BlackTech APT usa o malware Gh0stTimes

O Gh0stTimes Malware é uma variante atualizada de um conhecido Trojan de acesso remoto - o Gh0st RAT. Ambas as ameaças estiveram envolvidas em várias campanhas de ataque do grupo de hackers BlackTech. Infelizmente, o Gh0stTimes Malware parece passar por atualizações regulares, que visam melhorar sua funcionalidade, enquanto tenta mantê-lo sob o radar de produtos antivírus.

O Gh0st RAT esteve envolvido em vários ataques de alto perfil em 2020, mas parece que seus recursos não foram suficientes para os criminosos BlackTech, que também usam o TsCookieRAT . Alguns dos recursos de assinatura do Malware Gh0stTimes também fazem parte do projeto original - como o protocolo de comunicação personalizado. Os criminosos também estão usando grandes porções de código fictício para ofuscar as funções do malware e torná-lo mais difícil de detectar.

Malware Gh0stTimes, uma variante Gh0st RAT aprimorada

Atualmente, o Malware Gh0stTimes oferece suporte a cinco comandos. Embora esta lista possa parecer curta, ela fornece aos operadores a capacidade de executar todos os tipos de tarefas importantes nos sistemas que comprometem:

• Eles podem realizar todos os tipos de operações de arquivo.
• Execute comandos de shell remotos.
• Modifique o servidor de comando e controle.
• Execute um proxy.
• Encerre a conexão com o host.

Os criminosos parecem estar operando por meio de um painel de controle de interface gráfica do usuário (GUI). Ao contrário de muitos projetos semelhantes, não é baseado na Web - os criminosos não podem acessá-lo online. Os sistemas que foram infectados pelo malware Gh0stTimes geralmente tinham vários outros implantes em execução - como downloaders de cavalos de Tróia e backdoors. No entanto, não está claro se os hackers da BlackTech também foram responsáveis por isso. É perfeitamente possível que os mesmos sistemas tenham sido explorados por outros criminosos que procuram vulnerabilidades.