Cybersecurity

برمجية Gentlemen تُطلق 8 أدوات لتعطيل حلول الكشف والاستجابة

فاطمة الزهراء20 June 2026 at 3:46 pm5 دقيقة للقراءة

أبرز النقاط

عصابة Gentlemen تُشغّل 8 إصدارات من أداة GentleKiller تستهدف أكثر من 400 عملية أمنية
الأداة تنتحل هوية برامج شرعية مثل Kaspersky وValorant لتفادي الاكتشاف
الهجمات تستغل ثغرة FortiBleed وتسريب 74,000 بيانات اعتماد FortiGate VPN

كشف باحثون أمنيون في ESET عن تطوير عصابة Gentlemen لمنظومة متكاملة من أدوات تعطيل أنظمة EDR، تضم 8 إصدارات على الأقل من أداة أطلقوا عليها اسم GentleKiller. هذا التطور يُمثّل تصعيداً خطيراً في سباق التسلح بين مجرمي الفدية وفرق الأمن السيبراني، ويُنذر بموجة هجمات أكثر قدرة على التخفي.

ما هي أداة GentleKiller وكيف تعمل؟

تعمل أدوات تعطيل EDR عادةً في المراحل الأولى من الهجوم، حيث تُسكت أنظمة الحماية قبل أن تبدأ عمليات سرقة البيانات أو تشفيرها. تعتمد GentleKiller على تقنية BYOVD (أحضر مشغّلك الضعيف)، التي تستغل مشغّلات نظام موقّعة رقمياً لكنها تحتوي ثغرات معروفة، للحصول على صلاحيات على مستوى النواة وإيقاف محركات الأمان.

اللافت أن كل إصدار من الإصدارات الثمانية يستخدم مشغّلاً ضعيفاً مختلفاً، لكنها جميعاً تتشارك في سلاسل نصية متطابقة، وتقنيات تشويش الكود ذاتها، ومنطق إنهاء العمليات نفسه. هذا التصميم المعياري يُتيح للعصابة استبدال المشغّلات بسرعة أو تسليح ثغرات جديدة دون إعادة هيكلة الكود بالكامل.

أكثر من 400 عملية

عدد العمليات الأمنية التي تستهدفها GentleKiller، مرتبطة بنحو 48 منتجاً أمنياً

من هم الضحايا المستهدفون؟

تستهدف الأداة عمليات مرتبطة بكبرى شركات الأمن السيبراني: Microsoft وCrowdStrike وSentinelOne وPalo Alto وSophos وTrend Micro وESET وBitdefender وMcAfee/Trellix وKaspersky. هذا النطاق الواسع يعني أن معظم المؤسسات التي تعتمد على حلول EDR تجارية قد تكون عرضة للخطر.

تُشير تحليلات ESET إلى أن العصابة تختار أهدافها بناءً على تهيئة أجهزة FortiGate لديها. وهذا يكتسب أهمية خاصة في ضوء الكشف الأخير عن ثغرة FortiBleed التي أسفرت عن تسريب نحو 74,000 بيانات اعتماد FortiGate VPN — كنز ثمين لأي عصابة تبحث عن نقاط دخول جاهزة.

رسم توضيحي لآلية عمل أداة GentleKiller في إنهاء عمليات الحماية

ترسانة موسّعة: أدوات خارجية وسرقة بيانات اعتماد

لا تكتفي العصابة بأداتها الخاصة، بل تُدمج في عملياتها ثلاث أدوات خارجية على الأقل لتعطيل EDR:

HexKiller: استُخدمت سابقاً من عصابة Warlock
ThrottleBlood: مرتبطة بهجمات MedusaLocker وDragonForce
HavocKiller: رُصدت في عمليات فدية متعددة

يُرجّح الباحثون أن هذا التنويع يهدف إلى تعقيد عملية الإسناد، أو توفير بدائل احتياطية عندما تفشل GentleKiller أمام تهيئة أمنية معينة.

إضافة إلى ذلك، وثّقت ESET استخدام أداة OxideHarvest، وهي أداة سرقة بيانات اعتماد مكتوبة بلغة Rust. اختيار هذه اللغة يُشير إلى أن الأداة طُوّرت خارجياً، ربما بواسطة مطوّر متخصص أو شُريت من سوق الأدوات الإجرامية.

تقنيات التخفي: انتحال الهوية والتوقيعات المسروقة

تنتحل إصدارات GentleKiller هوية برامج شرعية متنوعة تشمل Kaspersky وValorant وJavelin وWatchDog. هذا الانتحال يُصعّب على المحللين الأمنيين تمييز الملفات الخبيثة للوهلة الأولى.

