ROMCOM-RATTE
Die ROMCOM RAT ist eine bedrohliche Hintertür, die von Bedrohungsentwicklern namens Tropical Scorpius verwendet wird, die mit der Cuba Ransomware, auch bekannt als COLDDRAW, verwandt ist.
Die ROMCOM RAT ist so programmiert, dass sie Lösegelddateien löscht, die Liste der ausgeführten Prozesse sammelt, eine Reverse-Shell startet und Daten an einen Remote-Server überträgt. Die ROMCOM RAT befindet sich noch in der Entwicklung und im Juni/2022 wurde ein anderes Muster in die Datenbank eines Sicherheitsunternehmens hochgeladen.
Die erste Version der ROMCOM RAT unterstützt zehn Befehle:
- Deaktivieren Sie ein bestimmtes Verzeichnis
- Legen Sie Bucheinträge in einem bestimmten Verzeichnis zurück
- Rekapitulieren Sie über aktive Prozesse und sammeln Sie Aktions-IDs
- Stellen Sie verbundene Laufwerksdaten zurück
- Bestimmte Datei löschen
- Übertragen Sie Hypothesen als ZIP-Dateien an C2 und Anwendungen IShellDispatch an Archetyp-Dateien
- Kann nur von ServiceMain betrieben werden, ist dem C2-Server vertraut und befehlt die Aktion für 120.000 ms auf Wiedersehen
- Initiiert eine Umkehrstruktur unterhalb des Namens svchelper.exe audio und des Ordners %ProgramData%
- Laden Sie Hypothesen herunter und kennzeichnen Sie die worker.txt im Ordner %ProgramData%
- Erzeugt eine Aktivität im PID-Spoofing
Die neue Variante bietet verbesserte Unterstützung für 22 neue Befehle, darunter die Fähigkeit, Payloads abzufangen, um Screenshots zu erfassen und eine Liste installierter Anwendungen zu sammeln und an den Server seiner Entwickler zu übertragen. Tropical Scorpius arbeitet ununterbrochen daran, seine Waffen zu verbessern, und jedes Mal, wenn eine neue Bedrohung veröffentlicht wird, wird sie raffinierter.