„BlackTech APT“ naudoja kenkėjišką programą „Gh0stTimes“

Kenkėjiška programa „Gh0stTimes“ yra patobulintas gerai žinomos nuotolinės prieigos Trojos arklys-„Gh0st RAT“. Abi šios grėsmės buvo įtrauktos į daugybę „BlackTech“ įsilaužėlių grupės atakų kampanijų. Deja, atrodo, kad „Gh0stTimes“ kenkėjiška programa reguliariai atnaujinama, siekiant pagerinti jos funkcionalumą, kartu bandant išlaikyti ją antivirusinių produktų radare.

„Gh0st RAT“ dalyvavo keliuose aukšto lygio išpuoliuose 2020 m., Tačiau panašu, kad jo funkcijų nepakako „ BlackTech“ nusikaltėliams, kurie taip pat naudoja „TsCookieRAT“ . Kai kurios „Gh0stTimes Malware“ parašo funkcijos taip pat yra pradinio projekto dalis, pavyzdžiui, pasirinktinis ryšio protokolas. Nusikaltėliai taip pat naudoja dideles netikro kodo dalis, kad užmaskuotų kenkėjiškos programos funkcijas ir apsunkintų jų aptikimą.

„Gh0stTimes“ kenkėjiška programa, patobulintas „Gh0st RAT“ variantas

Šiuo metu „Gh0stTimes Malware“ palaiko penkias komandas. Nors šis sąrašas gali atrodyti trumpas, jis suteikia operatoriams galimybę atlikti įvairias svarbias užduotis sistemose, kurių jie pažeidžia:

• Jie gali atlikti visas failų operacijas.
• Vykdykite nuotolinio apvalkalo komandas.
• Pakeiskite komandų ir valdymo serverį.
• Paleisti tarpinį serverį.
• Nutraukite ryšį su pagrindiniu kompiuteriu.

Atrodo, kad nusikaltėliai veikia per grafinės vartotojo sąsajos (GUI) valdymo skydelį. Skirtingai nuo daugelio panašių projektų, jis nėra pagrįstas žiniatinkliu-nusikaltėliai negali prie jo prisijungti. Sistemose, kurios buvo užkrėstos „Gh0stTimes“ kenkėjiška programa, dažnai buvo naudojami keli kiti implantai, pavyzdžiui, Trojos parsisiuntėjai ir užpakalinės durys. Tačiau neaišku, ar „BlackTech“ įsilaužėliai taip pat buvo atsakingi už tai. Visiškai įmanoma, kad tomis pačiomis sistemomis pasinaudojo kiti nusikaltėliai, ieškantys pažeidžiamumų.