BlackTech APT 使用 Gh0stTimes 恶意软件

Gh0stTimes 恶意软件是著名的远程访问木马 Gh0st RAT 的升级变种。这两种威胁都参与了 BlackTech 黑客组织的多次攻击活动。不幸的是，Gh0stTimes 恶意软件似乎会定期更新，旨在增强其功能，同时试图使其不受防病毒产品的关注。

Gh0st RAT 在 2020 年参与了几次备受瞩目的攻击，但对于同样使用 TsCookieRAT的 BlackTech 犯罪分子来说，它的功能似乎还不够。 Gh0stTimes 恶意软件的一些签名功能也是原始项目的一部分——例如自定义通信协议。犯罪分子还使用大量伪代码来混淆恶意软件的功能，使其更难被发现。

Gh0stTimes 恶意软件，一种增强型 Gh0st RAT 变体

目前，Gh0stTimes 恶意软件支持五种命令。尽管此列表可能看起来很短，但它为操作员提供了在他们妥协的系统上执行各种重要任务的能力：

• 他们可以执行各种文件操作。
• 执行远程 shell 命令。
• 修改命令和控制服务器。
• 运行代理。
• 终止与主机的连接。

犯罪分子似乎通过图形用户界面 (GUI) 控制面板进行操作。与许多类似项目不同，它不是基于 Web 的——犯罪分子无法在线访问它。被 Gh0stTimes 恶意软件感染的系统通常会运行多个其他植入程序，例如特洛伊木马下载程序和后门程序。但是，尚不清楚 BlackTech 黑客是否也应对这些负责。其他搜索漏洞的犯罪分子完全有可能利用相同的系统。