.sys" قد لوحظ في الأشهر الأخيرة في هجمات BYOVD متعددة، بما في ذلك هجوم استُخدم لتعطيل CrowdStrike Falcon EDR. بالإضافة إلى GentleKiller، تدمج العصابة أيضاً أدوات طرف ثالث مسربة أو مفتوحة المصدر مثل HexKiller ("googleApiUtil64.sys") الذي ارتبط سابقاً بعصابة Warlock، وThrottleBlood ("ThrottleBlood.sys") الذي شوهد في هجمات MedusaLocker وDragonForce، وHavocKiller أو HwAudKiller ("havoc.sys").

لضمان تجاوز الكشف، تستخدم العصابة تقنيات حماية الثنائيات مثل Enigma أو Themida، وتستخدم أسماء ملفات تحاكي بائعي الأمن السيبراني المعروفين، وصولاً إلى معلومات الإصدار المزيفة والتوقيعات الرقمية والأيقونات المنسوخة. أشار Jakub Souček، باحث الأمن في ESET، إلى أن الكود الأساسي يكشف عن قواسم مشتركة هيكلية وسلوكية عديدة، مما يشير بقوة إلى استخدام قالب تطوير مشترك. يسهل هذا التصميم نشر الأدوات ويوفر مرونة تشغيلية للأتباع، مع تقليل جهد التطوير للمشغلين، مما يسمح لعصابة The Gentlemen بدمج التعريفات المستغلة في مجموعتهم بسرعة بعد الكشف عن PoC لأي EDR killer.

إلى جانب أدوات قتل EDR، اكتشفت ESET أيضاً أداة لسرقة بيانات الاعتماد مبنية بلغة Rust تحمل الاسم الرمزي OxideHarvest (aka buildx641). هذه الأداة قادرة على جمع البيانات من متصفحات الويب الشائعة مثل Google Chrome، Microsoft Edge، Torch، Comodo، Epic Privacy Browser، Vivaldi، Brave، Opera، OperaGX، Mozilla Firefox، Waterfox، BlackHawk، وIceCat، مما يضيف طبقة أخرى من التهديد بعد اختراق الدفاعات الأولية.

السياق وتأثير السوق

منذ ظهورها في مارس 2025، صعدت عصابة The Gentlemen بسرعة لتصبح واحدة من أنشط مجموعات برامج الفدية. وفقاً لبيانات Ransomware.live، ادعت العصابة مسؤوليتها عن 504 ضحية حتى الآن، يقع معظمهم في جنوب شرق آسيا وأمريكا الجنوبية وأوروبا الغربية. كشفت تقارير حديثة من الصحفي الأمني Brian Krebs وPRODAFT أن مواطناً روسياً يبلغ من العمر 36 عاماً يُدعى Alexander Andreevich Yapaev (المعروف أيضاً باسم hastalamuerte) يقود هذه العملية، بعد أن كان سابقاً تابعاً لمخططات فدية أخرى مثل Qilin.

تصف ESET عصابة The Gentlemen بأنها واحدة من أكثر مجموعات RaaS رشاقة من الناحية الفنية. تُعرف العصابة بقدرتها الاستثنائية على تفعيل استغلالات PoC المكتشفة حديثاً المتعلقة بتقنية BYOVD بسرعة غير عادية، وفي كثير من الحالات، في غضون أيام قليلة من نشرها العلني. هذه السرعة في التكيف والنشر تمنحهم ميزة كبيرة في السباق ضد مدافعي الأمن.

على عكس العديد من عصابات برامج الفدية الأخرى التي تفوض مهمة تعطيل EDR لأتباعها، اختارت The Gentlemen مركزة هذه الوظيفة من خلال تقديم مجموعة أدوات EDR-killer جاهزة للاستخدام وموحدة. هذا القرار يجعل The Gentlemen مشغل فدية جذاباً للأتباع، لأنه يقلل بشكل كبير من حاجز الدخول لهم، مما يسهل عملهم ويجذب المزيد من المشاركين المحتملين.

