BlackTech APT använder Gh0stTimes -skadlig programvara
Gh0stTimes Malware är en uppgraderad variant av en välkänd fjärråtkomst trojan-Gh0st RAT. Båda dessa hot har varit inblandade i flera attackkampanjer från BlackTech -hackergruppen. Tyvärr verkar Gh0stTimes Malware genomgå regelbundna uppdateringar, som syftar till att förbättra dess funktionalitet, samtidigt som de försöker hålla den under radarn av antivirusprodukter.
Gh0st RAT var inblandad i flera högprofilerade attacker 2020, men det verkar som att dess funktioner inte var tillräckligt för BlackTech-kriminella, som också använder TsCookieRAT . Några av signaturfunktionerna i Gh0stTimes Malware är också en del av det ursprungliga projektet - till exempel det anpassade kommunikationsprotokollet. Kriminella använder också stora delar av dummy -kod för att dölja skadlig programvarans funktioner och göra det svårare att upptäcka.
Gh0stTimes Malware, en förbättrad Gh0st RAT -variant
För närvarande stöder Gh0stTimes Malware fem kommandon. Även om listan kan verka kort ger den operatörerna möjlighet att utföra alla slags viktiga uppgifter på de system de kompromissar:
- De kan utföra alla typer av filoperationer.
- Utför fjärrskalskommandon.
- Ändra kommandot och kontrollservern.
- Kör en proxy.
- Avsluta anslutningen till värden.
De kriminella verkar fungera via en kontrollpanel för grafiskt användargränssnitt (GUI). Till skillnad från många liknande projekt är det inte webbaserat-kriminella kan inte komma åt det online. System som infekterades av Gh0stTimes Malware hade ofta flera andra implantat som körs på dem - till exempel trojanska nedladdare och bakdörrar. Det är dock inte klart om BlackTech -hackarna också var ansvariga för dessa. Det är fullt möjligt att samma system utnyttjades av andra kriminella som söker efter sårbarheter.