主要发现

Gentlemen勒索软件组织发起了一场涉及高级定制化工具的活动，这些工具专门设计用于绕过企业端点防护。 该活动结合了合法驱动滥用、组策略操纵、自定义反杀毒工具、特权账户入侵和加密外泄通道。 该组织针对多个行业和地区，重点关注制造业、建筑业、医疗保健和保险等行业，攻击范围涵盖至少17个国家。 Gentlemen展示了高级能力，通过系统性地入侵企业环境，使用从通用反杀毒工具到针对性变体的多功能工具，凸显了对组织安全的严重威胁。 该组织还通过特权域账户设计勒索软件部署，并创建规避方法以对抗安全控制。

Trend Vision One™ 检测并阻止本博客中描述的危害指标，并为客户提供定制化狩猎查询、威胁情报和可操作见解。下文列出了额外的缓解建议。

引言

2025年8月，我们调查了由Gentlemen策划的一场新勒索软件活动，这是一个新兴且先前未记录的威胁组织。该威胁行为体通过系统性地入侵企业环境展示了高级能力，迅速在威胁格局中确立了地位。通过在中途调整工具——从通用反杀毒工具转向高度针对性的特定变体——攻击者展示了多功能性和决心，对无论其安全防御如何的组织构成重大威胁。

该活动的攻击链暴露了几种高度复杂和令人担忧的策略。值得注意的是，威胁行为体利用合法驱动进行防御规避，滥用组策略对象促进域范围入侵，并部署旨在禁用环境中存在的安全解决方案的自定义恶意工具。Gentlemen组织通过使用WinSCP的加密通道进行数据外泄，并通过AnyDesk远程访问软件和修改的注册表设置建立冗余持久性机制，展示了操作安全实践。

重要性

该组织的策略，特别是他们针对特定安全供应商开发定制工具，表明勒索软件操作的演变，攻击者进行广泛侦察——导致针对他们遇到的防御的定制绕过。这种方法代表了从机会主义攻击的转变；通过系统分析安全软件文档，威胁行为体将这些知识与滥用合法工具和易受攻击驱动相结合，部署环境特定的规避技术。

Gentlemen的大量受害者数量，加上缺乏先前的威胁情报，表明要么是经验丰富操作者的品牌重塑努力，要么是勒索软件生态系统中资金充足的新进入者的出现。通过使用关于该组织方法论的威胁情报，组织可以主动识别他们的工具、战术和程序，实施有针对性的防御措施，并准备与这些观察到的行为一致的事件响应计划。

受害者分析

Gentlemen勒索软件组织一直针对多个行业的组织，特别关注亚太地区。制造业受到的影响最严重，紧随其后的是建筑业、医疗保健和保险。该组织对医疗保健等基本服务的攻击凸显了其对关键基础设施的漠视及其潜在的公共安全影响。主要目标国家包括泰国和美国，总共有17个国家受到影响。

初始访问

尽管此特定事件的确切初始访问向量仍未确认，但我们的调查表明威胁行为体可能利用了面向互联网的服务或入侵的凭据来建立初始立足点。攻击时间线早期存在网络侦察工具（如下所示的Advanced IP Scanner），加上系统基础设施映射的证据，表明了一种计算过的进入策略，而不是机会主义利用。在初始入侵后，攻击者通过Advanced IP Scanner进行了彻底侦察，以获取网络布局知识并识别有价值目标。

1

C:\Program Files (x86)\Advanced IP Scanner\advanced_ip_scanner.exe

发现

在发现阶段，威胁行为体检查了Active Directory结构，重点关注域管理员、企业管理员和自定义特权组，如itgateadmin。

Gentlemen使用的一个显著技术涉及使用名为1.bat的批处理脚本执行大规模账户枚举，查询跨域基础设施的60多个用户账户：

1
2
3
4
5
6
7
8

user admin.it /dom
user administrator /dom
user fortigate /dom
group "domain admins" /dom
group "Enterprise admins" /dom
localgroup __vmware__
localgroup administrators
[额外的net user命令]

他们还通过查询本地组（包括标准管理组和虚拟化特定组，如VMware）展示了广泛的环境意识，表明准备在物理和虚拟化基础设施组件之间进行横向移动。

防御规避

该组织的初始防御规避策略集中在部署All.exe与ThrottleBlood.sys结合，利用先前在此报告中其他研究人员记录的复杂技术。这种方法利用合法签名的驱动执行内核级操作，通过滥用Windows驱动功能有效终止安全软件进程。该工具通过加载易受攻击驱动并使用它终止通常受保护免受终止的进程来操作：

