BlackTech APT 使用 Gh0stTimes 惡意軟件
Gh0stTimes 惡意軟件是著名的遠程訪問木馬 Gh0st RAT 的升級變種。這兩種威脅都參與了 BlackTech 黑客組織的多次攻擊活動。不幸的是,Gh0stTimes 惡意軟件似乎會定期更新,旨在增強其功能,同時試圖使其不受防病毒產品的關注。
Gh0st RAT 在 2020 年參與了幾次備受矚目的攻擊,但對於同樣使用 TsCookieRAT的 BlackTech 犯罪分子來說,它的功能似乎還不夠。 Gh0stTimes 惡意軟件的一些簽名功能也是原始項目的一部分——例如自定義通信協議。犯罪分子還使用大量偽代碼來混淆惡意軟件的功能,使其更難被發現。
Gh0stTimes 惡意軟件,一種增強型 Gh0st RAT 變體
目前,Gh0stTimes 惡意軟件支持五種命令。儘管此列表可能看起來很短,但它為操作員提供了在他們妥協的系統上執行各種重要任務的能力:
- 他們可以執行各種文件操作。
- 執行遠程 shell 命令。
- 修改命令和控制服務器。
- 運行代理。
- 終止與主機的連接。
犯罪分子似乎通過圖形用戶界面 (GUI) 控制面板進行操作。與許多類似項目不同,它不是基於 Web 的——犯罪分子無法在線訪問它。被 Gh0stTimes 惡意軟件感染的系統通常會運行多個其他植入程序,例如特洛伊木馬下載程序和後門程序。但是,尚不清楚 BlackTech 黑客是否也應對這些負責。其他搜索漏洞的犯罪分子完全有可能利用相同的系統。