تُحمى الملفات التنفيذية بأدوات التشفير التجارية Enigma وThemida، كما تستخدم العصابة توقيعات رقمية مسروقة من برامج شرعية — وإن كانت هذه التوقيعات غير صالحة تقنياً، إلا أنها قد تُربك بعض أدوات الفحص السطحية.

سوابق العصابة وحجم البنية التحتية

ليست Gentlemen وافدة جديدة. اخترقت العصابة سابقاً شركة Oltenia الرومانية للطاقة، وربطها الباحثون بشبكة بوتات SystemBC تضم أكثر من 1,570 جهازاً يُعتقد أنها ضحايا من قطاع الشركات. هذا الحجم يُشير إلى عملية ناضجة ومنظمة تعمل وفق نموذج الفدية كخدمة (RaaS).

1,570 جهازاً

حجم شبكة بوتات SystemBC المرتبطة بعصابة Gentlemen

لماذا يجب أن تهتم المؤسسات الخليجية؟

تتسارع وتيرة التحول الرقمي في دول الخليج ضمن رؤى التنويع الاقتصادي، ما يُوسّع سطح الهجوم. قطاعات الطاقة والمالية والبنية التحتية الحيوية — وهي ركائز اقتصادات المنطقة — تُمثّل أهدافاً عالية القيمة لعصابات الفدية المتطورة.

الاعتماد الواسع على حلول FortiGate في المنطقة يجعل ثغرة FortiBleed ذات صلة مباشرة. على فرق الأمن التحقق فوراً من تعرّض بيانات اعتمادها للتسريب، وتفعيل المصادقة متعددة العوامل، ومراجعة تهيئات VPN.

ℹ️

رأي Logicity

نشهد تحولاً جوهرياً في منظومة الفدية: العصابات لم تعد تبيع برمجيات التشفير فحسب، بل تُقدّم حزماً متكاملة تشمل أدوات تعطيل الحماية وسرقة البيانات والبنية التحتية للتحكم. هذا النموذج المعياري يُخفّض حاجز الدخول أمام مجرمين أقل مهارة، ويُضاعف الضغط على فرق الأمن التي باتت تواجه خصوماً يستثمرون في البحث والتطوير كأي شركة تقنية. الرد الفعّال يتطلب تجاوز الاعتماد على EDR وحده نحو بنية دفاع متعددة الطبقات تفترض احتمال تعطيل أي طبقة.

كيف تحمي مؤسستك؟

راقب محاولات تحميل مشغّلات غير معتادة على مستوى النواة
فعّل قواعد الكشف عن تقنيات BYOVD في أدوات SIEM وEDR
اختبر دفاعاتك دورياً عبر محاكاة الاختراق (Breach & Attack Simulation)
قسّم الشبكة لتقليل نطاق الضرر عند اختراق نقطة طرفية
تأكد من تحديث أجهزة FortiGate وتغيير بيانات الاعتماد المحتمل تسريبها

الأسئلة الشائعة

ما هي تقنية BYOVD التي تستخدمها GentleKiller؟

تقنية 'أحضر مشغّلك الضعيف' تستغل مشغّلات نظام موقّعة رقمياً لكنها تحتوي ثغرات معروفة، لتتجاوز الحماية وتحصل على صلاحيات على مستوى النواة.

هل حلول EDR الحالية عاجزة أمام هذه الهجمات؟

ليست عاجزة تماماً، لكنها لم تعد كافية وحدها. يجب دمجها مع مراقبة سلوكية لمحاولات تحميل المشغّلات، وتقسيم الشبكة، واختبارات محاكاة الاختراق.

ما علاقة ثغرة FortiBleed بهجمات Gentlemen؟

تُشير التحليلات إلى أن العصابة تختار أهدافها بناءً على تهيئة FortiGate، وتسريب 74,000 بيانات اعتماد FortiGate VPN يُوفر لها قائمة جاهزة بنقاط دخول محتملة.

كيف أعرف إن كانت مؤسستي مستهدفة؟

راجع سجلات VPN بحثاً عن محاولات دخول مشبوهة، وتحقق من قواعد بيانات التسريبات لمعرفة إن ظهرت بيانات اعتمادك، وراقب تحميل مشغّلات غير مألوفة.

ما الفرق بين Gentlemen وعصابات الفدية الأخرى؟

تتميز Gentlemen باستثمارها الكبير في أدوات تعطيل EDR المتعددة والمعيارية، ما يُشير إلى نضج تشغيلي وموارد تطوير تفوق كثيراً من المنافسين.

ℹ️

هل تحتاج مساعدة في التطبيق؟

إذا كنت تبحث عن تقييم لجاهزية مؤسستك أمام هجمات تعطيل EDR، أو تحتاج دعماً في تصميم بنية دفاع متعددة الطبقات، تواصل مع فريق Logicity للحصول على استشارة متخصصة.