Gh0stTimesマルウェア

Gh0stTimesマルウェア 説明

Gh0stTimesマルウェアは、日本のターゲットに対する積極的なキャンペーンで悪用される脅威です。現在も進行中の一連の攻撃の原因であるとされる脅威アクターは、 BlackTechグループです。 Gh0stTimesに加えて、ダウンローダー、バックドア、ELF Bifrose、Citrixエクスプロイトツール、MikroTikエクスプロイトツールなど、他のさまざまなペイロードも侵害されたシステムで発見されています。

Gh0stTimesのマルウェアの詳細

この脅威は、Gh0st RATという名前の以前に観察されたマルウェアのカスタマイズされた亜種であり、コードのセクション全体が2つの間で同一であるように見えます。ホーウィーバー、BlackTechハッカーはバージョンを変更し、拡張機能を装備しました。アップグレードされた機能には、コマンドアンドコントロール(C2、C&C)サーバーリダイレクトおよびプロキシ機能が含まれます。

侵害されたデバイスに展開されると、Gh0stTimesはホストに関する特定の情報を取得し、そのC2サーバーへの接続を確立しようとします。脅威とそのサーバーインフラストラクチャ間の通信は暗号化されています。 Gh0stTimesには、意味のある機能を提供しない、いわゆるダミーコードのセクションも含まれていますが、分析を妨げるためにそこに配置されています。

脅迫コマンド

Gh0stTimes脅威は、いくつかの着信コマンドを認識します。最も拡張性の高いものは、感染したデバイス上のファイルシステムを特定の方法で操作するようにマルウェアに指示します。攻撃者は、ファイルを開いたり、ファイルやディレクトリを移動したり、ファイルを削除したり、ファイルデータを取得したり、ファイルや収集したデータをアップロードしたり、フォルダを作成したりできます。 。 Gh0stTimesを使用すると、攻撃者はシステム上でリモートシェルコマンドを実行することもできます。

BlackTechの攻撃操作がまだ進行中であるという事実は、企業がGh0stTimesマルウェアなどのグループの悪意のあるツールを検出して軽減するための適切な対策を講じる必要があることを意味します。