در تیر ماه ۱۴۰۵، تیم تحقیقاتی GReAT شرکت کسپرسکی گزارش تازهای از فعالیت یکی از خطرناکترین گروههای باجافزاری فعال در سال ۲۰۲۶ منتشر کرد: گروهی با نام «Gentlemen» که از ابتدای امسال رشد چشمگیری در حملات خود داشته و اکنون در میان ده گروه برتر باجافزاری از نظر تعداد قربانیان اعلامشده قرار گرفته است. این گروه با ترکیبی از بکدرهای اختصاصی، تکنیکهای پیشرفته دور زدن آنتیویروس و رمزنگاری چندلایه، سازمانهای بزرگ و زیرساختهای حیاتی را در سراسر جهان هدف قرار داده است.
Gentlemen چیست و چرا اهمیت دارد؟
Gentlemen یک عملیات باجافزار-به-عنوان-سرویس (Ransomware-as-a-Service یا RaaS) است؛ یعنی سازندگان اصلی بدافزار، ابزار و زیرساخت حمله را در اختیار گروههای وابسته (affiliate) قرار میدهند و در ازای هر باج دریافتی، سهمی میبرند. این مدل باعث میشود دامنه حملات بسیار سریعتر از گروههایی که بهتنهایی عمل میکنند گسترش یابد. بر اساس یافتههای کسپرسکی، Gentlemen از ابزارهای بسیار سفارشیسازیشده استفاده میکند که نشان میدهد پشت این عملیات، تیم توسعهای با مهارت فنی بالا قرار دارد، نه صرفاً یک گروه کپیکار از باجافزارهای شناختهشده قبلی.
مسیر نفوذ اولیه
بر اساس گزارش، مهاجمان معمولاً از طریق یکی از این روشها وارد شبکه قربانی میشوند:
- سوءاستفاده از تجهیزات لبه شبکه: آسیبپذیریهای شناختهشده در VPNها و فایروالهای در معرض اینترنت، رایجترین نقطه ورود است.
- اطلاعات ورود لو رفته یا پیشفرض: استفاده از رمزهای عبور پیشفرض یا اطلاعاتی که پیشتر در نشتهای داده منتشر شدهاند.
- همکاری با کارگزاران دسترسی اولیه (IAB): کسپرسکی احتمال میدهد Gentlemen در برخی موارد دسترسی اولیه را از گروههای واسطه خریداری میکند.
در بسیاری از موارد، بین ورود اولیه مهاجم و اجرای باجافزار تنها چند ساعت فاصله است؛ در برخی موارد دیگر نیز مهاجمان از دسترسیهای قدیمی و از پیش برقرارشده در شبکه قربانی بهره میبرند.
بکدر اختصاصی sihost.exe؛ چشم مهاجم در شبکه قربانی
یکی از یافتههای مهم گزارش، کشف یک بکدر نوشتهشده با زبان Go به نام sihost.exe است. این ابزار پس از نفوذ اولیه اجرا میشود و اطلاعات پایه سیستم قربانی—از جمله نام میزبان، دامنه، شناسه یکتای سیستم و آدرسهای IP داخلی—را در قالب JSON جمعآوری و برای سرور فرمان و کنترل (C2) ارسال میکند.
این بکدر با استفاده از کتابخانه Yamux یک اتصال TCP دوطرفه و پایدار با سرور C2 برقرار میکند و امکاناتی مانند اجرای دستورات از راه دور از طریق cmd.exe و ایجاد یک پراکسی SOCKS برای حرکت در عمق شبکه را در اختیار مهاجم قرار میدهد. در نمونههای تحلیلشده، مهاجمان از این کانال برای شمارش کاربران، شناسایی اعضای گروه Domain Admins و فهرستبرداری از دایرکتوریها پیش از حرکت جانبی استفاده کردهاند.
