JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は9月28日、公式ブログ「JPCERT/CC Eyes」において、「Gh0stTimes」と呼ばれるトロイの木馬型マルウェアについて解説する記事「攻撃グループBlackTechが使用するマルウェアGh0stTimes」を公開した。Gh0stTimesは国内の攻撃グループ「BlackTech」が使っていると考えられているマルウェアで、リモートから感染ホストのファイルを操作して機密情報を盗み出す。
JPCERT/CCの分析では、Gh0stTimesは2020年頃から確認されているマルウェアで、それ以前に確認されていた「Gh0st RAT」と呼ばれるマルウェアをカスタマイズして作成されたことを確認しているという。したがって、基本的にはGh0st RATと同様の仕組みで動作する。
Gh0stTimesは感染に成功すると独自プロトコルを用いて外部のサーバ(C2サーバ)との通信を行う。最初の通信で認証に成功したら、続いてホスト名やユーザ名などの感染ホストの情報をC2サーバに送信する。その後、コマンドの送受信が行われる。通信内容は、最初の通信で交換する暗号化キーを使って暗号化される。
Gh0stTimesで実行可能なコマンドは、大きく次の5種類に分類されている。
- FileManager: ファイル操作関連のコマンド
- ShellManager: リモートシェル実行
- PortmapManager: C2サーバリダイレクト機能
- UltraPortmapManager: プロキシ機能実行
- 名前なし: 通信終了
-
Gh0stTimesのコマンド一覧 引用:JPCERT/CC Eyes
これらのコマンドはC2サーバのコントロールパネルから実行できる。JPCERT/CC Eyesの記事には、実行可能なコマンドの一覧表も掲載されている。
-
Gh0stTimesのコントロールパネル 引用:JPCERT/CC Eyes
BlackTechは現在も引き続き活動を続けているため、JPCERT/CCでは今後もGh0stTimesをはじめとするマルウェアによる侵害に注意するよう呼びかけている。
Rustで有名アルゴリズムに挑戦 第18回 Rustでライフゲームを作ってみよう
