Gh0stTimes-malware

De Gh0stTimes-malware is een bedreiging die wordt gebruikt in actieve campagnes tegen Japanse doelen. De dreigingsactor die verantwoordelijk wordt gehouden voor de reeks aanvallen die vandaag de dag nog steeds plaatsvinden, is de BlackTech- groep. Naast Gh0stTimes zijn er ook verschillende andere payloads gespot op de gecompromitteerde systemen, zoals downloaders, backdoors, ELF Bifrose, Citrix-exploittool, MikroTik-exploittool en meer.

Malwaredetails van Gh0stTimes

De dreiging lijkt een aangepaste variant te zijn van een eerder waargenomen malware genaamd Gh0st RAT, waarbij hele delen van de code identiek zijn tussen de twee. However hebben de BlackTech-hackers hun versie aangepast en voorzien van uitgebreide functionaliteit. De verbeterde functies omvatten een Command-and-Control (C2, C&C) serveromleiding en proxymogelijkheden.

Eenmaal geïmplementeerd op het gecompromitteerde apparaat, pakt Gh0stTimes bepaalde informatie over de host en probeert een verbinding tot stand te brengen met zijn C2-server. De communicatie tussen de dreiging en de serverinfrastructuur is versleuteld. Gh0stTimes bevat ook secties van zogenaamde dummy-code die geen zinvolle functie hebben, maar daar worden geplaatst in een poging de analyse te belemmeren.

Dreigende commando's

De dreiging van Gh0stTimes herkent verschillende binnenkomende opdrachten. De meest uitgebreide vertelt de malware om het bestandssysteem op het geïnfecteerde apparaat op een bepaalde manier te manipuleren. De aanvallers kunnen bestanden openen, bestanden en mappen verplaatsen, bestanden verwijderen, bestandsgegevens verkrijgen, bestanden uploaden en de verzamelde gegevens, mappen maken en meer . Met Gh0stTimes kan de dreigingsactor ook externe shell-opdrachten op het systeem uitvoeren.

Het feit dat de BlackTech-aanvalsoperaties nog steeds aan de gang zijn, betekent dat bedrijven de juiste maatregelen moeten nemen om de kwaadaardige tools van de groep, zoals de Gh0stTimes-malware, te detecteren en te verminderen.