Actu
Enquête Check Point Research : Un service logiciel permet aux acteurs de la menace de contourner la protection des « EDR » Et de déployer Emotet, REvil, Maze entre autres
janvier 2023 par Check Point Research (CPR)
Check Point Research (CPR) a repéré un service logiciel actif qui aide les acteurs de la menace à contourner la protection des EDR actif depuis plus de six ans. Ce service, baptisé « Trickgate », compte parmi ses clients des acteurs bien connus tels que Cerber, Trickbot, Maze, Emotet, REvil, Cobalt Strike, AZORult, Formbook, AgentTesla entre autres.
TrickGate a réussi à passer sous le radar pendant des années car il a la capacité de se transformer régulièrement. Si l’enveloppe du packer a changé au fil du temps, les principales composantes du shellcode TrickGate continuent d’être utilisées aujourd’hui.
Les victimes
CPR a surveillé entre 40 et 650 attaques par semaine au cours des deux dernières années. Selon sa télémétrie, les acteurs de la menace qui se servent de TrickGate ciblent principalement le secteur manufacturier, mais s’attaquent également aux écoles et universités, aux établissements de santé, à la finance et aux entreprises commerciales.
Les attaques sont réparties dans le monde entier avec un concentration observée à Taïwan et en Turquie. Le type de malware le plus utilisé au cours des deux derniers mois est Formbook, représentant 42 % du total des malwares détectés.
Les flux d’attaque
Il existe de nombreuses formes de flux d’attaque. Le shellcode est le cœur du packer TrickGate. Il est chargé de déchiffrer les instructions et le code dangereux et de les injecter furtivement dans de nouveaux processus.
Le programme malveillant est chiffré puis packé avec une routine spéciale conçue pour contourner le système, protégé de sorte que personne ne puisse détecter la charge utile de manière statique ou lors de l’exécution.
L’attribution
CPR n’a pas réussi à déterminer d’affiliation claire. CPR estime, sur la base des clients qui ont bénéficié du service, qu’il s’agit d’un gang clandestin russophone.
Ziv Huyan, responsable du groupe de recherche et de protection contre les malware chez Check Point Software :
« TrickGate est passé maître dans l’art du déguisement. On lui a donné de nombreux noms en fonction de ses attributs variés, dont « Emotet’s packer », « new loader », « Loncom », « NSIS-based crypter », etc. Nous avons relié les points de la recherche précédente et avons identifié une seule opération qui semblerait être disponible sous forme de service.
Il est frappant de constater qu’un grand nombre des plus grands acteurs de la menace de ces dernières années ont choisi de recourir à TrickGate pour déjouer les systèmes de protection. Pour faire simple, TrickGate dispose d’incroyables techniques de camouflage et d’évasion. Nous avons surveillé TrickGate grâce à l’utilisation de différents types de langage de code et à l’utilisation de différents types de fichiers. Mais, le flux principal est resté relativement stable. Ce sont les techniques utilisées il y a six ans qui servent encore aujourd’hui. »
