Gh0stTimes Malware

Gh0stTimes Malware är ett hot som används i aktiva kampanjer mot japanska mål. Hotaktören som tillskrivs ansvaret för den serie attacker som fortfarande pågår idag är BlackTech -gruppen. Vid sidan av Gh0stTimes har olika andra nyttolaster också upptäckts på de komprometterade systemen, till exempel nedladdare, bakdörrar, ELF Bifrose, Citrix exploit -verktyg, MikroTik -exploateringsverktyg och mer.

Gh0stTimes skadliga programinformation

Hotet verkar vara en anpassad variant av en tidigare observerad skadlig kod som heter Gh0st RAT med hela kodavsnitt identiska mellan de två. HoWever, BlackTech -hackarna modifierade sin version och utrustade den med utökad funktionalitet. De uppgraderade funktionerna inkluderar en Command-and-Control (C2, C&C) serveromdirigering och proxyfunktioner.

När den har distribuerats på den komprometterade enheten tar Gh0stTimes tag i viss information om värden och försöker upprätta en anslutning till sin C2 -server. Kommunikationen mellan hotet och dess serverinfrastruktur är krypterad. Gh0stTimes innehåller också avsnitt av så kallad dummy-kod som inte har någon meningsfull funktion men läggs där i ett försök att hämma analysen.

Hotande kommandon

Hotet Gh0stTimes känner igen flera inkommande kommandon. Den mest expansiva berättar för skadlig programvara att manipulera filsystemet på den infekterade enheten på ett visst sätt. Angriparna kan öppna filer, flytta filer och kataloger, ta bort filer, hämta fildata, ladda upp filer och de samlade data, skapa mappar och mer . Gh0stTimes tillåter också hotaktören att köra fjärrskalskommandon på systemet.

Det faktum att BlackTech -attackoperationerna fortfarande pågår innebär att företag bör vidta lämpliga åtgärder för att upptäcka och mildra gruppens skadliga verktyg som Gh0stTimes -skadlig programvara.