Check Point Research (CPR) hat einen Software-Service entdeckt, der Hackern seit über sechs Jahren dabei hilft, den Schutz von EDRs (Endpoint Detection & Response) zu umgehen. Zu den Nutznießern des Dienstes mit dem Namen TrickGate gehören bekannte Schadprogramme wie Cerber, Trickbot, Maze, Emotet, REvil, Cobalt Strike, AZORult, Formbook, AgentTesla – eine bunte Parade der Top Malware, die Check Point monatlich veröffentlicht.
TrickGate ist transformativ und ändert sich regelmäßig, was dazu beitrug, dass es jahrelang unentdeckt blieb. Durch die Verwendung von TrickGate können böswillige Akteure ihre Malware leichter und mit weniger Konsequenzen für sie selbst verbreiten.
Zusammenfassung
- Ermöglichte 40 bis 650 Angriffe pro Woche in den letzten zwei Jahren.
- Zu den Zielbranchen gehören das verarbeitende Gewerbe, das Bildungswesen, das Gesundheitswesen, das Finanzwesen und Wirtschaftsunternehmen.
- Die beliebteste Malware-Familie, die in den letzten zwei Monaten verwendet wurde, ist Formbook mit einem Anteil von 42 Prozent an der gesamten erfassten Verbreitung.
TrickGate hat es geschafft, jahrelang unter dem Radar zu fliegen, weil es sich regelmäßig verändert. Während sich der Wrapper, also die Umhüllung, die weitere Programmteile beinhaltet, des Packers, der die Daten komprimiert, im Laufe der Zeit veränderte, werden die Hauptbausteine des TrickGate-Shellcodes weiterhin verwendet.
Opfer sind hauptsächlich Organisationen aus dem Fertigungssektor
Den Telemetriedaten zufolge zielen die Hacker, die TrickGate einsetzen, in erster Linie auf die Produktion ab, greifen aber auch Bildungs-, Gesundheits-, Finanz- und Wirtschaftseinrichtungen an
Die Angriffe sind über die ganze Welt verteilt, mit einer erhöhten Konzentration in Taiwan und der Türkei.
Verschlüsselung des Schadprogramms erschwert die Erkennung
Es gibt viele Formen des Angriffsflusses. Der Shellcode ist der Kern des TrickGate-Packers. Er ist dafür verantwortlich, die schädlichen Anweisungen und den Code zu entschlüsseln und ihn heimlich in neue Prozesse zu injizieren.
Das Schadprogramm wird verschlüsselt und dann mit einer speziellen Routine gepackt, mit der das geschützte System umgangen werden kann, weswegen die Sicherheitslösungen die Nutzlast weder statisch noch zur Laufzeit erkennen können.
Zuschreibung
CPR ist es nicht gelungen, eine eindeutige Zugehörigkeit zu ermitteln. Die Sicherheitsforscher gehen aufgrund der betreuten Kunden davon aus, dass es sich um eine russischsprachige Untergrundbande handelt.
Ziv Huyan, Malware Research and Protection Group Manager bei Check Point Software Technologies, kommentiert die Funde: „TrickGate ist ein Meister der Verkleidung. Ihm wurden viele Namen gegeben, die auf seinen unterschiedlichen Eigenschaften beruhen, darunter „Emotet’s Packer“, „New Loader“, „Loncom“, „NSIS-based Crypter“. Wir haben die Punkte aus früheren Untersuchungen verbunden und können mit großer Sicherheit sagen, dass es sich um einen einzigen Vorgang handelt, der als Service angeboten wird. Die Tatsache, dass viele der größten Hacker-Gruppen in den letzten Jahren TrickGate als Werkzeug zur Überwindung von Abwehrsystemen gewählt haben, ist bemerkenswert. Einfach ausgedrückt: TrickGate verfügt über unglaubliche Techniken zur Tarnung und Umgehung. Wir haben das Erscheinungsbild von TrickGate beobachtet, das in verschiedenen Code-Sprachen und mit unterschiedlichen Dateitypen geschrieben wurde. Der Kern des Programms blieb seit sechs Jahren jedoch einigermaßen stabil.“