BlackTech APT utilise le logiciel malveillant Gh0stTimes
Le Gh0stTimes Malware est une variante améliorée d'un cheval de Troie d'accès à distance bien connu - le Gh0st RAT. Ces deux menaces ont été impliquées dans plusieurs campagnes d'attaques du groupe de piratage BlackTech. Malheureusement, le logiciel malveillant Gh0stTimes semble subir des mises à jour régulières, qui visent à améliorer ses fonctionnalités, tout en essayant de le garder sous le radar des produits antivirus.
Le Gh0st RAT a été impliqué dans plusieurs attaques très médiatisées en 2020, mais il semble que ses fonctionnalités n'étaient pas suffisantes pour les criminels BlackTech, qui utilisent également le TsCookieRAT . Certaines des fonctionnalités de signature du logiciel malveillant Gh0stTimes font également partie du projet d'origine, comme le protocole de communication personnalisé. Les criminels utilisent également de grandes portions de code factice pour obscurcir les fonctions du logiciel malveillant et le rendre plus difficile à détecter.
Gh0stTimes Malware, une variante améliorée de Gh0st RAT
Actuellement, le Gh0stTimes Malware prend en charge cinq commandes. Bien que cette liste puisse sembler courte, elle offre aux opérateurs la possibilité d'exécuter toutes sortes de tâches importantes sur les systèmes qu'ils compromettent :
- Ils peuvent effectuer toutes sortes d'opérations sur les fichiers.
- Exécutez des commandes shell distantes.
- Modifiez le serveur de commande et de contrôle.
- Exécutez un proxy.
- Mettez fin à la connexion à l'hôte.
Les criminels semblent opérer via un panneau de contrôle d'interface utilisateur graphique (GUI). Contrairement à de nombreux projets similaires, il n'est pas basé sur le Web - les criminels ne peuvent pas y accéder en ligne. Les systèmes infectés par le logiciel malveillant Gh0stTimes avaient souvent plusieurs autres implants en cours d'exécution, tels que des téléchargeurs de chevaux de Troie et des portes dérobées. Cependant, il n'est pas clair si les pirates de BlackTech en étaient également responsables. Il est tout à fait possible que les mêmes systèmes aient été exploités par d'autres criminels à la recherche de vulnérabilités.