باجافزار مبتنی بر Go و مکانیزم رمزنگاری چندلایه
هسته اصلی عملیات Gentlemen را چند نسخه باجافزار نوشتهشده با Go تشکیل میدهد که با یک مبهمساز (obfuscator) پیش از این ناشناخته، نام توابع، فایلها و ساختارهای داخلی خود را تغییر میدهند تا تحلیل را دشوارتر کنند. اجرای باجافزار به یک رمز عبور داخلی نیاز دارد که مانع از اجرای خودکار آن در محیطهای تحلیل بدافزار (sandbox) میشود.
این باجافزار پارامترهای متعددی برای کنترل رفتار حمله دارد، از جمله:
- path–: مشخص کردن مسیرها یا دایرکتوریهای هدف برای رمزنگاری.
- system– و shares–: بهترتیب رمزنگاری درایوهای محلی و درایوهای شبکه بهاشتراکگذاشتهشده.
- gpo– و spread–: توزیع باجافزار از طریق Group Policy یا حرکت جانبی خودکار با اطلاعات ورود سرقتی.
- حالتهای سرعت fast–، superfast– و ultrafast–: تنظیم میزان دقت رمزنگاری فایل در ازای سرعت بیشتر.
- silent–: صرفنظر از تغییر نام فایلها و تغییر تصویر پسزمینه.
- wipe–: پاک کردن فضای آزاد دیسک.
از نظر رمزنگاری، این باجافزار از ترکیب الگوریتمهای Curve25519 و XChaCha20 استفاده میکند؛ برای هر فایل یک جفتکلید اختصاصی تولید و با کلید عمومی جاسازیشده مهاجم ترکیب میشود. پیش از رمزنگاری، مجوزهای دسترسی (ACL) فایلها نیز تغییر داده میشود.
نسخه دوم در حال توسعه: باجافزار مبتنی بر C
کسپرسکی همچنین نسخه دیگری از باجافزار این گروه را شناسایی کرده که با زبان C نوشته شده و هنوز در مراحل اولیه توسعه است (فایل fin.exe). این نسخه از ترکیب AES256-GCM و RSA برای رمزنگاری استفاده میکند و یادداشت باج را با نام «!-READ-ME—-GEN-TLE-MEN-!.txt» روی سیستم قربانی قرار میدهد. وجود آن نشان میدهد گروه Gentlemen بهطور فعال در حال گسترش زرادخانه فنی خود است.
غیرفعالسازی آنتیویروس با تکنیک BYOVD
یکی از خطرناکترین بخشهای این عملیات، استفاده از تکنیک BYOVD برای دور زدن راهکارهای امنیتی است. مهاجمان درایورهای آسیبپذیر امضاشده—اما قانونی—را روی سیستم قربانی نصب میکنند تا با سوءاستفاده از آسیبپذیری آنها، در سطح هسته کنترل را در دست بگیرند. از جمله درایورهای شناساییشده:
- ProcessMonitorDriver.sys (Safetica DLP/EDR)
- wamsdk.sys (WatchDog آنتیویروس)
- gamedriverx64.sys (درایور ضدتقلب بازی)
- biontdrv.sys (مدیریت پارتیشن Paragon)
- inpoutx64.sys، wsftprm.sys و havoc.sys (درایورهای سختافزاری با سطوح دسترسی بالا)
در کنار این روش، مهاجمان از ابزارهایی مانند Windows Kernel Explorer و OpenArk64 و نیز تغییر مستقیم رجیستری برای غیرفعال کردن Windows Defender استفاده میکنند.
حرکت جانبی و آمادهسازی پیش از رمزنگاری
مهاجمان پیش از اجرای نهایی باجافزار، اقدامات گستردهای برای شناسایی و آمادهسازی محیط انجام میدهند:
- شناسایی شبکه و دامنه: با ابزارهایی مانند SharpADWS، NetScan و Advanced IP Scanner.
- توزیع از طریق Group Policy: با اسکریپت deploy_gpo.ps1 که باجافزار را از طریق اشتراک NETLOGON توزیع میکند و Windows Defender را غیرفعال میسازد.
