Hackers Use TrickGate Software to Deploy Emotet, REvil, Other Malware
2023/01/30 InfoSecurity — TrickGate という名の悪意のソフトウェア・サービスは、6年以上にわたり脅威アクターたちに利用され、EDR (Endpoint Detection and Response) 保護ソフトウェアをバイパスしてきたようだ。この Check Point Research (CPR) が発表した調査結果は、今日の未明に InfoSecurity と共有された。最新のアドバイザリによると、Emotet/REvil/Maze などのグループに属する複数の脅威アクターたちが、このサービスを悪用してマルウェアを展開していたことが示唆される。
より具体的に言うと、TrickGate を用いる脅威アクターたちは、これまでの2年間を通じて、1週間に 40~650 回ほどペースで攻撃を行ってきたと、CPR は推定している。主要な被害者は、製造業/教育/医療/金融などの分野に及んでいる。
CPR は、「この攻撃は世界中に分散しており、台湾とトルコへの集中度が高まっている。この2ヶ月間に最も多く使用されたマルウェア・ファミリーは Formbook であり、追跡された総配布数の 42% を占めている」と述べている。
CPR によると、TrickGate は定期的に変更を施すという変幻自在の特性により、何年も潜伏することができたようだ。
CRP のアドバイザには、「このパッカーを包むラッパーは、時間の経過とともに変化しているが、TrickGate シェルコードの主要な構成要素は、現在でも使用されている」と述べている。
CPR のセキュリティ研究者である Arie Olshtein は、「技術的な観点から見ると、この悪意のプログラムは暗号化された後に、特別なルーチンを用いてパックされ、順番に保護システムをバイパスし、システムにおける静的/動的なペイロード検出を防ぐように設計されている」と述べている。
さらに、CPR の Malware Research and Protection Group Manager である Ziv Huyan は、「以前から、わたしたちのチームは、点と点を結ぶことに成功し、サービスとして提供されていると思われる、あるオペレーションを発見した。近年において、数多くの脅威アクターたちが、防御システムを回避するためのツールとして TrickGate を選択しているという事実は、注目に値する」と説明している。
彼は、「私たちは、さまざまな種類のコード言語を利用し、さまざまなファイル形式を使用して書かれている、TrickGate の外観を監視してきた。しかし、そのコアとなる部分は安定していた。6年前に使われたのと同じ手法が、いまでも使われている」と付け加えている。
検出を回避するために設計された、もう1つのマルウェアは、最近の DragonSpark グループが東アジアの組織をターゲットに展開している、SparkRAT である。
検知を回避するためのマルウエア・ラッパーとして、この TrickGate は6年にもわたり、Emotet/REvil/Maze などを配信し続けてきたようです。そこで、心配になるのが、最近の Emotet の動きですが、最近の記事は以下のとおりです。
2023/01/24:Emotet が新たなバイパス手法で再登場
2023/01/16:Qbot 7%/Emotet 4%/XMRig 3%:2022年12月
2022/12/14:AgentTesla/Emotet/Qbot が 11月の Top-3
2022/11/26:Emotet 2022 を予測する:マルウェアの歴史
2022/11/21:Emotet の大規模マルスパム・キャンペーンを検出
IoT OT Security News 
You must be logged in to post a comment.