Check Point Research’teki siber güvenlik analistleri kısa bir süre önce, kabuk kodu tabanlı bir paketleyici olan TrickGate’in tespit edilmeden altı yılı aşkın bir süredir faaliyette olduğunu bildirdi. Tehdit aktörlerinin aşağıdakiler gibi çeşitli kötü amaçlı yazılım türlerini dağıtmasına olanak sağlamıştır: –
- hile botu
- Duygu
- kobalt saldırısı
- AZORult
- Ajan Tesla
- FormKitabı
- Cerberi
- Labirent
- REVİL
TrickGate, birkaç yıldır tespit edilmekten kurtulmayı başaran dönüştürücü bir paketleyicidir. Bunun nedeni, periyodik olarak değişikliklere uğramasıdır, bu da güvenlik önlemlerinden gizli kalmasına izin verir.
2016’nın sonlarından bu yana TrickGate, diğer tehdit aktörlerine bir hizmet olarak sunuluyor ve bir sarmalayıcı kod katmanının arkasında, yükleri gizlemek için bir araç sağlıyor.
Bu, hedef ana bilgisayarda kurulu güvenlik çözümlerini atlayarak, kötü niyetli aktörlerin saldırılarını tespit edilmeden gerçekleştirmelerini kolaylaştırmak amacıyla yapılır.
Paketleyiciler, kötü amaçlı yazılımı gizlemek için şifreleyerek kripto olarak ikili bir amaca hizmet edebilir. Bu mekanizma, güvenlik çözümlerinin kötü amaçlı kodu algılamasını ve analiz etmesini zorlaştırarak, saldırganın daha düşük bir keşfedilme riskiyle çalışmasına olanak tanır.
Paketleyiciler, güvenlik çözümleri tarafından tespit edilmekten kaçınmak için tasarlanmıştır ve bunu çeşitli özellikler aracılığıyla yaparlar. Bazı paketleyiciler zararsız dosyalar olarak görünebilir ve bu da güvenlik araçlarının bunları kötü niyetli olarak tanımlamasını zorlaştırır.
Diğerleri tersine mühendislik yapmak zor olacak şekilde tasarlanmıştır, bu da analistlerin gizlemek için tasarlandıkları kötü amaçlı yazılımın davranışını anlamalarını zorlaştırır.
Ek olarak, bazı paketleyiciler, kodu yürütmek ve analiz etmek için sanal alanlar kullanan güvenlik sistemleri tarafından tespit edilmekten kaçınmalarına olanak tanıyan korumalı alan kaçırma tekniklerini kullanır.
TrickGate Paketleyici Kötü Amaçlı Yazılım Dağıtmak için Kullanılır
Son iki yılda, güvenlik uzmanları haftada 40 ila 650 saldırıyı izlediğini bildirdi. Bununla birlikte, ticari bir hizmet olarak paketleyici olarak TrickGate’e yapılan sık güncellemeler, 2019’dan beri farklı adlar altında izlenmesine neden oldu ve aşağıda bu adlardan bahsetmiştik:-
- yeni yükleyici
- Loncom
- NSIS tabanlı şifreleme
Tam saldırı akışı aşağıdakileri içerirken: –
- İlk Erişim
- İlk Dosyalar
- Kabuk Kodu Yükleyici
- Kabuk kodu
- yük
Check Point’in telemetri verileri, TrickGate’i kullanan tehdit aktörlerinin öncelikle imalat sektörünü hedeflediğini ve eğitim, sağlık, hükümet ve finansın da daha az etkilendiğini gösteriyor.
Kullanılan Popüler Kötü Amaçlı Yazılım Aileleri
Son iki ayda, saldırılarda kullanılan en yaygın olarak gözlemlenen kötü amaçlı yazılım aileleri şunları içerir:-
- FormKitabı
- LokiBot
- Ajan Tesla
- Remcos
- nanoçekirdek
Bu kötü amaçlı yazılım ailelerinin önemli yoğunlukları aşağıdaki ülkelerde olsa da:-
- Tayvan
- Türkiye
- Almanya
- Rusya
- Çin
Bir enfeksiyonu yayma süreci, zararlı ekler veya bağlantılar içeren kimlik avı e-postalarının kullanılmasını içerir. Bu bağlantılar tıklandığında, bir kabuk kodu yükleyicisinin indirilmesiyle sonuçlanır. Bu yükleyicinin rolü, gerçek yükün şifresini çözmek ve etkinleştirmek, bunun belleğe başlatılmasına neden olmaktır.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin