ロムコムラット

ROMCOM RAT は、COLDDRAW としても知られるキューバ ランサムウェアに関連する、Tropical Scorpius という名前の脅威開発者によって使用されている脅威的なバックドアです。

ROMCOM RAT は、身代金ファイルを削除し、実行中のプロセスのリストを収集し、リバース シェルを開始し、データをリモート サーバーに転送するようにプログラムされています。 ROMCOM RAT は現在も開発中で、2022 年 6 月に別のサンプルがセキュリティ会社のデータベースにアップロードされました。

ROMCOM RAT の最初のバージョンでは、10 個のコマンドがサポートされています。

• 特定のディレクトリを無効にする
• 指定されたディレクトリに本のリストを戻す
• アクティブなプロセスを介して要約し、アクション ID を収集します
• 関連ドライブのデータを元に戻す
• 決定されたファイルの消去
• 仮説を ZIP ファイルとして C2 に転送し、アプリケーション IShellDispatch をアーキタイプ ファイルに転送
• ServiceMain のみで操作でき、C2 サーバーになじみがあり、120,000 ミリ秒の間ベッドディバイのアクションを命令します
• svchelper.exe audio という名前と %ProgramData% フォルダーの下で反転構造を開始します。
• 仮説をダウンロードし、%ProgramData% フォルダーの worker.txt にラベルを付けます
• PID Spoofing でアクティビティを生成します

新しい亜種は、ペイロードをキャッチしてスクリーンショットを取得し、インストールされているアプリケーションのリストを収集して開発者のサーバーに送信する機能を含む、22 の新しいコマンドに対する支援を改善します。熱帯スコーピウスは、武器の改良に絶え間なく取り組んでおり、新しい脅威がリリースされるたびに、より洗練されたものになっています。