Gh0stTimes Malware

Description de Gh0stTimes Malware

Le malware Gh0stTimes est une menace exploitée dans des campagnes actives contre des cibles japonaises. L'acteur de la menace attribué à être responsable de la série d'attaques qui se poursuivent encore aujourd'hui est le groupe BlackTech. Parallèlement à Gh0stTimes, diverses autres charges utiles ont également été repérées sur les systèmes compromis, tels que les téléchargeurs, les portes dérobées, ELF Bifrose, l'outil d'exploitation Citrix, l'outil d'exploitation MikroTik, etc.

Détails sur les logiciels malveillants de Gh0stTimes

La menace semble être une variante personnalisée d'un malware précédemment observé nommé Gh0st RAT avec des sections entières de code identiques entre les deux. HoCependant, les pirates de BlackTech ont modifié leur version et l'ont dotée de fonctionnalités étendues. Les fonctions mises à niveau incluent une redirection de serveur Command-and-Control (C2, C&C) et des capacités de proxy.

Une fois déployé sur l'appareil compromis, Gh0stTimes récupère certaines informations sur l'hôte et tente d'établir une connexion avec son serveur C2. La communication entre la menace et son infrastructure de serveur est cryptée. Gh0stTimes contient également des sections de code soi-disant factice qui n'ont aucune fonction significative mais qui sont mises là pour tenter d'entraver l'analyse.

Commandes menaçantes

La menace Gh0stTimes reconnaît plusieurs commandes entrantes. Le plus expansif indique au malware de manipuler le système de fichiers sur l'appareil infecté d'une certaine manière. Les attaquants peuvent ouvrir des fichiers, déplacer des fichiers et des répertoires, supprimer des fichiers, obtenir des données de fichiers, télécharger des fichiers et les données collectées, créer des dossiers et plus encore . Gh0stTimes permet également à l'acteur menaçant d'exécuter des commandes shell à distance sur le système.

Le fait que les opérations d'attaque BlackTech soient toujours en cours signifie que les entreprises doivent prendre les mesures appropriées pour détecter et atténuer les outils malveillants du groupe tels que le malware Gh0stTimes.