惡意軟體偽裝大師現身  TrickGate運作6年被揪出

編譯/鄭智懷

以色列資安業者Check Point旗下的威脅情報部門Check Point Research發布報告發現,一款為惡意軟體提供加殼(packer)技術,名為TrickGate的程式工具在2016年被觀察到後,至今仍持續躲避各式各樣的資安產品檢測,協助全球網路犯罪者更輕鬆地傳播他們的惡意軟體。

惡意軟體偽裝大師現身  TrickGate運作6年被揪出。示意圖/123RF

Check Point Research指出,TrickGate在2016年被發現用於傳播勒索軟體Cerber,隱藏後者以躲過電腦上的安全檢測;此後,其用戶族群逐漸擴大,涉及遠端存取木馬(RAT)、資料竊取程式、惡意金融與挖礦軟體的散播。

除了TrickGate之外,資安界根據其不同屬性,又將該軟體命名為TrickGate、Emotet’s packer、new loader、Loncom、NSIS-based crypter等等。

據研究指出,Cerber、Trickbot、Maze、Emotet、REvil、CoinMiner、Cobalt Strike、DarkVNC、BuerLoader、HawkEye、NetWire、AZORult、Formbook、Remcos、Lokibot 、AgentTesla 等知名惡意軟體也都有採用TrickGate進行加殼程序的紀錄。

Check Point Research蒐集的統計數據顯示,在2022年10月至11月之間,使用TrickGate為惡意軟體加殼的犯罪者攻擊的目標極為廣泛:在國家方面,台灣與土耳其的攻擊次數最高,德國、俄羅斯和中國等國次之;在產業方面,主要針對製造業發動攻擊,其他對教育設施、醫療保健、金融和商業企業的攻擊案例則相對較少。其中尤以Formbook惡意軟體家族最青睞TrickGate,占總使用量的42%。

報告作者Arie Olshtein認為,TrickGate之所以能潛藏六年之久,躲過各大資安公司的關注與其旗下產品的檢測,主要在於資安研究人員傾向於專注在惡意軟體的搜尋和分析,而非其他提供如加殼等技術的程式工具;而最關鍵的是該軟體不斷進行更新與變革,使得研究員難以識別與追蹤。事實上,已辨識的加殼程式可用作新型或未知惡意軟體的檢測,資安界應投入更多的資源對相關程式工具展開研析。

資料來源:Check Point Research

瀏覽 596 次

覺得不錯的話就分享出去吧!

發佈留言

Back to top button