برترین نماینده کسپرسکی در غرب آسیا

گروه باج‌افزاری Gentlemen: بک‌درهای اختصاصی و تاکتیک‌های رو به تکامل

Telegram
WhatsApp
LinkedIn

گروه باج‌افزاری Gentlemen: بک‌درهای اختصاصی و تاکتیک‌های رو به تکامل

گروه باج‌افزاری Gentlemen

در تیر ماه ۱۴۰۵، تیم تحقیقاتی GReAT شرکت کسپرسکی گزارش تازه‌ای از فعالیت یکی از خطرناک‌ترین گروه‌های باج‌افزاری فعال در سال ۲۰۲۶ منتشر کرد: گروهی با نام «Gentlemen» که از ابتدای امسال رشد چشمگیری در حملات خود داشته و اکنون در میان ده گروه برتر باج‌افزاری از نظر تعداد قربانیان اعلام‌شده قرار گرفته است. این گروه با ترکیبی از بک‌درهای اختصاصی، تکنیک‌های پیشرفته دور زدن آنتی‌ویروس و رمزنگاری چندلایه، سازمان‌های بزرگ و زیرساخت‌های حیاتی را در سراسر جهان هدف قرار داده است.

Gentlemen چیست و چرا اهمیت دارد؟

Gentlemen یک عملیات باج‌افزار-به-عنوان-سرویس (Ransomware-as-a-Service یا RaaS) است؛ یعنی سازندگان اصلی بدافزار، ابزار و زیرساخت حمله را در اختیار گروه‌های وابسته (affiliate) قرار می‌دهند و در ازای هر باج دریافتی، سهمی می‌برند. این مدل باعث می‌شود دامنه حملات بسیار سریع‌تر از گروه‌هایی که به‌تنهایی عمل می‌کنند گسترش یابد. بر اساس یافته‌های کسپرسکی، Gentlemen از ابزارهای بسیار سفارشی‌سازی‌شده استفاده می‌کند که نشان می‌دهد پشت این عملیات، تیم توسعه‌ای با مهارت فنی بالا قرار دارد، نه صرفاً یک گروه کپی‌کار از باج‌افزارهای شناخته‌شده قبلی.

مسیر نفوذ اولیه

بر اساس گزارش، مهاجمان معمولاً از طریق یکی از این روش‌ها وارد شبکه قربانی می‌شوند:

  • سوءاستفاده از تجهیزات لبه شبکه: آسیب‌پذیری‌های شناخته‌شده در VPNها و فایروال‌های در معرض اینترنت، رایج‌ترین نقطه ورود است.
  • اطلاعات ورود لو رفته یا پیش‌فرض: استفاده از رمزهای عبور پیش‌فرض یا اطلاعاتی که پیش‌تر در نشت‌های داده منتشر شده‌اند.
  • همکاری با کارگزاران دسترسی اولیه (IAB): کسپرسکی احتمال می‌دهد Gentlemen در برخی موارد دسترسی اولیه را از گروه‌های واسطه خریداری می‌کند.

در بسیاری از موارد، بین ورود اولیه مهاجم و اجرای باج‌افزار تنها چند ساعت فاصله است؛ در برخی موارد دیگر نیز مهاجمان از دسترسی‌های قدیمی و از پیش برقرارشده در شبکه قربانی بهره می‌برند.

بک‌در اختصاصی sihost.exe؛ چشم مهاجم در شبکه قربانی

یکی از یافته‌های مهم گزارش، کشف یک بک‌در نوشته‌شده با زبان Go به نام sihost.exe است. این ابزار پس از نفوذ اولیه اجرا می‌شود و اطلاعات پایه سیستم قربانی—از جمله نام میزبان، دامنه، شناسه یکتای سیستم و آدرس‌های IP داخلی—را در قالب JSON جمع‌آوری و برای سرور فرمان و کنترل (C2) ارسال می‌کند.

این بک‌در با استفاده از کتابخانه Yamux یک اتصال TCP دوطرفه و پایدار با سرور C2 برقرار می‌کند و امکاناتی مانند اجرای دستورات از راه دور از طریق cmd.exe و ایجاد یک پراکسی SOCKS برای حرکت در عمق شبکه را در اختیار مهاجم قرار می‌دهد. در نمونه‌های تحلیل‌شده، مهاجمان از این کانال برای شمارش کاربران، شناسایی اعضای گروه Domain Admins و فهرست‌برداری از دایرکتوری‌ها پیش از حرکت جانبی استفاده کرده‌اند.

