Gh0stTimes 惡意軟件

Gh0stTimes 惡意軟件說明

Gh0stTimes 惡意軟件是在針對日本目標的活動中利用的威脅。被認為對今天仍在進行的一系列攻擊負責的威脅行為者是BlackTech組織。除了 Gh0stTimes,在受感染的系統上還發現了其他各種有效載荷,例如下載器、後門、ELF Bifrose、Citrix 漏洞利用工具、MikroTik 漏洞利用工具等。

Gh0stTimes 的惡意軟件詳細信息

該威脅似乎是先前觀察到的名為Gh0st RAT 的惡意軟件的定制變體,兩者的整個代碼部分完全相同。何但是,BlackTech 黑客修改了他們的版本並為其配備了擴展功能。升級後的功能包括命令與控制(C2、C&C)服務器重定向和代理功能。

一旦部署在受感染的設備上,Gh0stTimes 就會獲取有關主機的某些信息並嘗試與其 C2 服務器建立連接。威脅與其服務器基礎設施之間的通信是加密的。 Gh0stTimes 還包含所謂的虛擬代碼部分,這些代碼沒有提供任何有意義的功能,只是為了妨礙分析而放在那裡。

威脅命令

Gh0stTimes 威脅可識別多個傳入命令。最廣泛的一種告訴惡意軟件以某種方式操縱受感染設備上的文件系統,攻擊者可以打開文件、移動文件和目錄、刪除文件、獲取文件數據、上傳文件和收集的數據、創建文件夾等. Gh0stTimes 還允許威脅行為者在系統上運行遠程 shell 命令。

BlackTech 攻擊行動仍在進行的事實意味著公司應採取適當措施來檢測和緩解該組織的惡意工具,例如 Gh0stTimes 惡意軟件。