Gh0st RAT, инструмент удаленного администрирования с открытым исходным кодом (RAT), недавно появился в фишинговых кампаниях, направленных на медицинские организации. Инструмент удаленного администрирования Gh0st был создан китайской хакерской группой под названием C. Rufus Security Team, которая выпустила его в открытый доступ в 2008 году. Публичный выпуск исходного кода Gh0st RAT облегчил субъектам угроз получение и адаптацию инструмента под свои нужды.
С годами набор его функций расширился и стал включать различные возможности наблюдения, сохранения и похищения информации:
- полный контроль над зараженной машиной
- запись нажатий клавиш в режиме реального времени с возможностью ведения журнала в автономном режиме
- доступ к прямым трансляциям с веб-камер, включая запись с микрофона
- удаленное скачивание файлов
- удаленное выключение и перезагрузка
- Отключение ввода данных пользователем
Indicators of Compromise
IPv4
- 61.160.223.114
IPv4 Port Combinations
- 61.160.223.114:18076
URLs
- http://61.160.223.114:18076
- http://datacache.cloudservicesdevc.tk/picturess/2023/223.114.txt
- http://datacache.cloudservicesdevc.tk/picturess/2023/LiveUpdate.exe
- http://datacache.cloudservicesdevc.tk/picturess/2023/LiveUpdate360.dat
- http://datacache.cloudservicesdevc.tk/picturess/2023/Media.xml
- http://datacache.cloudservicesdevc.tk/picturess/2023/SqlVersion9.dll
- https://api.youkesdt.asia/admin/down/hash/79b7c6ed-c4d8-4b36-b1cd-f968e6570010
MD5
- 317f9ff06c076e87e5b1d11242396d5f
- 4723a2a8f68c1eaf82809cff29b8e56f
- 91aab4bbe634be62d11d132738c23a82
- 96e4b47a136910d6f588b40d872e7f9d
- 9e6c45b6b8b20bf3c5959dbba8f27117
- f149d3f3ef0361ebe4d346811f29b527