باج‌افزار مبتنی بر Go و مکانیزم رمزنگاری چندلایه

هسته اصلی عملیات Gentlemen را چند نسخه باج‌افزار نوشته‌شده با Go تشکیل می‌دهد که با یک مبهم‌ساز (obfuscator) پیش از این ناشناخته، نام توابع، فایل‌ها و ساختارهای داخلی خود را تغییر می‌دهند تا تحلیل را دشوارتر کنند. اجرای باج‌افزار به یک رمز عبور داخلی نیاز دارد که مانع از اجرای خودکار آن در محیط‌های تحلیل بدافزار (sandbox) می‌شود.

این باج‌افزار پارامترهای متعددی برای کنترل رفتار حمله دارد، از جمله:

  • path–: مشخص کردن مسیرها یا دایرکتوری‌های هدف برای رمزنگاری.
  • system– و shares–: به‌ترتیب رمزنگاری درایوهای محلی و درایوهای شبکه به‌اشتراک‌گذاشته‌شده.
  • gpo– و spread–: توزیع باج‌افزار از طریق Group Policy یا حرکت جانبی خودکار با اطلاعات ورود سرقتی.
  • حالت‌های سرعت fast–، superfast– و ultrafast–: تنظیم میزان دقت رمزنگاری فایل در ازای سرعت بیشتر.
  • silent–: صرف‌نظر از تغییر نام فایل‌ها و تغییر تصویر پس‌زمینه.
  • wipe–: پاک کردن فضای آزاد دیسک.

از نظر رمزنگاری، این باج‌افزار از ترکیب الگوریتم‌های Curve25519 و XChaCha20 استفاده می‌کند؛ برای هر فایل یک جفت‌کلید اختصاصی تولید و با کلید عمومی جاسازی‌شده مهاجم ترکیب می‌شود. پیش از رمزنگاری، مجوزهای دسترسی (ACL) فایل‌ها نیز تغییر داده می‌شود.

نسخه دوم در حال توسعه: باج‌افزار مبتنی بر C

کسپرسکی همچنین نسخه دیگری از باج‌افزار این گروه را شناسایی کرده که با زبان C نوشته شده و هنوز در مراحل اولیه توسعه است (فایل fin.exe). این نسخه از ترکیب AES256-GCM و RSA برای رمزنگاری استفاده می‌کند و یادداشت باج را با نام «!-READ-ME—-GEN-TLE-MEN-!.txt» روی سیستم قربانی قرار می‌دهد. وجود آن نشان می‌دهد گروه Gentlemen به‌طور فعال در حال گسترش زرادخانه فنی خود است.

غیرفعال‌سازی آنتی‌ویروس با تکنیک BYOVD

یکی از خطرناک‌ترین بخش‌های این عملیات، استفاده از تکنیک BYOVD برای دور زدن راهکارهای امنیتی است. مهاجمان درایورهای آسیب‌پذیر امضاشده—اما قانونی—را روی سیستم قربانی نصب می‌کنند تا با سوءاستفاده از آسیب‌پذیری آن‌ها، در سطح هسته کنترل را در دست بگیرند. از جمله درایورهای شناسایی‌شده:

  • ProcessMonitorDriver.sys (Safetica DLP/EDR)
  • wamsdk.sys (WatchDog آنتی‌ویروس)
  • gamedriverx64.sys (درایور ضدتقلب بازی)
  • biontdrv.sys (مدیریت پارتیشن Paragon)
  • inpoutx64.sys، wsftprm.sys و havoc.sys (درایورهای سخت‌افزاری با سطوح دسترسی بالا)

در کنار این روش، مهاجمان از ابزارهایی مانند Windows Kernel Explorer و OpenArk64 و نیز تغییر مستقیم رجیستری برای غیرفعال کردن Windows Defender استفاده می‌کنند.

حرکت جانبی و آماده‌سازی پیش از رمزنگاری

مهاجمان پیش از اجرای نهایی باج‌افزار، اقدامات گسترده‌ای برای شناسایی و آماده‌سازی محیط انجام می‌دهند:

  1. شناسایی شبکه و دامنه: با ابزارهایی مانند SharpADWS، NetScan و Advanced IP Scanner.
  2. توزیع از طریق Group Policy: با اسکریپت deploy_gpo.ps1 که باج‌افزار را از طریق اشتراک NETLOGON توزیع می‌کند و Windows Defender را غیرفعال می‌سازد.
  3. استفاده از PsExec: برای اجرای از راه دور روی سیستم‌های شناسایی‌شده دامنه.
  4. خاموش کردن سرویس‌های حیاتی: توقف ماشین‌های مجازی Hyper-V، بستن فرایندهای Office، پایگاه‌داده و غیرفعال‌سازی سرویس‌های هدف با sc.exe.

