Gh0stTimes 恶意软件
Gh0stTimes 恶意软件是在针对日本目标的活动中利用的威胁。被认为对今天仍在进行的一系列攻击负责的威胁行为者是BlackTech组织。除了 Gh0stTimes,在受感染的系统上还发现了其他各种有效载荷,例如下载器、后门、ELF Bifrose、Citrix 漏洞利用工具、MikroTik 漏洞利用工具等。
Gh0stTimes 的恶意软件详细信息
该威胁似乎是先前观察到的名为Gh0st RAT 的恶意软件的定制变体,两者的整个代码部分完全相同。何但是,BlackTech 黑客修改了他们的版本并为其配备了扩展功能。升级后的功能包括命令与控制(C2、C&C)服务器重定向和代理功能。
一旦部署在受感染的设备上,Gh0stTimes 就会获取有关主机的某些信息并尝试与其 C2 服务器建立连接。威胁与其服务器基础设施之间的通信是加密的。 Gh0stTimes 还包含所谓的虚拟代码部分,这些代码没有提供任何有意义的功能,只是为了妨碍分析而放在那里。
威胁命令
Gh0stTimes 威胁可识别多个传入命令。最广泛的一种告诉恶意软件以某种方式操纵受感染设备上的文件系统,攻击者可以打开文件、移动文件和目录、删除文件、获取文件数据、上传文件和收集的数据、创建文件夹等. Gh0stTimes 还允许威胁行为者在系统上运行远程 shell 命令。
BlackTech 攻击行动仍在进行的事实意味着公司应采取适当措施来检测和缓解该组织的恶意工具,例如 Gh0stTimes 恶意软件。
