Gentlemen 랜섬웨어가 다수 EDR 킬러로 방어를 차단한다.
The Gentlemen ransomware-as-a-service (RaaS) is actively developing and maintaining a suite of endpoint detection and response (EDR) killers to help affiliates evade detection in attacks.
Gentlemen 랜섬웨어-서비스(RaaS)는 검출을 피하기 위해 가맹점에게 도움이 되는 엔드포인트 탐지 및 대응(EDR) 킬러 모음을 적극적으로 개발·유지하고 있습니다.
The gang employs a collection of EDR-killing tools, most notably a utility that researchers dubbed GentleKiller. The tool has at least eight variants and impersonates various legitimate security products, including Kaspersky, Valorant, Javelin, and WatchDog.
이 조직은 EDR 킬러 도구 모음을 사용하며, 특히 연구자들이 ‘GentleKiller’라 명명했다. 이 도구는 최소 8가지 변종을 가지고 있으며, Kaspersky, Valorant, Javelin, WatchDog 등 정당한 보안 제품들을 가장한다.
The gang is using a suite of EDR killers, the most frequently used being a custom tool that researchers named GentleKiller, which has at least eight variants impersonating various legitimate products.
이 조직은 EDR 킬러 모음 중 가장 자주 사용되는 커스텀 도구인 GentleKiller를 사용하고 있으며, 이 도구는 최소 8가지 변종을 가지고 다양한 정당한 제품을 가장한다.
[]
An EDR killer is typically used to disable defenses in the early phases of an attack, and in ransomware incidents, they ensure that data theft or encryption processes run unencumbered.
EDR 킬러는 일반적으로 공격 초기 단계에서 방어를 비활성화하는 데 사용되며, 랜섬웨어 사건에서는 데이터 절도나 암호화가 방해받지 않도록 보장한다.
These tools work by leveraging the ‘bring your own vulnerable driver’ (BYOVD) technique to elevate privileges and disable security engines.
이 도구들은 ‘자체 취약 드라이버(BYOVD)’ 기술을 활용해 특권을 상승시키고 보안 엔진을 비활성화한다.
According to ESET researchers, each GentleKiller variant uses different vulnerable drivers to achieve kernel-level privileges. However, they all share common strings, identical code obfuscation techniques, and similar process-killing logic and targeting scope.
ESET 연구자에 따르면 각 GentleKiller 변종은 서로 다른 취약 드라이버를 사용해 커널 수준 특권을 얻는다. 그러나 모두 공통 문자열, 동일한 코드 오bf스케이션 기술, 유사한 프로세스 킬링 로직과 타깃 범위를 공유한다.
The analysis of the variants indicates that the framework is designed to allow easy driver swaps or weaponization of newly disclosed flaws without requiring major code changes.
변종 분석은 해당 프레임워크가 주요 코드 수정 없이도 쉽게 드라이버 교체 또는 새로 공개된 취약점을 무기로 활용하도록 설계되어 있음을 보여준다.
변종 이름과 사용되는 드라이버
출처: ESET
ESET states that GentleKiller targets more than 400 processes associated with approximately 48 security vendors/products, such as Microsoft, CrowdStrike, SentinelOne, Palo Alto, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix, and Kaspersky.
ESET에 따르면 GentleKiller는 최소 400개 이상의 프로세스를 타깃으로 삼으며, 약 48개의 보안 벤더/제품과 연관되어 있습니다. 여기에는 Microsoft, CrowdStrike, SentinelOne, Palo Alto, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix, Kaspersky 등이 포함됩니다.
GentleKiller 프로세스
출처: ESET
The binaries for the EDR killer tool are protected by the commercial Enigma and Themida packing and code-protection tools. ESET notes that the threat actor also uses stolen digital signatures from legitimate software, although they are invalid.
EDR 킬러 툴의 바이너리는 상용 Enigma 및 Themida 패킹과 코드 보호 도구로 보호된다. ESET 메모 에 따르면 위협 액터는 정당한 소프트웨어의 훔친 디지털 서명을 사용하지만, 이는 유효하지 않다.
Although GentleKiller is a standardized tool used in Gentlemen ransomware attacks, ESET reports that the threat group’s collection of EDR killers also incorporates at least three external tools:
GentleKiller는 Gentlemen 랜섬웨어 공격에서 표준화된 도구이지만, ESET은 해당 위협 그룹의 EDR 킬러 컬렉션도 최소 세 개의 외부 도구를 포함하고 있다고 보고한다:
-
HexKiller, previously used by the Warlock gang
- ThrottleBlood, linked to MesudaLocker and DragonForce attacks
-
HavocKiller, also seen in ransomware operations
HexKiller는 이전에 워록(Warlock) 범죄 조직에 의해 사용된 도구이다.
ThrottleBlood는 MesudaLocker와 DragonForce 공격과 연관된 도구이다.
HavocKiller도 랜섬웨어 운영에서 발견되었다.
Gentleman RaaS may have added them for redundancy, attribution complexity, or for use in specific cases where the effectiveness of GentleKiller might be limited.
Gentleman RaaS는 이를 중복성 확보, 추적 복잡성 증가, 혹은 GentleKiller의 효과가 제한될 수 있는 특정 경우에 활용하기 위해 추가했을 가능성이 있다.
Additionally, ESET documented the use of OxideHarvest, a Rust-based credential-stealer tool that the researchers believe, based on the programming language choice, was developed externally.
또한 ESET은 OxideHarvest라는 Rust 기반 Credential‑스틸러 도구를 사용했다고 문서화했으며, 연구자들은 언어 선택을 근거로 이 도구가 외부에서 개발된 것으로 추정한다.
The researchers’ analysis indicates that Gentlemen ransomware picks targets based on the configuration of their FortiGate endpoints. This is particularly interesting given the recent discovery of “FortiBleed,” a collection of nearly 74,000 FortiGate VPN credentials.
연구원들의 분석에 따르면 Gentlemen 랜섬웨어는 자신의 FortiGate 엔드포인트 설정에 따라 타깃을 선택한다. 이는 최근 “FortiBleed”(https://www.bleepingcomputer.com/… )라는 거의 74,000개의 FortiGate VPN 자격 증명 컬렉션이 발견된 점과 특히 흥미롭다.
The Gentlemen RaaS previously compromised the Romanian energy provider Oltenia and has been linked to a [SystemBC proxy malware botnet] with over 1,570 hosts, believed to be corporate victims.
Gentleman RaaS는 이전에 루마니아 에너지 공급업체 Oltenia 와 연관되어 있었으며, [SystemBC 프록시 악성코드 봇넷]과 연결돼 1,570개 이상의 호스트를 보유하고 있다고 보고한다. 이는 기업 피해로 추정된다.
Test every layer before attackers do
Security teams log 54% of successful attacks and alert on just 14%. The rest move through your environment unseen.
보안 팀은 성공적인 공격의 54%를 로깅하고 단지 14%만 알림으로 구분한다. 나머지는 감지되지 않고 환경 내에서 은밀히 이동한다.
The Picus whitepaper shows how breach and attack simulation tests your SIEM and EDR rules so threats stop slipping by detection.
Picus 백서는 침해 및 공격 시뮬레이션이 SIEM과 EDR 규칙을 테스트하여 위협이 감지되지 않게 한다는 점을 보여준다.