Gh0stTimes Зловреден софтуер

Зловредният софтуер Gh0stTimes е заплаха, използвана в активните кампании срещу японските цели. Актьорът на заплаха, приписван на отговорността за поредицата от атаки, които продължават и днес, е групата BlackTech . Наред с Gh0stTimes, в компрометираните системи са забелязани и различни други полезни товари, като изтеглящи програми, задни врати, ELF Bifrose, Citrix exploit tool, MikroTik exploit tool и др.

Подробности за зловреден софтуер на Gh0stTimes

Заплахата изглежда е персонализиран вариант на наблюдаван по -рано зловреден софтуер, наречен Gh0st RAT, като цели раздели на кода са идентични между двете. ХоВпрочем, хакерите на BlackTech промениха своята версия и я снабдиха с разширена функционалност. Надстроените функции включват възможности за пренасочване на сървъра за управление и управление (C2, C&C) и прокси сървър.

Веднъж разгърнат на компрометираното устройство, Gh0stTimes улавя определена информация за хоста и се опитва да установи връзка със своя C2 сървър. Комуникацията между заплахата и нейната сървърна инфраструктура е криптирана. Gh0stTimes също съдържа раздели на т. Нар. Фиктивен код, които не изпълняват смислена функция, но са поставени там в опит да затруднят анализа.

Заплашващи команди

Заплахата Gh0stTimes разпознава няколко входящи команди. Най -обширният казва на зловредния софтуер да манипулира файловата система на заразеното устройство по определен начин. Нападателите могат да отварят файлове, да преместват файлове и директории, да изтриват файлове, да получават файлови данни, да качват файлове и събраните данни, да създават папки и др. . Gh0stTimes също така позволява на играча на заплаха да изпълнява команди от отдалечена черупка в системата.

Фактът, че операциите по атака на BlackTech все още продължават, означава, че компаниите трябва да предприемат съответните мерки за откриване и смекчаване на злонамерените инструменти на групата, като злонамерения софтуер Gh0stTimes.