Check Point Research は、XNUMX 年以上にわたってハッカーが EDR (Endpoint Detection & Response) 保護をバイパスするのを支援してきたソフトウェア サービスを発見しました。 ソフトウェア サービスは、Emotet、REvil、Maze、およびその他のマルウェアのドア オープナーとして機能します。
TrickGate サービスの受益者には、Cerber、Trickbot、Maze、Emotet、REvil、Cobalt Strike、AZORult、Formbook、AgentTesla などの有名なマルウェアが含まれます。これは、チェック ポイントが毎月リリースするトップ マルウェアのカラフルなパレードです。
古いサービスは EDR を損なう
TrickGate は変革的であり、定期的に変更されるため、何年も発見されないままでした。 TrickGate を使用することで、悪意のある攻撃者はマルウェアをより簡単に増殖させ、自身への影響を少なくすることができます。
TrickGate は定期的に変更されるため、何年もの間、レーダーの下を飛行することができました。 データを圧縮するパッカーのラッパーは時間の経過とともに変更されましたが、TrickGate シェル コードの主要な構成要素は引き続き使用されています。
製造被害者
テレメトリ データによると、TrickGate を使用するハッカーは主に製造業を標的にしていますが、教育、医療、金融、および商業機関も標的にしています。 攻撃は世界中に広がっており、台湾とトルコへの集中が高まっています。
🔎TrickGateの攻撃フロー(画像:チェックポイント)。
悪意のあるプログラムの暗号化により、検出がより困難になります
攻撃フローにはさまざまな形態があります。 シェルコードは、TrickGate パッカーの中核です。 悪意のある命令とコードを解読し、密かに新しいプロセスに挿入します。 悪意のあるプログラムは暗号化され、保護されたシステムをバイパスするために使用できる特別なルーチンと共にパッケージ化されます。これが、セキュリティ ソリューションがペイロードを静的または実行時に検出できない理由です。
TrickGate の背後にいるのは誰ですか?
Check Point Research は、明確な提携関係を特定できていません。 彼らがサービスを提供する顧客に基づいて、セキュリティ研究者はそれがロシア語を話す地下ギャングであると推測しています.
詳細は CheckPoint.com をご覧ください
チェックポイントについて Check Point Software Technologies GmbH (www.checkpoint.com/de) は、世界中の行政機関や企業にサイバー セキュリティ ソリューションを提供する大手プロバイダーです。 このソリューションは、業界をリードするマルウェア、ランサムウェア、およびその他の種類の攻撃の検出率で、サイバー攻撃から顧客を保護します。 チェック・ポイントは、クラウド、ネットワーク、モバイル デバイス全体で企業情報を保護する多層セキュリティ アーキテクチャと、最も包括的で直感的な「ワンポイント コントロール」セキュリティ管理システムを提供します。 チェック・ポイントは、あらゆる規模の 100.000 以上の企業を保護しています。