Gh0stTimes 악성코드

Gh0stTimes Malware는 일본 표적에 대한 적극적인 캠페인에서 활용되는 위협입니다. 오늘날에도 계속되고 있는 일련의 공격에 책임이 있는 것으로 알려진 위협 행위자는 BlackTech 그룹입니다. Gh0stTimes와 함께 다운로더, 백도어, ELF Bifrose, Citrix 익스플로잇 도구, MikroTik 익스플로잇 도구 등과 같은 다양한 다른 페이로드도 손상된 시스템에서 발견되었습니다.

Gh0stTimes의 악성코드 세부정보

이 위협은 이전에 관찰된 Gh0st RAT 라는 악성코드의 맞춤형 변종으로 보이며 전체 코드 섹션이 둘 사이에서 동일합니다. 호그러나 BlackTech 해커는 버전을 수정하고 확장된 기능을 갖추었습니다. 업그레이드된 기능에는 명령 및 제어(C2, C&C) 서버 리디렉션 및 프록시 기능이 포함됩니다.

손상된 장치에 배포된 Gh0stTimes는 호스트에 대한 특정 정보를 수집하고 해당 C2 서버에 대한 연결을 설정하려고 시도합니다. 위협 요소와 해당 서버 인프라 간의 통신은 암호화됩니다. Gh0stTimes에는 의미 있는 기능을 제공하지 않지만 분석을 방해하기 위해 삽입되는 소위 더미 코드 섹션도 포함되어 있습니다.

위협적인 명령

Gh0stTimes 위협 요소는 여러 수신 명령을 인식합니다. 가장 광범위한 것은 멀웨어에게 특정 방식으로 감염된 장치의 파일 시스템을 조작하도록 지시합니다. 공격자는 파일을 열고, 파일 및 디렉토리를 이동하고, 파일을 삭제하고, 파일 데이터를 얻고, 파일 및 수집된 데이터를 업로드하고, 폴더를 생성할 수 있습니다. . Gh0stTimes는 또한 위협 행위자가 시스템에서 원격 셸 명령을 실행할 수 있도록 합니다.

BlackTech 공격 작업이 여전히 진행 중이라는 사실은 기업이 Gh0stTimes 멀웨어와 같은 그룹의 악성 도구를 탐지하고 완화하기 위해 적절한 조치를 취해야 함을 의미합니다.