Gh0stTimes Malware

Złośliwe oprogramowanie Gh0stTimes to zagrożenie wykorzystywane w aktywnych kampaniach przeciwko japońskim celom. Zagrożeniem, któremu przypisuje się odpowiedzialność za serię ataków, które wciąż trwają, jest grupa BlackTech. Oprócz Gh0stTimes w zaatakowanych systemach wykryto również różne inne ładunki, takie jak downloadery, backdoory, ELF Bifrose, narzędzie do exploitów Citrix, narzędzie do exploitów MikroTik i inne.

Szczegóły złośliwego oprogramowania Gh0stTimes

Zagrożenie wydaje się być dostosowanym wariantem wcześniej zaobserwowanego szkodliwego oprogramowania o nazwie Gh0st RAT, w którym całe sekcje kodu są identyczne. HoW każdym razie hakerzy BlackTech zmodyfikowali swoją wersję i wyposażyli ją w rozszerzoną funkcjonalność. Ulepszone funkcje obejmują funkcję przekierowywania serwera Command-and-Control (C2, C&C) i proxy.

Po wdrożeniu na zaatakowanym urządzeniu Gh0stTimes pobiera pewne informacje o hoście i próbuje nawiązać połączenie z jego serwerem C2. Komunikacja między zagrożeniem a jego infrastrukturą serwerową jest szyfrowana. Gh0stTimes zawiera również sekcje tak zwanego fikcyjnego kodu, który nie pełni żadnej znaczącej funkcji, ale jest tam umieszczany w celu utrudnienia analizy.

Groźne komendy

Zagrożenie Gh0stTimes rozpoznaje kilka przychodzących poleceń. Najbardziej ekspansywny nakazuje szkodliwemu oprogramowaniu manipulowanie systemem plików na zainfekowanym urządzeniu w określony sposób. Atakujący mogą otwierać pliki, przenosić pliki i katalogi, usuwać pliki, uzyskiwać dane z plików, przesyłać pliki i zebrane dane, tworzyć foldery i nie tylko . Gh0stTimes umożliwia również podmiotowi działającemu w ramach zagrożenia uruchamianie zdalnych poleceń powłoki w systemie.

Fakt, że operacje ataków BlackTech nadal trwają, oznacza, że firmy powinny podjąć odpowiednie środki w celu wykrycia i złagodzenia szkodliwych narzędzi grupy, takich jak złośliwe oprogramowanie Gh0stTimes.