1

$myuserprofile$\Downloads\All.exe → $myuserprofile$\Downloads\ThrottleBlood.sys

认识到这种初始方法的局限性，威胁行为体改变了策略，开始对到位的端点保护机制进行详细侦察。这使他们能够识别特定的安全控制并相应调整方法。

接下来，他们部署了PowerRun.exe，一个经常被滥用于特权升级的合法工具。通过利用PowerRun.exe，攻击者尝试执行高特权操作，旨在禁用或终止安全相关服务和进程。

在整个阶段，该组织展示了一种有针对性的方法，根据他们遇到的特定安全解决方案调整技术，而不是仅仅依赖通用绕过方法。

在收集足够信息后，威胁行为体引入了其防御规避工具的增强版本Allpatch2.exe。该工具专门定制以通过瞄准和终止相关进程来中和关键安全代理组件。他们根据受害者环境防御修改规避策略的能力凸显了高水平的复杂性和适应性。

横向移动和持久性

威胁行为体利用PsExec进行横向移动，展示了利用就地取材技术的熟练度。他们通过修改控制身份验证和远程访问协议的关键注册表设置系统地削弱安全控制：

1
2
3

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 /v RestrictSendingNTLMTraffic /t REG_DWORD /d 0 /f
reg add HKLM\System\CurrentControlSet\Control\Lsa /t REG_DWORD /v DisableRestrictedAdmin /d 0x0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v SecurityLayer /t REG_DWORD /d 1 /f

为了保持持久的命令和控制访问，威胁行为体依赖AnyDesk，创建了一个对传统事件响应行动具有弹性的远程访问通道。他们通过下载、安装和执行Nmap进行全面的内部网络扫描进一步扩展了态势感知：

1
2

Downloaded NMAP: C:\Users\fortigate\Downloads\nmap-7.97-setup.exe
nmap -sV -T4 -O -F -oX C:\Users\FORTIG~1\AppData\Local\Temp\zenmap-7ii30x5l.xml --version-light <IP address>

关键的是，Nmap输出路径揭示了一个FortiGate管理账户的入侵，网络扫描源自此特权上下文。这表明威胁行为体入侵了关键网络安全基础设施，可能授予他们广泛的网络流量可见性和控制。我们的调查确认FortiGate服务器可直接从互联网访问，这很可能作为攻击者进入网络的入口点。

额外证据进一步表明可能使用PuTTY进行基于SSH的横向移动，尽管此工具使用的全部范围仍不清楚。

组策略操纵

我们还观察到使用组策略管理控制台和组策略管理编辑器，可能作为尝试跨域部署恶意配置的一部分：

1

"C:\Windows\System32\gpme.msc" /s /gpobject:"LDAP://<已编辑>/cn<已编辑>,cnpolicies,cnsystem,DC<已编辑>,DClocal"

攻击者还执行了编码的PowerShell以识别关键域基础设施，特别关注主域控制器以进行潜在高影响操作：

1
2
3
4

C:\Windows\System32\cmd.exe → /Q /c powershell.exe -noni -nop -w 1 -enc IAAoAEcAZQB0AC0AQQBEAEQAbwBtAGEAaQBuACkALgBQAEQAQwBFAG0AdQBsAGEAdABvAHIA 1> \Windows\Temp\UDaYsR 2>&1 
 → (Get-ADDomain).PDCEmulator
C:\Windows\System32\cmd.exe → /Q /c powershell.exe -noni -nop -w 1 -enc IABHAGUAdAAtAEEARABEAG8AbQBhAGkAbgAgAHwAIABTAGUAbABlAGMAdAAtAE8AYgBqAGUAYwB0ACAAUABEAEMARQBtAHUAbABhAHQAbwByAA 1> \Windows\Temp\IHQBeJ 2>&1
 → Get-ADDomain | Select-Object PDCEmulator

这种级别的Active Directory操纵表明准备通过GPO滥用进行域范围勒索软件部署或建立持久后门安装。

收集

数据暂存部分的操作表明了一种看似有条不紊的信息收集方法。我们发现了可能的数据整合证据在C:\ProgramData\data中，数百个文件被访问。区域标识符流的存在也可能表明高级收集方法，尽管不能排除替代解释：

