BlackTech APT utilizza il malware Gh0stTimes

Il malware Gh0stTimes è una variante aggiornata di un noto Trojan di accesso remoto: il Gh0st RAT. Entrambe queste minacce sono state coinvolte in molteplici campagne di attacco del gruppo di hacker BlackTech. Sfortunatamente, il malware Gh0stTimes sembra subire aggiornamenti regolari, che mirano a migliorarne le funzionalità, cercando di tenerlo sotto il radar dei prodotti antivirus.

Il Gh0st RAT è stato coinvolto in diversi attacchi di alto profilo nel 2020, ma sembra che le sue caratteristiche non fossero sufficienti per i criminali BlackTech, che utilizzano anche il TsCookieRAT . Alcune delle caratteristiche distintive del malware Gh0stTimes fanno anche parte del progetto originale, come il protocollo di comunicazione personalizzato. I criminali utilizzano anche grandi porzioni di codice fittizio per offuscare le funzioni del malware e renderlo più difficile da rilevare.

Gh0stTimes Malware, una variante avanzata di Gh0st RAT

Attualmente, il malware Gh0stTimes supporta cinque comandi. Sebbene questo elenco possa sembrare breve, fornisce agli operatori la possibilità di eseguire tutti i tipi di attività importanti sui sistemi che compromettono:

• Possono eseguire tutti i tipi di operazioni sui file.
• Esegue i comandi della shell remota.
• Modificare il server di comando e controllo.
• Esegui un proxy.
• Termina la connessione all'host.

I criminali sembrano operare attraverso un pannello di controllo dell'interfaccia utente grafica (GUI). A differenza di molti progetti simili, non è basato sul Web: i criminali non possono accedervi online. I sistemi che sono stati infettati dal malware Gh0stTimes spesso avevano più altri impianti in esecuzione su di essi, come downloader di trojan e backdoor. Tuttavia, non è chiaro se gli hacker BlackTech fossero responsabili anche di questi. È del tutto possibile che gli stessi sistemi siano stati sfruttati da altri criminali alla ricerca di vulnerabilità.