BlackTech APT wykorzystuje złośliwe oprogramowanie Gh0stTimes
Złośliwe oprogramowanie Gh0stTimes to ulepszona odmiana dobrze znanego trojana zdalnego dostępu – Gh0st RAT. Oba te zagrożenia były zaangażowane w wiele kampanii ataków grupy hakerskiej BlackTech. Niestety, złośliwe oprogramowanie Gh0stTimes wydaje się podlegać regularnym aktualizacjom, które mają na celu zwiększenie jego funkcjonalności, jednocześnie starając się utrzymać go poza radarem produktów antywirusowych.
Gh0st RAT brał udział w kilku głośnych atakach w 2020 r., ale wydaje się, że jego funkcje nie wystarczały przestępcom BlackTech, którzy również używają TsCookieRAT . Niektóre cechy charakterystyczne Gh0stTimes Malware są również częścią oryginalnego projektu – na przykład niestandardowy protokół komunikacyjny. Przestępcy wykorzystują również duże fragmenty fałszywego kodu do zaciemniania funkcji szkodliwego oprogramowania i utrudniania jego wykrycia.
Złośliwe oprogramowanie Gh0stTimes, ulepszony wariant Gh0st RAT
Obecnie złośliwe oprogramowanie Gh0stTimes obsługuje pięć poleceń. Chociaż ta lista może wydawać się krótka, zapewnia ona operatorom możliwość wykonywania wszelkiego rodzaju ważnych zadań w systemach, które naruszają:
- Mogą wykonywać wszelkiego rodzaju operacje na plikach.
- Wykonywanie zdalnych poleceń powłoki.
- Zmodyfikuj serwer dowodzenia i kontroli.
- Uruchom proxy.
- Zakończ połączenie z hostem.
Wygląda na to, że przestępcy działają za pośrednictwem panelu sterowania graficznego interfejsu użytkownika (GUI). W przeciwieństwie do wielu podobnych projektów nie jest on oparty na sieci WWW – przestępcy nie mają do niego dostępu online. Systemy zainfekowane złośliwym oprogramowaniem Gh0stTimes często miały na sobie wiele innych implantów – takich jak trojany pobierające i backdoory. Nie jest jednak jasne, czy za to również odpowiadali hakerzy BlackTech. Jest całkiem możliwe, że te same systemy zostały wykorzystane przez innych przestępców, którzy szukają luk w zabezpieczeniach.