Gh0stTimes Вредоносное ПО

Вредоносное ПО Gh0stTimes - это угроза, используемая в активных кампаниях против японских целей. Актером угрозы, которого приписывают ответственность за серию атак, которые все еще продолжаются, является группа BlackTech. Наряду с Gh0stTimes на скомпрометированных системах также были обнаружены различные другие полезные нагрузки, такие как загрузчики, бэкдоры, ELF Bifrose, инструмент эксплойтов Citrix, инструмент эксплойтов MikroTik и многое другое.

Подробная информация о вредоносном ПО Gh0stTimes

Угроза представляет собой модифицированный вариант ранее обнаруженного вредоносного ПО под названием Gh0st RAT, в котором целые участки кода идентичны. ХоКроме того, хакеры BlackTech модифицировали свою версию и оснастили ее расширенным функционалом. Обновленные функции включают перенаправление сервера Command-and-Control (C2, C&C) и возможности прокси.

После развертывания на взломанном устройстве Gh0stTimes собирает определенную информацию о хосте и пытается установить соединение с его сервером C2. Связь между угрозой и ее серверной инфраструктурой зашифрована. Gh0stTimes также содержит разделы так называемого фиктивного кода, который не выполняет никакой значимой функции, но помещен туда в попытке затруднить анализ.

Угрожающие команды

Угроза Gh0stTimes распознает несколько входящих команд. Самый обширный из них указывает вредоносному ПО манипулировать файловой системой на зараженном устройстве определенным образом. Злоумышленники могут открывать файлы, перемещать файлы и каталоги, удалять файлы, получать данные о файлах, загружать файлы и собранные данные, создавать папки и т. Д. . Gh0stTimes также позволяет злоумышленнику запускать удаленные команды оболочки в системе.

Тот факт, что атаки BlackTech все еще продолжаются, означает, что компании должны принять соответствующие меры для обнаружения и устранения вредоносных инструментов группы, таких как вредоносное ПО Gh0stTimes.