BlackTech APT bruger Gh0stTimes -malware

Gh0stTimes Malware er en opgraderet variant af en velkendt fjernadgangstrojan-Gh0st RAT. Begge disse trusler har været involveret i flere angrebskampagner fra BlackTech -hackergruppen. Desværre ser Gh0stTimes Malware ud til at undergå regelmæssige opdateringer, der har til formål at forbedre dens funktionalitet, mens de prøver at holde den under radaren for antivirusprodukter.

Gh0st RAT var involveret i flere højt profilerede angreb i 2020, men det ser ud til, at dets funktioner ikke var nok for BlackTech-kriminelle, der også bruger TsCookieRAT . Nogle af signaturfunktionerne i Gh0stTimes Malware er også en del af det originale projekt - f.eks. Den brugerdefinerede kommunikationsprotokol. Kriminelle bruger også store dele af dummy -kode til at skjule malwares funktioner og gøre det vanskeligere at opdage.

Gh0stTimes Malware, en forbedret Gh0st RAT -variant

I øjeblikket understøtter Gh0stTimes Malware fem kommandoer. Selvom denne liste kan synes kort, giver den operatørerne mulighed for at udføre alle slags vigtige opgaver på de systemer, de går på kompromis med:

• De kan udføre alle former for filoperationer.
• Udfør kommandoer til fjernskalering.
• Rediger kommando-og-kontrol-serveren.
• Kør en proxy.
• Afslut forbindelsen til værten.

De kriminelle ser ud til at fungere via et grafisk brugergrænseflade (GUI) kontrolpanel. I modsætning til mange lignende projekter er det ikke webbaseret-de kriminelle kan ikke få adgang til det online. Systemer, der blev inficeret af Gh0stTimes Malware, havde ofte flere andre implantater kørende på dem - f.eks. Trojanske downloadere og bagdøre. Det er imidlertid ikke klart, om BlackTech -hackerne også var ansvarlige for disse. Det er helt muligt, at de samme systemer blev udnyttet af andre kriminelle, der søger efter sårbarheder.