Gh0stTimes Malware

Il malware Gh0stTimes è una minaccia sfruttata nelle campagne attive contro obiettivi giapponesi. L'attore delle minacce attribuito alla responsabilità della serie di attacchi che sono ancora in corso oggi è il gruppo BlackTech. Oltre a Gh0stTimes, sono stati individuati anche vari altri payload sui sistemi compromessi, come downloader, backdoor, ELF Bifrose, strumento di exploit Citrix, strumento di exploit MikroTik e altro ancora.

Dettagli sul malware di Gh0stTimes

La minaccia sembra essere una variante personalizzata di un malware osservato in precedenza denominato Gh0st RAT con intere sezioni di codice identiche tra i due. comeTuttavia, gli hacker BlackTech hanno modificato la loro versione e l'hanno dotata di funzionalità estese. Le funzioni aggiornate includono un reindirizzamento del server Command-and-Control (C2, C&C) e funzionalità proxy.

Una volta distribuito sul dispositivo compromesso, Gh0stTimes acquisisce determinate informazioni sull'host e tenta di stabilire una connessione al proprio server C2. La comunicazione tra la minaccia e la sua infrastruttura server è crittografata. Gh0stTimes contiene anche sezioni del cosiddetto codice fittizio che non hanno alcuna funzione significativa ma vengono inserite nel tentativo di ostacolare l'analisi.

Comandi minacciosi

La minaccia Gh0stTimes riconosce diversi comandi in arrivo. Il più espansivo dice al malware di manipolare il file system sul dispositivo infetto in un certo modo, Gli aggressori possono aprire file, spostare file e directory, eliminare file, ottenere dati di file, caricare file e i dati raccolti, creare cartelle e altro . Gh0stTimes consente inoltre all'attore della minaccia di eseguire comandi shell remoti sul sistema.

Il fatto che le operazioni di attacco BlackTech siano ancora in corso significa che le aziende dovrebbero adottare le misure appropriate per rilevare e mitigare gli strumenti dannosi del gruppo come il malware Gh0stTimes.