BlackTech APT verwendet die Gh0stTimes-Malware

Die Gh0stTimes-Malware ist eine aktualisierte Variante eines bekannten Remote-Access-Trojaners – der Gh0st RAT. Beide Bedrohungen waren an mehreren Angriffskampagnen der BlackTech-Hacking-Gruppe beteiligt. Leider scheint die Gh0stTimes-Malware regelmäßig aktualisiert zu werden, um ihre Funktionalität zu verbessern, während versucht wird, sie unter dem Radar von Antivirenprodukten zu halten.

Die Gh0st RAT war im Jahr 2020 an mehreren hochkarätigen Angriffen beteiligt, aber es scheint, dass ihre Funktionen den BlackTech-Kriminellen, die auch die TsCookieRAT verwenden, nicht genug waren. Einige der Signaturfunktionen der Gh0stTimes-Malware sind ebenfalls Teil des ursprünglichen Projekts – wie das benutzerdefinierte Kommunikationsprotokoll. Zudem verwenden die Kriminellen große Teile von Dummy-Code, um die Funktionen der Malware zu verschleiern und die Erkennung zu erschweren.

Gh0stTimes-Malware, eine verbesserte Gh0st-RAT-Variante

Derzeit unterstützt die Gh0stTimes-Malware fünf Befehle. Obwohl diese Liste kurz erscheinen mag, bietet sie den Bedienern die Möglichkeit, alle möglichen wichtigen Aufgaben auf den von ihnen gefährdeten Systemen auszuführen:

• Sie können alle Arten von Dateioperationen ausführen.
• Führen Sie Remote-Shell-Befehle aus.
• Ändern Sie den Command-and-Control-Server.
• Führen Sie einen Proxy aus.
• Beenden Sie die Verbindung zum Host.

Die Kriminellen scheinen über eine grafische Benutzeroberfläche (GUI) zu operieren. Im Gegensatz zu vielen ähnlichen Projekten ist es nicht webbasiert – die Kriminellen können nicht online darauf zugreifen. Auf Systemen, die mit der Gh0stTimes-Malware infiziert waren, liefen oft mehrere andere Implantate – wie Trojaner-Downloader und Backdoors. Es ist jedoch nicht klar, ob die BlackTech-Hacker auch dafür verantwortlich waren. Es ist durchaus möglich, dass die gleichen Systeme von anderen Kriminellen ausgenutzt wurden, die nach Schwachstellen suchen.