BlackTech APT использует вредоносное ПО Gh0stTimes
Вредоносное ПО Gh0stTimes представляет собой обновленный вариант известного троянца удаленного доступа - Gh0st RAT. Обе эти угрозы были задействованы в нескольких атаках хакерской группы BlackTech. К сожалению, вредоносное ПО Gh0stTimes, похоже, регулярно обновляется, чтобы повысить его функциональность, но при этом старается держать его в поле зрения антивирусных продуктов.
Gh0st RAT участвовал в нескольких громких атаках в 2020 году, но похоже, что его возможностей было недостаточно для преступников BlackTech, которые также используют TsCookieRAT . Некоторые из сигнатурных функций Gh0stTimes Malware также являются частью исходного проекта, например, настраиваемый протокол связи. Преступники также используют большие части фиктивного кода, чтобы скрыть функции вредоносной программы и затруднить ее обнаружение.
Вредоносное ПО Gh0stTimes, расширенный вариант Gh0st RAT
В настоящее время вредоносное ПО Gh0stTimes поддерживает пять команд. Хотя этот список может показаться коротким, он предоставляет операторам возможность выполнять всевозможные важные задачи в системах, которые они скомпрометируют:
- Они могут выполнять все виды файловых операций.
- Выполнять удаленные команды оболочки.
- Измените командно-управляющий сервер.
- Запускаем прокси.
- Завершите соединение с хостом.
Преступники, похоже, действуют через панель управления с графическим интерфейсом пользователя (GUI). В отличие от многих подобных проектов, он не основан на Интернете - преступники не могут получить к нему доступ онлайн. Системы, зараженные вредоносным ПО Gh0stTimes, часто имели несколько других имплантатов, таких как загрузчики троянских программ и бэкдоры. Однако неясно, были ли ответственны за это хакеры BlackTech. Вполне возможно, что те же системы использовались другими преступниками, ищущими уязвимости.