BlackTech APT 使用 Gh0stTimes 恶意软件
Gh0stTimes 恶意软件是著名的远程访问木马 Gh0st RAT 的升级变种。这两种威胁都参与了 BlackTech 黑客组织的多次攻击活动。不幸的是,Gh0stTimes 恶意软件似乎会定期更新,旨在增强其功能,同时试图使其不受防病毒产品的关注。
Gh0st RAT 在 2020 年参与了几次备受瞩目的攻击,但对于同样使用 TsCookieRAT的 BlackTech 犯罪分子来说,它的功能似乎还不够。 Gh0stTimes 恶意软件的一些签名功能也是原始项目的一部分——例如自定义通信协议。犯罪分子还使用大量伪代码来混淆恶意软件的功能,使其更难被发现。
Gh0stTimes 恶意软件,一种增强型 Gh0st RAT 变体
目前,Gh0stTimes 恶意软件支持五种命令。尽管此列表可能看起来很短,但它为操作员提供了在他们妥协的系统上执行各种重要任务的能力:
- 他们可以执行各种文件操作。
- 执行远程 shell 命令。
- 修改命令和控制服务器。
- 运行代理。
- 终止与主机的连接。
犯罪分子似乎通过图形用户界面 (GUI) 控制面板进行操作。与许多类似项目不同,它不是基于 Web 的——犯罪分子无法在线访问它。被 Gh0stTimes 恶意软件感染的系统通常会运行多个其他植入程序,例如特洛伊木马下载程序和后门程序。但是,尚不清楚 BlackTech 黑客是否也应对这些负责。其他搜索漏洞的犯罪分子完全有可能利用相同的系统。