adlı bir kabuk kodu tabanlı paketleyici hile kapısı altı yılı aşkın bir süredir dikkat çekmeden başarılı bir şekilde faaliyet gösteriyor ve tehdit aktörlerinin yıllar içinde TrickBot, Emotet, AZORult, Ajan Tesla, FormBook, Cerber, Maze ve REvil gibi çok çeşitli kötü amaçlı yazılımları dağıtmasına olanak sağlıyor.
Check Point Research’ten Arie Olshtein, “TrickGate, dönüştürücü olduğu için yıllarca radarın altında kalmayı başardı – periyodik olarak değişikliklere uğrar.” dedimona “kılık değiştirme ustası” diyor.
En azından 2016’nın sonlarından beri diğer tehdit aktörlerine bir hizmet olarak sunulan TrickGate, bir ana bilgisayara yüklenen güvenlik çözümlerini aşma girişiminde yükleri bir sarmalayıcı kod katmanının arkasına gizlemeye yardımcı oluyor. Paketleyiciler, kötü amaçlı yazılımı bir gizleme mekanizması olarak şifreleyerek şifreleyici işlevi de görebilir.
“Paketleyiciler, zararsız dosyalar gibi görünerek, tersine mühendislik yapmaları zor olarak veya sanal alan kaçırma tekniklerini birleştirerek algılama mekanizmalarını atlatmalarına izin veren farklı özelliklere sahiptir.” Proofpoint not alınmış Aralık 2020’de.
Ancak, hizmet olarak ticari paketleyicide sık sık yapılan güncellemeler, TrickGate’in aşağıdakiler gibi çeşitli adlar altında izlendiği anlamına geliyordu: yeni yükleyici, Loncomve NSIS tabanlı şifreleyici 2019’dan beri.
Check Point tarafından toplanan telemetri verileri, TrickGate’ten yararlanan tehdit aktörlerinin öncelikle imalat sektörünü ve daha az ölçüde eğitim, sağlık, devlet ve finans sektörlerini seçtiğini gösteriyor.
Son iki ayda saldırılarda kullanılan en popüler kötü amaçlı yazılım aileleri arasında FormBook, LokiBot, Ajan Tesla, Remcos ve Nanocore yer alıyor ve Tayvan, Türkiye, Almanya, Rusya ve Çin’de önemli yoğunluklar rapor ediliyor.
Bulaşma zinciri, gerçek yükün şifresini çözmekten ve belleğe başlatmaktan sorumlu bir kabuk kodu yükleyicisinin indirilmesine yol açan kötü amaçlı ekler veya bubi tuzaklı bağlantılar içeren kimlik avı e-postaları göndermeyi içerir.
İsrailli siber güvenlik firmasının kabuk kodu analizi, bunun “sürekli olarak güncellendiğini, ancak ana işlevlerin 2016’dan beri tüm örneklerde mevcut olduğunu” gösteriyor. Olshtein, “enjeksiyon modülünün yıllar boyunca en tutarlı kısım olduğunu ve tüm TrickGate kabuk kodlarında gözlemlendiğini” kaydetti.