Gh0stTimes-Malware

Gh0stTimes-Malware-Beschreibung

Die Gh0stTimes-Malware ist eine Bedrohung, die in aktiven Kampagnen gegen japanische Ziele eingesetzt wird. Als Bedrohungsakteur für die bis heute andauernde Angriffsserie wird der Konzern BlackTech zugeschrieben. Neben Gh0stTimes wurden auch verschiedene andere Nutzlasten auf den kompromittierten Systemen entdeckt, wie Downloader, Backdoors, ELF Bifrose, Citrix Exploit-Tool, MikroTik Exploit-Tool und mehr.

Details zur Malware von Gh0stTimes

Die Bedrohung scheint eine angepasste Variante einer zuvor beobachteten Malware namens Gh0st RAT zu sein, bei der ganze Codeabschnitte identisch sind. Allerdings haben die BlackTech-Hacker ihre Version modifiziert und mit erweiterten Funktionen ausgestattet. Zu den verbesserten Funktionen gehören eine Command-and-Control (C2, C&C)-Serverumleitung und Proxy-Funktionen.

Nach der Bereitstellung auf dem kompromittierten Gerät erfasst Gh0stTimes bestimmte Informationen über den Host und versucht, eine Verbindung zu seinem C2-Server herzustellen. Die Kommunikation zwischen der Bedrohung und ihrer Serverinfrastruktur ist verschlüsselt. Gh0stTimes enthält auch Abschnitte von sogenanntem Dummy-Code, der keine sinnvolle Funktion hat, sondern dort platziert wird, um die Analyse zu erschweren.

Bedrohliche Befehle

Die Gh0stTimes-Bedrohung erkennt mehrere eingehende Befehle. Die umfangreichste weist die Malware an, das Dateisystem auf dem infizierten Gerät auf eine bestimmte Weise zu manipulieren. Die Angreifer können Dateien öffnen, Dateien und Verzeichnisse verschieben, Dateien löschen, Dateidaten abrufen, Dateien und die gesammelten Daten hochladen, Ordner erstellen und mehr . Gh0stTimes ermöglicht es dem Bedrohungsakteur auch, Remote-Shell-Befehle auf dem System auszuführen.

Die Tatsache, dass die BlackTech-Angriffsoperationen immer noch andauern, bedeutet, dass Unternehmen geeignete Maßnahmen ergreifen sollten, um die bösartigen Tools des Konzerns wie die Gh0stTimes-Malware zu erkennen und abzuwehren.