Дослідження Check Point виявили програмну службу, яка понад шість років допомагає хакерам обійти захист EDR (виявлення та реагування кінцевих точок). Сервіс програмного забезпечення відкриває двері для Emotet, REvil, Maze та інших шкідливих програм.
Серед бенефіціарів сервісу TrickGate такі відомі шкідливі програми, як Cerber, Trickbot, Maze, Emotet, REvil, Cobalt Strike, AZORult, Formbook, AgentTesla – барвистий парад найпопулярніших шкідливих програм, які Check Point випускає щомісяця.
Стара служба підриває EDR
TrickGate є трансформаційним і регулярно змінюється, що допомогло залишатися невідкритим протягом багатьох років. Використовуючи TrickGate, зловмисники можуть легше поширювати своє шкідливе програмне забезпечення з меншими наслідками для себе.
TrickGate протягом багатьох років вдавалося залишатися поза увагою, оскільки він регулярно змінюється. Хоча оболонка пакувальника, який стискає дані, змінювалася з часом, основні будівельні блоки коду оболонки TrickGate все ще використовуються.
Виробництво жертв
Згідно з телеметричними даними, хакери, які використовують TrickGate, націлені насамперед на виробництво, а також на освітні, медичні, фінансові та комерційні установи. Атаки поширені по всьому світу, з підвищеною концентрацією на Тайвані та Туреччині.
🔎 Потік атаки TrickGate (Зображення: Check Point).
Шифрування шкідливої програми ускладнює виявлення
Існує багато форм потоку атак. Шел-код є ядром пакувальника TrickGate. Він відповідає за розшифровку шкідливих інструкцій і коду та таємне впровадження їх у нові процеси. Шкідлива програма шифрується, а потім упаковується за допомогою спеціальної програми, яка може використовуватися для обходу захищеної системи, тому рішення безпеки не можуть виявити корисне навантаження ні статично, ні під час виконання.
Хто стоїть за TrickGate?
Check Point Research не вдалося визначити чітку приналежність. За клієнтами, яких вони обслуговують, силовики припускають, що це російськомовне підпільне угруповання.
Більше на CheckPoint.com
Про КПП Check Point Software Technologies GmbH (www.checkpoint.com/de) є провідним постачальником рішень кібербезпеки для державних адміністрацій і компаній у всьому світі. Рішення захищають клієнтів від кібератак за допомогою найкращого в галузі рівня виявлення шкідливих програм, програм-вимагачів та інших типів атак. Check Point пропонує багаторівневу архітектуру безпеки, яка захищає корпоративну інформацію в хмарі, мережі та на мобільних пристроях, а також найповнішу та інтуїтивно зрозумілу систему керування безпекою «одна точка контролю». Check Point захищає понад 100.000 XNUMX компаній різного розміру.