1
2

C:\programdata\data\<已编辑>.pdf:zone.identifier:$data
[大约100个类似文件]

我们在整个入侵期间观察到几个WebDAV连接到几个内部资源。虽然这些连接可能表明替代数据收集机制或准备分布式外泄，但我们也要注意WebDAV活动也可能通过合法业务操作发生。然而，在更广泛的入侵背景下，这些连接值得仔细审查：

1
2
3
4

C:\Windows\system32\davclnt.dll,DavSetCookie <IP Address> http://\<已编辑>//
C:\Windows\system32\davclnt.dll,DavSetCookie <IP Address> http://\<已编辑>//share_EXT01
C:\Windows\system32\davclnt.dll,DavSetCookie <IP Address> http://\<已编辑>//c$
[大约50个不同的本地网络和共享]

尽管这些活动的时间和数量与勒索软件攻击中观察到的典型数据暂存行为一致，我们在等待额外取证验证时以中等置信度呈现此分析。

外泄

数据外泄很可能通过WinSCP进行，这是一个合法文件传输工具，通常被威胁行为体滥用其可靠性和加密能力。我们的遥测数据显示了敏感内部文档的传输：

1

C:\ProgramData\data\INTERNAL\Summary<已编辑> → "C:\ProgramData\WinSCP.exe"

选择WinSCP表明攻击者优先考虑操作安全，使用加密通道以避免被网络监控解决方案检测。

影响

勒索软件在整个域的NETLOGON共享中部署，确保跨所有域加入系统的广泛分布。有效载荷受密码保护，很可能是为了规避自动沙箱分析：

1

\\<已编辑>.local\NETLOGON\<已编辑>.exe --password <8字节密钥>

在加密之前，内置的Windows Defender通过PowerShell命令被中和：

1
2

Set-MpPreference -DisableRealtimeMonitoring $true -Force
Add-MpPreference -ExclusionProcess "C:\Windows\Temp\<已编辑>"

为了确保谈判和额外勒索活动的持久访问，修改了以下防火墙规则：

1

netsh firewall set service type remotedesktop mode enable

总体而言，该活动凸显了威胁行为体对企业安全架构的理解，通过专门定制以克服部署的安全解决方案的自适应对策、系统数据盗窃用于双重勒索，以及最终使用域管理员特权成功部署勒索软件以实现最大影响来展示。

勒索软件分析

勒索软件丢弃以下赎金记录并附加以下扩展名：

1
2

.7mtzhh - 附加到每个加密文件的文件扩展名

在执行方面，勒索软件接受特定参数：

1
2

--password (必需)：执行勒索软件所需的8字节密码参数
--path (可选)：用于指定自定义加密目录的目标路径参数

勒索软件积极尝试终止通常与备份、数据库和安全进程相关的关键服务以最大化其影响：

1

net stop <服务名称>

终止的服务包括：

1

(.*)sql(.*), AcrSch2Svc, VSNAPVSS, MVarmor64, MVarmor, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, AcronisAgent, QBIDPService, QBDBMgrN, QBCFMonitorService, OracleServiceORCL, MySQL, MSSQL, SAPHostExec, SAPHostControl, SAPD$, SAP$, postgresql, SAP, SAPService, GxFWD, GxVsshWProv, GXMMM, GxClMgr, MariaDB, GxCVD, GxClMgrS, GxVss, GxBlr, BackupExecRPCService, SQLAgent$SQLEXPRESS, BackupExecManagementService, BackupExecJobEngine, MSSQL$SQLEXPRESS, BackupExecDiveciMediaService, BackupExecAgentBrowser, SQLWriter, BackupExecAgentAccelerator, BackupExecVSSProvider, PDVFSService, SQLSERVERAGENT, WSBExchange, MSExchange$, MSExchange, sophos, msexchange, docker, MSSQLSERVER, MSSQL*, Sql, vss, backup, veeam, memtas, mepocs, vmms

此外，威胁使用以下命令系统终止进程：

1

taskkill /IM <进程名称>.exe /F

终止的进程包括：

1

Veeam.EndPoint.Service.exe, mvdesktopservice.exe, VeeamDeploymentSvc.exe, VeeamTransportSvc.exe, VeeamNFSSvc.exe, EnterpriseClient.exe, DellSystemDetect.exe, avscc.exe, avagent.exe, sapstartsrv.exe, saposco.exe, saphostexec.exe, CVODS.exe, cvfwd.exe, cv