BlackTech APT bruker Gh0stTimes -skadelig programvare

Gh0stTimes Malware er en oppgradert variant av en velkjent fjerntilgangstrojaner-Gh0st RAT. Begge disse truslene har vært involvert i flere angrepskampanjer fra BlackTech -hackergruppen. Dessverre ser det ut til at Gh0stTimes Malware gjennomgår regelmessige oppdateringer, som tar sikte på å forbedre funksjonaliteten, mens du prøver å holde den under radaren til antivirusprodukter.

Gh0st RAT var involvert i flere høyprofilerte angrep i 2020, men det ser ut til at funksjonene ikke var nok for BlackTech-kriminelle, som også bruker TsCookieRAT . Noen av signaturfunksjonene i Gh0stTimes Malware er også en del av det opprinnelige prosjektet - for eksempel den tilpassede kommunikasjonsprotokollen. Kriminelle bruker også store deler av dummy -kode for å skjule skadelig programvare, og gjøre det vanskeligere å oppdage.

Gh0stTimes Malware, en forbedret Gh0st RAT -variant

For øyeblikket støtter Gh0stTimes Malware fem kommandoer. Selv om denne listen kan virke kort, gir den operatørene muligheten til å utføre alle slags viktige oppgaver på systemene de går på kompromiss med:

• De kan utføre alle slags filoperasjoner.
• Utfør eksterne skallkommandoer.
• Endre kommando-og-kontroll-serveren.
• Kjør en proxy.
• Avslutt forbindelsen til verten.

Kriminelle ser ut til å operere via et kontrollpanel for grafisk brukergrensesnitt (GUI). I motsetning til mange lignende prosjekter, er det ikke nettbasert-kriminelle kan ikke få tilgang til det online. Systemer som ble infisert av Gh0stTimes Malware hadde ofte flere andre implantater som kjørte på dem - for eksempel trojanske nedlastere og bakdører. Det er imidlertid ikke klart om BlackTech -hackerne også var ansvarlige for disse. Det er fullt mulig at de samme systemene ble utnyttet av andre kriminelle som søker etter sårbarheter.