6年間見つからなかった「サイバー攻撃者のお気に入り」を特定 チェック・ポイント：EDRを回避する、マルウェアの支援サービス

チェック・ポイントは、「TrickGate」と呼ばれるサービスの存在を特定した。「Emotet」や「Formbook」「Maze」といったマルウェアがEDRセキュリティを回避することを支援していたという。

[＠IT]

　チェック・ポイント・ソフトウェア・テクノロジーズは2023年2月14日、「TrickGate」と呼ばれるサービスの存在を特定したと発表した。同社の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（CPR）によると、TrickGateは、「Emotet」「Formbook」「Maze」といったマルウェアの拡散に利用されていた。

　チェック・ポイントのZiv Huyan氏（マルウェアリサーチ＆プロテクション担当グループマネージャー）によると、TrickGateは多様な属性を持ち、その性質から「Emotet's packer」「new loader」「Loncom」「NSIS-based crypter」など多くの名前が付けられているという。

TrickGateの歴史（提供：チェック・ポイント・ソフトウェア・テクノロジーズ）

「セキュリティを迂回する特別なパッキング」

　悪意のある攻撃者は、これを使って「EDR」（Endpoint Detection and Response）を回避し、マルウェアを拡散していたようだ。過去6年以上、TrickGateは悪意のある攻撃者を支援しており、CPRは「定期的に変幻自在に変化するため、長い間発見できなかった」と述べている。

　CPRの観測によると、過去2年間のTrickGateによる攻撃は、1週間当たり40〜650件。主な標的は、製造業や教育、保健医療、金融、営利企業など。攻撃の発生地域は台湾とトルコに集中する傾向が強まっている。TrickGateを使用した攻撃では、悪意あるプログラムは暗号化され、セキュリティシステムを迂回（うかい）する特別なパッキングが施されている。このため多くの場合、検出が難しいという。

TrickGateの攻撃フロー（提供：チェック・ポイント・ソフトウェア・テクノロジーズ）

　CPRはTrickGateの所属を明確には把握できなかったとしているものの、「ユーザーの顔ぶれからロシア語圏の地下組織ではないか」と推測している。

　Huyan氏は、「TrickGateは実に見事な変装と回避のテクニックを持っている。当社は、さまざまなコード言語や異なるファイルタイプによって書かれたTrickGateの出現を監視してきた。しかし、核となるフローは比較的安定しており、6年前と同じ技術が、現在も使われている」と分析している。