Gh0stTimes Malware

Gh0stTimes Kötü Amaçlı Yazılımı, Japon hedeflerine karşı aktif kampanyalarda kullanılan bir tehdittir. Bugün hala devam eden bir dizi saldırının sorumlusu olarak atfedilen tehdit aktörü BlackTech grubudur. Gh0stTimes'ın yanı sıra, indiriciler, arka kapılar, ELF Bifrose, Citrix istismar aracı, MikroTik istismar aracı ve daha fazlası gibi güvenliği ihlal edilmiş sistemlerde çeşitli diğer yükler de tespit edildi.

Gh0stTimes' Kötü Amaçlı Yazılım Ayrıntıları

Tehdit, daha önce gözlemlenen Gh0st RAT adlı kötü amaçlı yazılımın özelleştirilmiş bir varyantı gibi görünüyor ve ikisi arasında tüm kod bölümleri aynı. HoBlackTech korsanları, sürümlerini değiştirdiler ve genişletilmiş işlevsellik ile donattılar. Yükseltilmiş işlevler, bir Komuta ve Kontrol (C2, C&C) sunucu yönlendirmesi ve proxy özelliklerini içerir.

Gh0stTimes, güvenliği ihlal edilmiş cihaza dağıtıldığında, ana bilgisayar hakkında belirli bilgileri alır ve C2 sunucusuyla bağlantı kurmaya çalışır. Tehdit ile sunucu altyapısı arasındaki iletişim şifrelenir. Gh0stTimes ayrıca anlamlı bir işleve hizmet etmeyen ancak analizi engellemek amacıyla oraya yerleştirilen sözde sahte kod bölümlerini de içerir.

Tehdit Eden Komutlar

Gh0stTimes tehdidi, gelen birkaç komutu tanır. En yaygın olanı, kötü amaçlı yazılıma, virüslü cihazdaki dosya sistemini belirli bir şekilde manipüle etmesini söyler, Saldırganlar dosyaları açabilir, dosya ve dizinleri taşıyabilir, dosyaları silebilir, dosya verilerini alabilir, dosyaları ve toplanan verileri karşıya yükleyebilir, klasörler oluşturabilir ve daha fazlasını yapabilir. . Gh0stTimes ayrıca tehdit aktörünün sistemde uzak kabuk komutları çalıştırmasına izin verir.

BlackTech saldırı operasyonlarının hala devam ediyor olması, şirketlerin Gh0stTimes kötü amaçlı yazılımı gibi grubun kötü niyetli araçlarını tespit etmek ve azaltmak için uygun önlemleri almaları gerektiği anlamına geliyor.