複数ライセンス割引見積
脅威データベース 高度な持続的脅威 (APT) GentleKillerマルウェアフレームワーク

GentleKillerマルウェアフレームワーク

高度な持続的脅威 (APT), ランサムウェアMezoまで
翻訳内容:

Gentlemenのランサムウェア・アズ・ア・サービス(RaaS)事業は、関連会社がランサムウェア暗号化ツールを展開する前にセキュリティ保護を無効にするために使用できる、包括的なエンドポイント検出・対応(EDR)ツール群を積極的に開発・維持している。

この攻撃ツール群の中核を成すのは、GentleKillerと呼ばれるフレームワークであり、HexKiller、ThrottleBlood、HavocKillerなど、複数のサードパーティ製ツールや流出したツールによって支えられています。これらのツールは、偽のバージョン情報、コピーされたデジタル証明書、複製されたアプリケーションアイコンなどを用いて、正規のセキュリティ製品であるかのように偽装する共通の防御回避フレームワークによって統合されています。

新たに明らかになった脆弱性の迅速な悪用

同グループの最も注目すべき能力の一つは、Bring Your Own Vulnerable Driver (BYOVD) 手法に関連する、新たに公開された概念実証 (PoC) エクスプロイトを迅速に実用化できる能力である。多くの場合、新たに公開されたエクスプロイトは、公開後わずか数日で同グループのツールキットに組み込まれる。

この合理化された開発アプローチにより、関連会社は非常に効果的なツールを利用できるだけでなく、運営者自身の開発負担も軽減されます。また、このモデルにより、グループは不正利用が発覚したドライバーを公表後ほぼ即座に組み込むことで、常に最新のツール群を活用できるようになります。

ランサムウェアのエコシステムの急速な拡大

2025年3月に出現して以来、 The Gentlemenは世界で最も活発なランサムウェアグループの一つへと急速に成長した。このグループは504件の被害について犯行声明を出しており、標的となった企業の大半は東南アジア、南米、西ヨーロッパに集中している。

最近の調査により、オンライン上で「hastalamuerte」として知られる36歳のロシア人、アレクサンダー・アンドレーヴィチ・ヤパエフが、この作戦のリーダーであることが判明した。報道によると、彼は「ザ・ジェントルメン」を立ち上げる前は、Qilinを含む他の複数のランサムウェアプログラムの関連団体で活動していたという。

なりすましとバイナリ保護による高度なEDR回避

ザ・ジェントルメンは、現在活動中のRaaS(Rack-a-Service)サービスの中でも、最も技術的に機敏な組織の一つとされています。開発者たちは、コンパイル済みのEDRキラーが検出を回避するために、バイナリ保護メカニズムや、著名なサイバーセキュリティベンダーのファイル名に似せたファイル名の使用など、複数の手法を採用しています。この欺瞞は、バージョン情報、デジタル署名、アプリケーションアイコンの偽造にも及んでいます。

最も広く使われているツールであるGentleKillerには、8つの異なるバージョンが存在する。各バージョンはそれぞれ異なる正規のセキュリティ製品を模倣し、BYOVD攻撃チェーンの一部として、それぞれ異なる脆弱性のある、あるいは悪意のあるドライバを悪用する。このフレームワークは、多数のベンダーが提供する48種類のセキュリティソリューションに関連する約400のプロセスを識別し、標的とすることができる。

脆弱なドライバーに対する虐待の増加

ここ数ヶ月、複数のBYOVD攻撃キャンペーンにおいて、PoisonX.sysドライバの悪用が増加している。ある事例では、このドライバがCrowdStrike Falcon EDRプラットフォームの停止に使用された。別のキャンペーンでは、攻撃者がPoisonX.sysとhrwfpdrv.sysを介してセキュリティ製品を無効化した後、BeyondTrust Remote Supportを悪用して被害者ネットワーク内にランサムウェアを展開した。

ブランド名やドライバーの選択における違いを取り除いたとしても、これらのEDRキラーの基盤となるコードは、構造的および動作的に大きな類似性を示しており、共通の開発テンプレートが使用されていることを強く示唆している。

サードパーティ製EDRキラーが兵器庫に統合されました

ジェントルマンのツールキットには、外部のBYOVDベースのEDRキラーがいくつか組み込まれています。

  • HexKiller(googleApiUtil64.sys)は、以前はWarlockランサムウェアグループ専用のものと考えられていた。
  • ThrottleBlood(ThrottleBlood.sys)は、MedusaLockerおよびDragonForce関連組織に関連する攻撃で確認されており、HavocKillerまたはHwAudKiller(havoc.sys)も同様です。
  • OxideHarvestはランサムウェアの脅威を超えて拡大している

研究者らはまた、OxideHarvest(別名buildx641)と呼ばれるRustベースの認証情報窃盗マルウェアを特定した。この窃盗マルウェアは、以下を含む多数の人気ブラウザから機密情報を収集する能力を持つ。

Google Chrome、Microsoft Edge、Torch、Comodo、Epic Privacy Browser、Vivaldi、Brave、Opera、OperaGX、Mozilla Firefox、Waterfox、BlackHawk、およびIceCat。

アフィリエイトを引き付ける集中型モデル

多くのランサムウェアグループがEDR回避作戦を傘下の組織に任せているのに対し、The Gentlemenは、すぐに使える標準化されたEDRキラースイートを傘下の組織に提供することで、この機能を一元化することを選択しました。この戦略により、傘下の組織にとっての技術的な参入障壁が大幅に低下し、ランサムウェアの展開が簡素化され、サイバー犯罪エコシステムにおける作戦全体の魅力が高まります。

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
24,122
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
21,791
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...