惡意軟體偽裝大師現身  TrickGate運作6年被揪出

編譯／鄭智懷

以色列資安業者Check Point旗下的威脅情報部門Check Point Research發布報告發現，一款為惡意軟體提供加殼（packer）技術，名為TrickGate的程式工具在2016年被觀察到後，至今仍持續躲避各式各樣的資安產品檢測，協助全球網路犯罪者更輕鬆地傳播他們的惡意軟體。

Check Point Research指出，TrickGate在2016年被發現用於傳播勒索軟體Cerber，隱藏後者以躲過電腦上的安全檢測；此後，其用戶族群逐漸擴大，涉及遠端存取木馬（RAT）、資料竊取程式、惡意金融與挖礦軟體的散播。

除了TrickGate之外，資安界根據其不同屬性，又將該軟體命名為TrickGate、Emotet’s packer、new loader、Loncom、NSIS-based crypter等等。

據研究指出，Cerber、Trickbot、Maze、Emotet、REvil、CoinMiner、Cobalt Strike、DarkVNC、BuerLoader、HawkEye、NetWire、AZORult、Formbook、Remcos、Lokibot 、AgentTesla 等知名惡意軟體也都有採用TrickGate進行加殼程序的紀錄。

Check Point Research蒐集的統計數據顯示，在2022年10月至11月之間，使用TrickGate為惡意軟體加殼的犯罪者攻擊的目標極為廣泛：在國家方面，台灣與土耳其的攻擊次數最高，德國、俄羅斯和中國等國次之；在產業方面，主要針對製造業發動攻擊，其他對教育設施、醫療保健、金融和商業企業的攻擊案例則相對較少。其中尤以Formbook惡意軟體家族最青睞TrickGate，占總使用量的42%。

報告作者Arie Olshtein認為，TrickGate之所以能潛藏六年之久，躲過各大資安公司的關注與其旗下產品的檢測，主要在於資安研究人員傾向於專注在惡意軟體的搜尋和分析，而非其他提供如加殼等技術的程式工具；而最關鍵的是該軟體不斷進行更新與變革，使得研究員難以識別與追蹤。事實上，已辨識的加殼程式可用作新型或未知惡意軟體的檢測，資安界應投入更多的資源對相關程式工具展開研析。

資料來源：Check Point Research

瀏覽 527 次