BlackTech APT использует вредоносное ПО Gh0stTimes

Вредоносное ПО Gh0stTimes представляет собой обновленный вариант известного троянца удаленного доступа - Gh0st RAT. Обе эти угрозы были задействованы в нескольких атаках хакерской группы BlackTech. К сожалению, вредоносное ПО Gh0stTimes, похоже, регулярно обновляется, чтобы повысить его функциональность, но при этом старается держать его в поле зрения антивирусных продуктов.

Gh0st RAT участвовал в нескольких громких атаках в 2020 году, но похоже, что его возможностей было недостаточно для преступников BlackTech, которые также используют TsCookieRAT . Некоторые из сигнатурных функций Gh0stTimes Malware также являются частью исходного проекта, например, настраиваемый протокол связи. Преступники также используют большие части фиктивного кода, чтобы скрыть функции вредоносной программы и затруднить ее обнаружение.

Вредоносное ПО Gh0stTimes, расширенный вариант Gh0st RAT

В настоящее время вредоносное ПО Gh0stTimes поддерживает пять команд. Хотя этот список может показаться коротким, он предоставляет операторам возможность выполнять всевозможные важные задачи в системах, которые они скомпрометируют:

• Они могут выполнять все виды файловых операций.
• Выполнять удаленные команды оболочки.
• Измените командно-управляющий сервер.
• Запускаем прокси.
• Завершите соединение с хостом.

Преступники, похоже, действуют через панель управления с графическим интерфейсом пользователя (GUI). В отличие от многих подобных проектов, он не основан на Интернете - преступники не могут получить к нему доступ онлайн. Системы, зараженные вредоносным ПО Gh0stTimes, часто имели несколько других имплантатов, таких как загрузчики троянских программ и бэкдоры. Однако неясно, были ли ответственны за это хакеры BlackTech. Вполне возможно, что те же системы использовались другими преступниками, ищущими уязвимости.