Check Point Research ha scoperto un servizio software che aiuta gli hacker a bypassare la protezione EDR (Endpoint Detection & Response) da oltre sei anni. Il servizio software funge da apriporta per Emotet, REvil, Maze e altri malware.
I beneficiari del servizio TrickGate includono malware noti come Cerber, Trickbot, Maze, Emotet, REvil, Cobalt Strike, AZORult, Formbook, AgentTesla - una variopinta parata dei principali malware rilasciati mensilmente da Check Point.
Il vecchio servizio mina l'EDR
TrickGate è trasformativo e cambia regolarmente, il che ha contribuito a mantenerlo sconosciuto per anni. Utilizzando TrickGate, gli attori malintenzionati possono diffondere il loro malware più facilmente e con minori conseguenze per se stessi.
TrickGate è riuscito a volare sotto il radar per anni perché cambia regolarmente. Mentre il wrapper del packer che comprime i dati è cambiato nel tempo, i principali elementi costitutivi del codice della shell TrickGate sono ancora utilizzati.
Vittime della produzione
Secondo i dati di telemetria, gli hacker che utilizzano TrickGate prendono di mira principalmente la produzione, ma prendono di mira anche istituzioni educative, sanitarie, finanziarie e commerciali. Gli attacchi sono diffusi in tutto il mondo, con una maggiore concentrazione a Taiwan e in Turchia.
🔎 Flusso di attacco TrickGate (Immagine: Check Point).
La crittografia del programma dannoso rende più difficile il rilevamento
Esistono molte forme di flusso di attacco. Lo shellcode è il nucleo del packer TrickGate. È responsabile della decifrazione delle istruzioni e del codice dannosi e dell'inserimento segreto in nuovi processi. Il programma dannoso viene crittografato e quindi impacchettato con una routine speciale che può essere utilizzata per aggirare il sistema protetto, motivo per cui le soluzioni di sicurezza non sono in grado di rilevare il payload né staticamente né in fase di esecuzione.
Chi c'è dietro TrickGate?
Check Point Research non è stato in grado di determinare una chiara affiliazione. Sulla base dei clienti che servono, i ricercatori della sicurezza presumono che si tratti di una banda clandestina di lingua russa.
Altro su CheckPoint.com
Informazioni sul punto di controllo Check Point Software Technologies GmbH (www.checkpoint.com/de) è un fornitore leader di soluzioni di sicurezza informatica per pubbliche amministrazioni e aziende in tutto il mondo. Le soluzioni proteggono i clienti dagli attacchi informatici con un tasso di rilevamento leader del settore di malware, ransomware e altri tipi di attacchi. Check Point offre un'architettura di sicurezza a più livelli che protegge le informazioni aziendali su cloud, rete e dispositivi mobili e il sistema di gestione della sicurezza "un punto di controllo" più completo e intuitivo. Check Point protegge oltre 100.000 aziende di tutte le dimensioni.