勒索軟體組織「The Gentlemen」結合SystemBC惡意軟體擴大攻擊版圖
- 發布單位:TWCERT/CC
- 更新日期:2026-04-30
- 點閱次數:201
勒索軟體即服務(RaaS)組織「The Gentlemen」 自 2025 年中旬崛起後,近期透過整合 SystemBC 代理惡意軟體,使其攻擊規模於 2026 年第一季大幅擴張。該組織採取高度成熟的雙重勒索策略,不僅加密受害者的系統檔案,亦同步進行大規模關鍵商業資料外洩,以此作為威脅支付贖金的籌碼。近期,資安研究人員在事件回應調查中發現,The Gentlemen在入侵流程中大量部署「SystemBC」代理惡意軟體,經分析其C2伺服器資料後,揭露受害者數量已逾 1,570 名,主要分佈於美國、英國及德國,感染特徵證實該攻擊具備高度針對性,精準鎖定企業與組織環境,而非一般個人使用者。
「SystemBC」是一款經常被利用於人為操作入侵流程中的代理惡意軟體。一旦於受害環境完成部署,該軟體即建立 SOCKS5 網路隧道,並透過自訂 RC4 加密協定連線至 C2 伺服器。此種加密代理通道不僅賦予攻擊者隱蔽通訊與橫向移動的能力,更整合了惡意酬載(Payload)的分發功能,可將後續程式碼直接寫入磁碟或注入記憶體中。在 The Gentlemen 的滲透活動中,SystemBC 常協同 Cobalt Strike 等後滲透工具,作為建立外部指令控制連線、分發勒索軟體、執行數據外傳及維持遠端持續存取的核心通道。
針對此對精密且具高度針對性的勒索軟體攻擊,企業應構件全面性的防護體系。首先,落實零信任架構(Zero Trust Architecture)為防範初期入侵的核心,包括嚴格禁止遠端桌面協定(RDP)直接暴露於公開網路、對所有管理介面實施強制性多重認證(MFA),並在 IT 管理工具與營運系統間執行嚴格的網路分段。在端點與安全強化方面,建議實施以下要點:
- 端點防護強化:啟用防竄改與防漏洞利用攻擊功能,並以密碼保護資安軟體的解除安裝程序,藉此防止攻擊者在植入勒索軟體前,試圖停用關鍵的資安服務。
- 定期修補系統漏洞:建立常態性的漏洞管理機制,優先修補VPN和防火牆等邊界設備之間關鍵漏洞。
- 異常行為監測:持續監控環境內異常活動,特別是針對Active Directory (AD) 的大規模列舉查詢,或未經授權的遠端存取工具(如 AnyDesk、NetSupport)之安裝與連線。
- 落實 3-2-1 備份策略:建立完善的檔案備份與還原機制,確保至少擁有3份備份,使用2種不同儲存媒體,並將其中1份存放於異地或採取離線隔離。
Check Point 研究團隊已針對 The Gentlemen 的攻擊行動發布相關入侵指標(IoC)如下:
描述 | IoC |
Cobalt Strike C&C | 91.107.247[.]163 |
SystemBC | 992c951f4af57ca7cd8396f5ed69c2199fd6fd4ae5e93726da3e198e78bec0a5 |
SystemBC C&C | 45.86.230[.]112 |
The Gentlemen Windows | 025fc0976c548fb5a880c83ea3eb21a5f23c5d53c4e51e862bb893c11adf712a 22b38dad7da097ea03aa28d0614164cd25fafeb1383dbc15047e34c8050f6f67 2ed9494e9b7b68415b4eb151c922c82c0191294d0aa443dd2cb5133e6bfe3d5d 3ab9575225e00a83a4ac2b534da5a710bdcf6eb72884944c437b5fbe5c5c9235 48d9b2ce4fcd6854a3164ce395d7140014e0b58b77680623f3e4ca22d3a6e7fd 62c2c24937d67fdeb43f2c9690ab10e8bb90713af46945048db9a94a465ffcb8 860a6177b055a2f5aa61470d17ec3c69da24f1cdf0a782237055cba431158923 87d25d0e5880b3b5cd30106853cbfc6ef1ad38966b30d9bd5b99df46098e546c 8c87134c1b45e990e9568f0a3899b0076f94be16d3c40fa824ac1e6c6ee892db 91415e0b9fe4e7cbe43ec0558a7adf89423de30d22b00b985c2e4b97e75076b1 994d6d1edb57f945f4284cc0163ec998861c7496d85f6d45c08657c9727186e3 9f61ff4deb8afced8b1ecdc8787a134c63bde632b18293fbfc94a91749e3e454 a7a19cab7aab606f833fa8225bc94ec9570a6666660b02cc41a63fe39ea8b0ad b67958afc982cafbe1c3f114b444d7f4c91a88a3e7a86f89ab8795ac2110d1e6 c46b5a18ab3fb5fd1c5c8288a41c75bf0170c10b5e829af89370a12c86dd10f8 c7f7b5a6e7d93221344e6368c7ab4abf93e162f7567e1a7bcb8786cb8a183a73 ec368ae0b4369b6ef0da244774995c819c63cffb7fd2132379963b9c1640ccd2 efaf8e7422ffd09c7f03f1a5b4e5c2cc32b05334c18d1ccb9673667f8f43108f f736be55193c77af346dbe905e25f6a1dee3ec1aedca8989ad2088e4f6576b12 fc75ed2159e0c8274076e46a37671cfb8d677af9f586224da1713df89490a958 |
Embedded binaries (psexesvc.exe/psexec.exe) | cc14df781475ef0f3f2c441d03a622ea67cd86967526f8758ead6f45174db78e 078163d5c16f64caa5a14784323fd51451b8c831c73396b967b4e35e6879937b |
gentlemen.bmp | fe1033335a045c696c900d435119d210361966e2fb5cd1ba3382608cfa2c8e68 |
The Gentlemen Linux | 5dc607c8990841139768884b1b43e1403496d5a458788a1937be139594f01dca 788ba200f776a188c248d6c2029f00b5d34be45d4444f7cb89ffe838c39b8b19 1eece1e1ba4b96e6c784729f0608ad2939cfb67bc4236dfababbe1d09268960c |