ROMCOM RATTE
ROMCOM RAT er en truende bagdør, der bliver brugt af trusselsudviklere ved navn Tropical Scorpius, som er relateret til Cuba Ransomware, også kendt som COLDDRAW.
ROMCOM RAT er programmeret til at slette løsesum-filer, samle listen over de processer, der udføres, starte en omvendt shell og overføre data til en fjernserver. ROMCOM RAT er stadig under udvikling, og i juni/2022 blev en anden prøve uploadet til databasen for et sikkerhedsfirma.
Den første version af ROMCOM RAT understøtter ti kommandoer:
- Deaktiver en bestemt mappe
- Sæt bogfortegnelser tilbage på en bestemt mappe
- Rekapituler via aktive processer og saml handlings-id'er
- Sæt tilknyttede drevdata tilbage
- Slet bestemt fil
- Overfør hypotetiske data til C2 som ZIP-filer, og applikationer IShellDispatch til arketypefiler
- Kan kun betjenes af ServiceMain, kendt for C2-serveren og kommanderer handlingen til beddy-bye i 120.000 ms
- Starter en vendingsstruktur under navnet svchelper.exe lyd og mappen %ProgramData%.
- Download hypotetik og mærk worker.txt i mappen %ProgramData%.
- Genererer en aktivitet i PID-spoofing
Den nye variant giver forbedret assistance til 22 nye kommandoer, som inkluderer evnen til at fange nyttelast for at beslaglægge skærmbilleder og til at indsamle en liste over installerede applikationer og overføre den til dens udvikleres server. Tropical Scorpius arbejder non-stop på at forbedre sine våben, og hver gang en ny trussel frigives, bliver den mere sofistikeret.
