Gh0stTimes Malware

Gh0stTimes Malware er en trussel i aktive kampagner mod japanske mål. Trusselsaktøren, der tilskrives at være ansvarlig for den række angreb, der stadig pågår i dag, er BlackTech -gruppen. Ved siden af Gh0stTimes er der også blevet set forskellige andre nyttelast på de kompromitterede systemer, såsom downloadere, bagdøre, ELF Bifrose, Citrix -udnyttelsesværktøj, MikroTik -udnyttelsesværktøj og mere.

Gh0stTimes 'malware -detaljer

Truslen ser ud til at være en tilpasset variant af en tidligere observeret malware ved navn Gh0st RAT, hvor hele sektioner af kode er identiske mellem de to. HoWever, BlackTech -hackerne ændrede deres version og udstyrede den med udvidet funktionalitet. De opgraderede funktioner omfatter en kommando-og-kontrol (C2, C&C) serveromdirigering og proxy-funktioner.

Når den er implementeret på den kompromitterede enhed, griber Gh0stTimes visse oplysninger om værten og forsøger at etablere en forbindelse til sin C2 -server. Kommunikationen mellem truslen og dens serverinfrastruktur er krypteret. Gh0stTimes indeholder også sektioner af den såkaldte dummy-kode, der ikke tjener nogen meningsfuld funktion, men er sat der i et forsøg på at hæmme analysen.

Truende kommandoer

Gh0stTimes -truslen genkender flere indgående kommandoer. Den mest ekspansive fortæller malware at manipulere filsystemet på den inficerede enhed på en bestemt måde. Angriberne kan åbne filer, flytte filer og mapper, slette filer, hente fildata, uploade filer og de indsamlede data, oprette mapper og mere . Gh0stTimes giver også trusselsaktøren mulighed for at køre eksterne shell -kommandoer på systemet.

Det faktum, at BlackTech -angrebene stadig foregår, betyder, at virksomheder bør tage de nødvendige foranstaltninger til at opdage og afbøde gruppens ondsindede værktøjer, f.eks. Gh0stTimes -malware.