チェック・ポイント・リサーチ、6年前からEmotet、Formbookなどの展開に利用されてきたソフトウェアサービス「TrickGate」を特定
- 2023/02/16 10:00
- SecurityInsight
チェック・ポイント・ソフトウェア・テクノロジーズは2月14日、同社の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(CPR)が、脅威アクターがEDR(エンドポイント検知&レスポンス)セキュリティを回避するのを過去6年以上にわたり支援してきたライブソフトウェアサービスの存在を特定したことを発表した。
CPRは過去2年間だけでも週に数百件もの攻撃を記録している。TrickGateは変幻自在に定期的に変化するため、長年、発見を回避してきた。TrickGateを使用することで、悪意ある攻撃者たちは最小限の影響でより簡単にマルウェアを拡散することができる。
TrickGateと名付けられたこのサービスの利用者には、EmotetやFormbook、REvil、Mazeなどの有名な脅威アクターたちも含まれている。
このサービスを使用することで、悪意ある攻撃者たちは最小限の影響だけでより簡単にマルウェアを拡散することができる。過去2か月間に最も多く使用されたマルウェアファミリーはFormbookで、追跡対象の42%を占めている。
Formbookは、CPRが発表した2022年12月版の「Global Threat Index(世界脅威インデックス)」において、国内企業・組織の25%に影響を与え、最も活発だったマルウェアだと報告されている。他にも利用者には、2022年に国内で猛威をふるったEmotetに加え、Cerber、Trickbot、Maze、REvil、Cobalt Strike、AZORult、FormBook、AgentTeslaなどの有名な脅威アクターが含まれている。
主にターゲットにされたのは製造業だが、他にも教育、保健医療、金融、営利企業などが挙げられる。攻撃の発生地域は世界中に分散しているが、台湾とトルコに攻撃が集中する傾向が強まっている。
CPRはこのソフトウェアサービスの所属を明確に把握することができなかったが、サービスを利用している顧客の顔ぶれから、ロシア語圏の地下組織ではないかと推測している。