BlackTechAPTはGh0stTimesマルウェアを使用します
Gh0stTimesマルウェアは、よく知られているリモートアクセス型トロイの木馬であるGh0stRATのアップグレード版です。これらの脅威は両方とも、BlackTechハッキンググループの複数の攻撃キャンペーンに関与しています。残念ながら、Gh0stTimesマルウェアは定期的に更新されているようです。これは、ウイルス対策製品の監視下に置きながら、その機能を強化することを目的としています。
Gh0st RATは、2020年にいくつかの注目を集める攻撃に関与しましたが、その機能は、 TsCookieRATも使用するBlackTech犯罪者にとって十分ではなかったようです。 Gh0stTimesマルウェアの署名機能の一部は、カスタム通信プロトコルなど、元のプロジェクトの一部でもあります。犯罪者はまた、マルウェアの機能を難読化し、検出をより困難にするために、ダミーコードの大部分を使用しています。
Gh0stTimesマルウェア、拡張されたGh0stRATバリアント
現在、Gh0stTimesマルウェアは5つのコマンドをサポートしています。このリストは短いように見えるかもしれませんが、オペレーターは、侵害したシステムであらゆる種類の重要なタスクを実行することができます。
- 彼らはあらゆる種類のファイル操作を実行できます。
- リモートシェルコマンドを実行します。
- コマンドアンドコントロールサーバーを変更します。
- プロキシを実行します。
- ホストへの接続を終了します。
犯罪者は、グラフィカルユーザーインターフェイス(GUI)コントロールパネルを介して操作しているように見えます。多くの同様のプロジェクトとは異なり、Webベースではありません。犯罪者はオンラインでアクセスできません。 Gh0stTimesマルウェアに感染したシステムでは、トロイの木馬ダウンローダーやバックドアなど、他の複数のインプラントが実行されていることがよくありました。ただし、BlackTechハッカーがこれらにも責任があるかどうかは明らかではありません。同じシステムが脆弱性を検索する他の犯罪者によって悪用された可能性は十分にあります。