Gh0stTimes Malware

Gh0stTimes Malware es una amenaza que se aprovecha en campañas activas contra objetivos japoneses. El actor de amenazas atribuido a ser responsable de la serie de ataques que aún continúan hoy es el grupo BlackTech. Junto con Gh0stTimes, también se han detectado otras cargas útiles en los sistemas comprometidos, como descargadores, puertas traseras, ELF Bifrose, herramienta de explotación Citrix, herramienta de explotación MikroTik y más.

Detalles de Malware de Gh0stTimes

La amenaza parece ser una variante personalizada de un malware previamente observado llamado Gh0st RAT con secciones completas de código idénticas entre los dos. HoWever, los piratas informáticos de BlackTech modificaron su versión y la equiparon con una funcionalidad ampliada. Las funciones mejoradas incluyen un redireccionamiento del servidor de comando y control (C2, C&C) y capacidades de proxy.

Una vez implementado en el dispositivo comprometido, Gh0stTimes toma cierta información sobre el host e intenta establecer una conexión con su servidor C2. La comunicación entre la amenaza y su infraestructura de servidor está encriptada. Gh0stTimes también contiene secciones del llamado código ficticio que no tienen una función significativa, pero se colocan allí en un intento de obstaculizar el análisis.

Comandos Amenazantes

La amenaza Gh0stTimes reconoce varios comandos entrantes. El más extenso le dice al malware que manipule el sistema de archivos en el dispositivo infectado de cierta manera.Los atacantes pueden abrir archivos, mover archivos y directorios, eliminar archivos, obtener datos de archivos, cargar archivos y los datos recopilados, crear carpetas y más. . Gh0stTimes también permite al actor de amenazas ejecutar comandos de shell remotos en el sistema.

El hecho de que las operaciones de ataque de BlackTech continúen significa que las empresas deben tomar las medidas adecuadas para detectar y mitigar las herramientas maliciosas del grupo, como el malware Gh0stTimes.