BlackTech APT utiliza el malware Gh0stTimes

Gh0stTimes Malware es una variante mejorada de un conocido troyano de acceso remoto: el Gh0st RAT. Ambas amenazas han estado involucradas en múltiples campañas de ataque del grupo de piratería BlackTech. Desafortunadamente, Gh0stTimes Malware parece sufrir actualizaciones periódicas, que tienen como objetivo mejorar su funcionalidad, mientras intentan mantenerlo fuera del radar de los productos antivirus.

El Gh0st RAT estuvo involucrado en varios ataques de alto perfil en 2020, pero parece que sus características no fueron suficientes para los criminales BlackTech, que también usan el TsCookieRAT . Algunas de las características distintivas del malware Gh0stTimes también forman parte del proyecto original, como el protocolo de comunicación personalizado. Los delincuentes también están utilizando grandes porciones de código ficticio para ofuscar las funciones del malware y hacerlo más difícil de detectar.

Gh0stTimes Malware, una variante mejorada de Gh0st RAT

Actualmente, Gh0stTimes Malware admite cinco comandos. Aunque esta lista puede parecer corta, proporciona a los operadores la capacidad de ejecutar todo tipo de tareas importantes en los sistemas que comprometen:

• Pueden realizar todo tipo de operaciones con archivos.
• Ejecute comandos de shell remotos.
• Modifique el servidor de comando y control.
• Ejecute un proxy.
• Termine la conexión con el host.

Los delincuentes parecen estar operando a través de un panel de control de interfaz gráfica de usuario (GUI). A diferencia de muchos proyectos similares, no se basa en la Web: los delincuentes no pueden acceder a él en línea. Los sistemas que fueron infectados por Gh0stTimes Malware a menudo tenían varios otros implantes ejecutándose, como descargadores de troyanos y puertas traseras. Sin embargo, no está claro si los piratas informáticos de BlackTech también fueron responsables de esto. Es muy posible que los mismos sistemas hayan sido explotados por otros delincuentes que buscan vulnerabilidades.