ROMCOM RAT
A ROMCOM RAT egy fenyegető hátsó ajtó, amelyet a Tropical Scorpius nevű fenyegetésfejlesztők használnak, és amely a Cuba Ransomware-hez, más néven COLDDRAW-hoz kapcsolódik.
A ROMCOM RAT úgy van programozva, hogy törölje a váltságdíj fájlokat, összegyűjtse a végrehajtott folyamatok listáját, elindítson egy fordított shellt és adatokat továbbítson egy távoli szerverre. A ROMCOM RAT még fejlesztés alatt áll, és 2022 júniusában egy másik minta került fel egy biztonsági cég adatbázisába.
A ROMCOM RAT első verziója tíz parancsot támogat:
- Egy meghatározott könyvtár letiltása
- Helyezze vissza a könyvlistákat egy meghatározott könyvtárba
- Összefoglalja az aktív folyamatokon keresztül, és összegyűjti a műveletazonosítókat
- Tegye vissza a kapcsolt meghajtó adatait
- Törölje a meghatározott fájlt
- A hipotetikus elemek átvitele a C2-be ZIP-fájlként, az IShellDispatch alkalmazások pedig archetípus-fájlokba
- Csak a ServiceMain által üzemeltethető, ismerős a C2 szerver számára, és 120 000 ms-ig be kell mutatni a műveletet.
- Visszafordítási struktúrát kezdeményez az svchelper.exe audio név és a %ProgramData% mappa alatt
- Töltse le a hipotetikus adatokat, és címkézze fel a worker.txt fájlt a %ProgramData% mappában
- Tevékenységet generál a PID-hamisításban
Az új változat továbbfejlesztett segítséget nyújt 22 új parancshoz, amelyek magukban foglalják a rakományok felfogásának képességét, hogy lefoglalják a képernyőképeket, összegyűjtsék a telepített alkalmazások listáját, és továbbítsák azt a fejlesztők szerverére. A Tropical Scorpius megállás nélkül fejleszti fegyvereit, és minden alkalommal, amikor egy új fenyegetés szabadul fel, az egyre kifinomultabb lesz.