Gh0stTimes Malware

Descrição do Gh0stTimes Malware

O Gh0stTimes Malware é uma ameaça alavancada em campanhas ativas contra alvos japoneses. O ator da ameaça atribuído como responsável pela série de ataques que ainda ocorrem hoje é o grupo BlackTech. Juntamente com o Gh0stTimes, várias outras cargas úteis também foram localizadas nos sistemas comprometidos, tais como downloaders, backdoors, ELF Bifrose, ferramenta de exploração Citrix, ferramenta de exploração MikroTik e muito mais.

Detalhes sobre o Gh0stTimes Malware

A ameaça parece ser uma variante personalizada de um malware observado anteriormente, denominado Gh0st RAT, com seções inteiras de código idênticas entre os dois. Hode qualquer forma, os hackers BlackTech modificaram sua versão e a equiparam com funcionalidade expandida. As funções atualizadas incluem um redirecionamento de servidor de Comando e Controle (C2, C&C) e recursos de proxy.

Uma vez implantado no dispositivo comprometido, Gh0stTimes obtém certas informações sobre o host e tenta estabelecer uma conexão com seu servidor C2. A comunicação entre a ameaça e sua infraestrutura de servidor é criptografada. GhostTimes também contém seções do chamado código fictício que não têm nenhuma função significativa, mas são colocadas lá em uma tentativa de dificultar a análise.

Comandos Ameaçadores

A ameaça GhostTimes reconhece vários comandos de entrada. O mais expansivo diz ao malware para manipular o sistema de arquivos no dispositivo infectado de uma determinada maneira. Os invasores podem abrir arquivos, mover arquivos e diretórios, excluir arquivos, obter dados de arquivos, fazer upload de arquivos e os dados coletados, criar pastas e muito mais . Gh0stTimes também permite que o agente da ameaça execute comandos shell remotos no sistema.

O fato de que as operações de ataque do0 BlackTech ainda estão em andamento significa que as empresas devem tomar as medidas adequadas para detectar e mitigar as ferramentas maliciosas do grupo, tal como o  Gh0stTimes Malware.