BlackTech APT gebruikt de Gh0stTimes-malware
De Gh0stTimes Malware is een verbeterde variant van een bekende Remote Access Trojan - de Gh0st RAT. Beide bedreigingen zijn betrokken geweest bij meerdere aanvalscampagnes van de BlackTech-hackgroep. Helaas lijkt de Gh0stTimes-malware regelmatig updates te ondergaan, die erop gericht zijn de functionaliteit te verbeteren, terwijl ze proberen het onder de radar van antivirusproducten te houden.
De Gh0st RAT was in 2020 betrokken bij verschillende spraakmakende aanvallen, maar het lijkt erop dat de functies ervan niet genoeg waren voor de BlackTech-criminelen, die ook de TsCookieRAT gebruiken . Sommige kenmerkende kenmerken van de Gh0stTimes-malware maken ook deel uit van het oorspronkelijke project, zoals het aangepaste communicatieprotocol. De criminelen gebruiken ook grote delen dummy-code om de functies van de malware te verdoezelen en het moeilijker te maken om ze op te sporen.
Gh0stTimes Malware, een verbeterde Gh0st RAT-variant
Momenteel ondersteunt de Gh0stTimes Malware vijf opdrachten. Hoewel deze lijst misschien kort lijkt, biedt het de operators de mogelijkheid om allerlei belangrijke taken uit te voeren op de systemen die ze compromitteren:
- Ze kunnen allerlei bestandsbewerkingen uitvoeren.
- Voer shell-opdrachten op afstand uit.
- Wijzig de command-and-control-server.
- Voer een proxy uit.
- Beëindig de verbinding met de host.
De criminelen lijken te werken via een bedieningspaneel met grafische gebruikersinterface (GUI). In tegenstelling tot veel vergelijkbare projecten is het niet webgebaseerd - de criminelen hebben er geen online toegang toe. Op systemen die waren geïnfecteerd door de Gh0stTimes-malware waren vaak meerdere andere implantaten actief, zoals trojan-downloaders en achterdeurtjes. Het is echter niet duidelijk of de BlackTech-hackers hier ook verantwoordelijk voor waren. Het is heel goed mogelijk dat dezelfde systemen zijn uitgebuit door andere criminelen die op zoek zijn naar kwetsbaarheden.