يأتي هذا الكشف في الوقت الذي أصدر فيه مركز تنسيق CERT (CERT/CC) تحذيراً حول تطبيقات UEFI المتعددة الموقعة من قبل البائعين والتي تحتوي على ثغرات تسمح بتجاوز Secure Boot عبر هجوم BYOVD. تم الإشادة بباحث ESET Martin Smolár لإجرائه البحث وتقديم التقرير حول هذه الثغرة. تشمل التطبيقات المتأثرة تلك من Acer، AMD، ASUS، ECS، Getac، GIGABYTE، Toshiba، وUniwill. صرح CERT/CC أنه "إذا كان النظام المستهدف يثق في شهادة البائع المتأثر، يمكن للمهاجم [الذي يمتلك امتيازات إدارية أو وصولاً فيزيائياً] استغلال هذه التطبيقات لتنفيذ تعليمات برمجية عشوائية خلال مرحلة ما قبل التمهيد المبكرة قبل تهيئة نظام التشغيل". وللتخفيف من هذا الخطر، يجب على مديري الأنظمة تطبيق التحديثات على قاعدة بيانات التوقيعات المحظورة لـ UEFI (DBX) لسحب الثقة من الملفات الثنائية الضعيفة الموقعة من قبل البائعين.

رؤية Glitch4Techs

يكشف ظهور GentleKiller عن تحول مقلق في استراتيجيات عصابات برامج الفدية، حيث أصبحت تخصص جزءاً كبيراً من جهودها في تطوير أدوات متطورة لتعطيل الدفاعات الأساسية. هذه الاستراتيجية لا تظهر فقط تعقيد المهاجمين المتزايد، بل تسلط الضوء أيضاً على نقطة ضعف حرجة في النماذج الأمنية التي تعتمد بشكل كبير على EDR كحل سحري.

تُظهر قدرة GentleKiller على استهداف 400 عملية أمنية عبر مجموعة واسعة من بائعي EDR أن المهاجمين يدرسون بعمق آليات عمل هذه الحلول الدفاعية. إن استخدام تقنية BYOVD هو تحدٍ خاص، حيث يستغل الثقة في التعريفات الموقعة بشكل شرعي، مما يجعل اكتشافها وإيقافها أمراً معقداً. هذه الثغرات لا تهدد فقط أنظمة EDR، بل تمتد لتشمل مكونات أساسية مثل UEFI Secure Boot، مما يفتح الباب أمام هجمات على مستوى النظام يمكن أن تكون شبه مستحيلة الاكتشاف في مراحلها الأولية.

من منظور Glitch4Techs، هذا التطور له عدة آثار حرجة. أولاً، إنه يقلل من حاجز الدخول لبرامج الفدية، حيث لم يعد الأتباع بحاجة إلى امتلاك خبرة تقنية عالية في تجاوز EDR، فالعصابة توفر لهم الحل جاهزاً. ثانياً، يؤكد على الحاجة الماسة إلى استراتيجية أمنية متعددة الطبقات (Defense-in-Depth) تتجاوز مجرد الاعتماد على EDR. يجب على المؤسسات تعزيز ضوابط التحكم في الامتيازات، وتنفيذ القوائم البيضاء للتطبيقات، ومراقبة سلامة التعريفات (Driver Integrity Monitoring)، وتحديث قواعد بيانات التوقيعات المحظورة لـ UEFI (DBX) بشكل دوري.

نتوقع أن يستمر المهاجمون في استثمار الموارد في تطوير أدوات تجاوز EDR، وأن يبحثوا عن طرق جديدة لاستغلال الثقة في الأنظمة الأساسية والتعريفات. لذلك، يجب على المؤسسات تبني عقلية "افتراض الاختراق" (Assume Breach) والتركيز على الكشف السلوكي المتقدم، وتتبع التهديدات بشكل استباقي، وتطبيق مبادئ Zero Trust لتقسيم الشبكات والحد من الحركة الجانبية حتى في حالة اختراق النظام. إن الحماية من تهديدات مثل The Gentlemen وGentleKiller تتطلب يقظة مستمرة وتكيفاً سريعاً مع تكتيكات المهاجمين المتغيرة باستمرار.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.