ROMCOM RAT
Το ROMCOM RAT είναι ένα απειλητικό backdoor που χρησιμοποιείται από προγραμματιστές απειλών με το όνομα Tropical Scorpius, το οποίο σχετίζεται με το Cuba Ransomware, γνωστό και ως COLDDRAW.
Το ROMCOM RAT είναι προγραμματισμένο να διαγράφει αρχεία λύτρων, να συλλέγει τη λίστα των διεργασιών που εκτελούνται, να ξεκινά ένα αντίστροφο κέλυφος και να μεταφέρει δεδομένα σε έναν απομακρυσμένο διακομιστή. Το ROMCOM RAT βρίσκεται ακόμη υπό ανάπτυξη και, τον Ιούνιο/2022, ένα διαφορετικό δείγμα ανέβηκε στη βάση δεδομένων μιας εταιρείας ασφαλείας.
Η πρώτη έκδοση του ROMCOM RAT υποστηρίζει δέκα εντολές:
- Απενεργοποιήστε έναν καθορισμένο κατάλογο
- Τοποθετήστε ξανά τις λίστες βιβλίων σε έναν καθορισμένο κατάλογο
- Ανακεφαλαιώστε μέσω ενεργών διεργασιών και συγκεντρώστε αναγνωριστικά ενεργειών
- Επαναφέρετε τα συνδεδεμένα δεδομένα μονάδας δίσκου
- Διαγραφή καθορισμένου αρχείου
- Μεταφέρετε υποθετικά στο C2 ως αρχεία ZIP και εφαρμογές IShellDispatch σε αρχεία αρχέτυπου
- Μπορεί να λειτουργήσει μόνο από ServiceMain, που είναι εξοικειωμένος με τον διακομιστή C2 και εντολή για την ενέργεια στο beddy-bye για 120.000 ms
- Εκκινεί μια δομή αντιστροφής κάτω από το όνομα svchelper.exe audio και το φάκελο %ProgramData%
- Κάντε λήψη των υποθετικών και επισημάνετε το worker.txt στο φάκελο %ProgramData%.
- Δημιουργεί μια δραστηριότητα στο PID Spoofing
Η νέα παραλλαγή παρέχει βελτιωμένη βοήθεια σε 22 νέες εντολές, οι οποίες περιλαμβάνουν τη δυνατότητα σύλληψης ωφέλιμου φορτίου για την κατάληψη στιγμιότυπων οθόνης και τη συλλογή μιας λίστας εγκατεστημένων εφαρμογών και τη μετάδοσή της στον διακομιστή των προγραμματιστών της. Ο Tropical Scorpius εργάζεται ασταμάτητα για να βελτιώσει τα όπλα του και κάθε φορά που απελευθερώνεται μια νέα απειλή, γίνεται πιο περίπλοκος.