Check Point Research, bilgisayar korsanlarının altı yılı aşkın bir süredir EDR (Endpoint Detection & Response) korumasını aşmasına yardımcı olan bir yazılım hizmeti keşfetti. Yazılım hizmeti, Emotet, REvil, Maze ve diğer kötü amaçlı yazılımlar için bir kapı açıcı görevi görür.
TrickGate hizmetinden yararlananlar arasında Cerber, Trickbot, Maze, Emotet, REvil, Cobalt Strike, AZORult, Formbook, AgentTesla gibi iyi bilinen kötü amaçlı yazılımlar yer alır - Check Point'in aylık olarak yayınladığı en iyi kötü amaçlı yazılımlardan oluşan renkli bir geçit töreni.
Eski hizmet EDR'yi baltalıyor
TrickGate dönüştürücüdür ve düzenli olarak değişir, bu da onun yıllarca keşfedilmemiş kalmasına yardımcı olmuştur. Kötü niyetli aktörler, TrickGate'i kullanarak kötü amaçlı yazılımlarını daha kolay ve kendileri için daha az sonuçla çoğaltabilirler.
TrickGate, düzenli olarak değiştiği için yıllarca radarın altında uçmayı başardı. Verileri sıkıştıran paketleyicinin sarmalayıcısı zamanla değişirken, TrickGate kabuk kodunun ana yapı taşları halen kullanılmaktadır.
Üretim kurbanları
Telemetri verilerine göre, TrickGate kullanan bilgisayar korsanları öncelikle üretimi hedefliyor, ancak aynı zamanda eğitim, sağlık, finans ve ticari kurumları da hedefliyor. Saldırılar, Tayvan ve Türkiye'de artan bir yoğunlaşma ile tüm dünyaya yayıldı.
🔎 TrickGate saldırı akışı (Resim: Kontrol Noktası).
Kötü amaçlı programın şifrelenmesi, tespit edilmesini zorlaştırır
Birçok saldırı akışı biçimi vardır. Kabuk kodu, TrickGate paketleyicinin çekirdeğidir. Kötü amaçlı talimatların ve kodun deşifre edilmesinden ve gizlice yeni süreçlere enjekte edilmesinden sorumludur. Kötü amaçlı program şifrelenir ve ardından korunan sistemi atlamak için kullanılabilecek özel bir rutinle paketlenir; bu nedenle güvenlik çözümleri, yükü statik olarak veya çalışma zamanında algılayamaz.
TrickGate'in arkasında kim var?
Check Point Research, net bir bağlantı belirleyemedi. Güvenlik araştırmacıları, hizmet ettikleri müşterilere dayanarak, bunun Rusça konuşan bir yeraltı çetesi olduğunu varsayıyorlar.
CheckPoint.com'da daha fazlası
kontrol noktası hakkında Check Point Software Technologies GmbH (www.checkpoint.com/de), dünya çapında kamu idareleri ve şirketler için lider bir siber güvenlik çözümleri sağlayıcısıdır. Çözümler, sektör lideri kötü amaçlı yazılım, fidye yazılımı ve diğer saldırı türlerini algılama oranıyla müşterileri siber saldırılardan koruyor. Check Point, kurumsal bilgileri bulut, ağ ve mobil cihazlarda koruyan çok katmanlı bir güvenlik mimarisi ve en kapsamlı ve sezgisel "tek kontrol noktası" güvenlik yönetim sistemi sunar. Check Point, her ölçekten 100.000'den fazla işletmeyi korur.