پس از رمزنگاری نیز مهاجمان نسخه‌های Volume Shadow Copy را حذف، رویدادنگارهای Windows را پاک، و فایل‌های Prefetch، لاگ‌های RDP و Recycle Bin را نیز از بین می‌برند—اقداماتی که تحلیل پزشکی‌قانونی پس از حادثه را به‌شدت دشوار می‌کند.

قربانیان و صنایع هدف

گروه Gentlemen عمدتاً صنایع تولید، فناوری اطلاعات، سلامت، خدمات مالی، ساخت‌وساز و لجستیک را هدف قرار داده و بیشترین تمرکز جغرافیایی حملات در برزیل، چین، اندونزی، تایوان و تایلند مشاهده شده است.

چرا این تهدید برای سازمان‌های ایرانی مهم است؟ بسیاری از سازمان‌های ایرانی—به‌ویژه در حوزه تولید، خدمات مالی و زیرساخت فناوری اطلاعات—از همان تجهیزات لبه شبکه و همان معماری Active Directory استفاده می‌کنند که در این گزارش به‌عنوان نقطه ورود اصلی معرفی شده‌اند. نبود وصله امنیتی به‌روز روی این تجهیزات، دقیقاً همان شرایطی است که گروه‌هایی مانند Gentlemen به دنبال آن می‌گردند.

نشانه‌های نفوذ (IOC)

کسپرسکی در گزارش خود فهرست کاملی از نشانه‌های نفوذ منتشر کرده که برخی از مهم‌ترین آن‌ها عبارتند از:

  • سرور فرمان و کنترل: آدرس IP به همراه پورت 81.177.215[.]15:9443
  • بک‌در: فایل اجرایی sihost.exe
  • نمونه‌های باج‌افزار Go: بیش از ۱۹ نمونه شناسایی‌شده مانند gentle.exe و cosmo.exe
  • باج‌افزار مبتنی بر C: فایل fin.exe
  • ابزارهای شناسایی شبکه: netscan64.exe و Advanced_IP_Scanner

فهرست کامل هش‌ها در گزارش اصلی کسپرسکی روی Securelist در دسترس است.

جمع‌بندی و توصیه‌های عملی

گزارش کسپرسکی نشان می‌دهد گروه‌های باج‌افزاری مانند Gentlemen دیگر به بدافزارهای آماده وابسته نیستند و با سرمایه‌گذاری روی توسعه ابزارهای اختصاصی، سرعت و مقیاس حملات خود را افزایش می‌دهند.

برای سازمان‌هایی که می‌خواهند ریسک مواجهه با این نوع تهدید را کاهش دهند، توصیه‌های زیر کاربردی است:

  1. اولویت‌بندی مدیریت آسیب‌پذیری: وصله‌های امنیتی تجهیزات لبه شبکه را در کوتاه‌ترین زمان ممکن اعمال کنید.
  2. سخت‌سازی سیستم‌های در معرض اینترنت: دسترسی از راه دور را با MFA محدود کنید.
  3. پایش سوءاستفاده از درایورها: راهکارهای EDR/XDR را طوری پیکربندی کنید که نصب درایورهای ناشناس را شناسایی و مسدود کنند.
  4. نظارت بر یکپارچگی Group Policy: تغییرات غیرمنتظره در GPOها را زیر نظر بگیرید.
  5. پشتیبان‌گیری مطمئن و آفلاین: نسخه‌های پشتیبان باید جدا از دامنه اصلی نگهداری شوند.
  6. تشخیص رفتاری فعالیت باج‌افزار: رمزنگاری سریع فایل‌ها را بر اساس رفتار شناسایی کنید.

پیام اصلی این گزارش روشن است: گروه‌های باج‌افزاری مانند Gentlemen دیگر به بدافزارهای آماده وابسته نیستند. سازمان‌هایی که پایه امنیتی خود را جدی نگیرند، در برابر این نسل جدید باج‌افزارها بسیار آسیب‌پذیر خواهند بود.

نرم افزار پیشرفته حضور و غیاب

محصولی از فدک رایان

محتوای جدول