- استفاده از PsExec: برای اجرای از راه دور روی سیستمهای شناساییشده دامنه.
- خاموش کردن سرویسهای حیاتی: توقف ماشینهای مجازی Hyper-V، بستن فرایندهای Office، پایگاهداده و غیرفعالسازی سرویسهای هدف با sc.exe.
پس از رمزنگاری نیز مهاجمان نسخههای Volume Shadow Copy را حذف، رویدادنگارهای Windows را پاک، و فایلهای Prefetch، لاگهای RDP و Recycle Bin را نیز از بین میبرند—اقداماتی که تحلیل پزشکیقانونی پس از حادثه را بهشدت دشوار میکند.
قربانیان و صنایع هدف
گروه Gentlemen عمدتاً صنایع تولید، فناوری اطلاعات، سلامت، خدمات مالی، ساختوساز و لجستیک را هدف قرار داده و بیشترین تمرکز جغرافیایی حملات در برزیل، چین، اندونزی، تایوان و تایلند مشاهده شده است.
چرا این تهدید برای سازمانهای ایرانی مهم است؟ بسیاری از سازمانهای ایرانی—بهویژه در حوزه تولید، خدمات مالی و زیرساخت فناوری اطلاعات—از همان تجهیزات لبه شبکه و همان معماری Active Directory استفاده میکنند که در این گزارش بهعنوان نقطه ورود اصلی معرفی شدهاند. نبود وصله امنیتی بهروز روی این تجهیزات، دقیقاً همان شرایطی است که گروههایی مانند Gentlemen به دنبال آن میگردند.
نشانههای نفوذ (IOC)
کسپرسکی در گزارش خود فهرست کاملی از نشانههای نفوذ منتشر کرده که برخی از مهمترین آنها عبارتند از:
- سرور فرمان و کنترل: آدرس IP به همراه پورت 81.177.215[.]15:9443
- بکدر: فایل اجرایی sihost.exe
- نمونههای باجافزار Go: بیش از ۱۹ نمونه شناساییشده مانند gentle.exe و cosmo.exe
- باجافزار مبتنی بر C: فایل fin.exe
- ابزارهای شناسایی شبکه: netscan64.exe و Advanced_IP_Scanner
فهرست کامل هشها در گزارش اصلی کسپرسکی روی Securelist در دسترس است.
جمعبندی و توصیههای عملی
گزارش کسپرسکی نشان میدهد گروههای باجافزاری مانند Gentlemen دیگر به بدافزارهای آماده وابسته نیستند و با سرمایهگذاری روی توسعه ابزارهای اختصاصی، سرعت و مقیاس حملات خود را افزایش میدهند.
برای سازمانهایی که میخواهند ریسک مواجهه با این نوع تهدید را کاهش دهند، توصیههای زیر کاربردی است:
- اولویتبندی مدیریت آسیبپذیری: وصلههای امنیتی تجهیزات لبه شبکه را در کوتاهترین زمان ممکن اعمال کنید.
- سختسازی سیستمهای در معرض اینترنت: دسترسی از راه دور را با MFA محدود کنید.
- پایش سوءاستفاده از درایورها: راهکارهای EDR/XDR را طوری پیکربندی کنید که نصب درایورهای ناشناس را شناسایی و مسدود کنند.
- نظارت بر یکپارچگی Group Policy: تغییرات غیرمنتظره در GPOها را زیر نظر بگیرید.
- پشتیبانگیری مطمئن و آفلاین: نسخههای پشتیبان باید جدا از دامنه اصلی نگهداری شوند.
- تشخیص رفتاری فعالیت باجافزار: رمزنگاری سریع فایلها را بر اساس رفتار شناسایی کنید.
پیام اصلی این گزارش روشن است: گروههای باجافزاری مانند Gentlemen دیگر به بدافزارهای آماده وابسته نیستند. سازمانهایی که پایه امنیتی خود را جدی نگیرند، در برابر این نسل جدید باجافزارها بسیار آسیبپذیر خواهند بود.