A BlackTech APT a Gh0stTimes kártevőt használja
A Gh0stTimes Malware a jól ismert távoli hozzáférésű trójai-a Gh0st RAT-továbbfejlesztett változata. Mindkét fenyegetés részt vett a BlackTech hacker csoport több támadási kampányában. Sajnos úgy tűnik, hogy a Gh0stTimes Malware rendszeresen frissül, amelynek célja a funkcionalitás javítása, miközben megpróbálja a víruskereső termékek radarja alatt tartani.
A Gh0st RAT több nagy horderejű támadásban is részt vett 2020-ban, de úgy tűnik, hogy funkciói nem voltak elegendők a BlackTech bűnözők számára, akik szintén használják a TsCookieRAT-ot . A Gh0stTimes Malware néhány aláírási funkciója szintén az eredeti projekt része - például az egyéni kommunikációs protokoll. A bűnözők szintén nagy mennyiségű álkódot használnak a rosszindulatú programok funkcióinak elhomályosítására és megnehezítésére.
Gh0stTimes Malware, továbbfejlesztett Gh0st RAT változat
Jelenleg a Gh0stTimes Malware öt parancsot támogat. Bár ez a lista rövidnek tűnhet, lehetővé teszi a kezelők számára, hogy minden fontos feladatot elvégezzenek az általuk veszélyeztetett rendszereken:
- Mindenféle fájlműveletet képesek végrehajtani.
- Végezzen távoli shell parancsokat.
- Módosítsa a parancs-vezérlő szervert.
- Futtasson proxyt.
- Szüntesse meg a kapcsolatot a gazdagéppel.
Úgy tűnik, hogy a bűnözők a grafikus felhasználói felület (GUI) kezelőpaneljén keresztül működnek. Sok hasonló projekttel ellentétben nem web-alapú-a bűnözők nem férhetnek hozzá online. A Gh0stTimes Malware által fertőzött rendszereken gyakran több más implantátum is futott - például trójai letöltők és hátsó ajtók. Az azonban nem világos, hogy a BlackTech hackerek voltak -e felelősek ezekért is. Teljesen lehetséges, hogy ugyanazokat a rendszereket más bűnözők is kihasználták, akik sebezhetőségeket keresnek.