ROMCOM RAT
ROMCOM RAT yra grėsmingos užpakalinės durys, kurias naudoja grėsmių kūrėjai, pavadinti Tropical Scorpius, kuri yra susijusi su Cuba Ransomware, taip pat žinoma kaip COLDDRAW.
ROMCOM RAT yra užprogramuotas ištrinti išpirkos failus, surinkti vykdomų procesų sąrašą, paleisti atvirkštinį apvalkalą ir perkelti duomenis į nuotolinį serverį. ROMCOM RAT vis dar kuriamas, o 2022 m. birželio mėn. į saugos įmonės duomenų bazę buvo įkeltas kitas pavyzdys.
Pirmoji ROMCOM RAT versija palaiko dešimt komandų:
- Išjungti nustatytą katalogą
- Grąžinkite knygų sąrašus į nustatytą katalogą
- Apibendrinkite per aktyvius procesus ir surinkite veiksmų ID
- Atkurkite susijusio disko duomenis
- Ištrinti nustatytą failą
- Perkelkite hipotetinius duomenis į C2 kaip ZIP failus ir programas IShellDispatch į archetipų failus
- Gali valdyti tik „ServiceMain“, pažįstamas C2 serveriui ir 120 000 ms veiksmo komandą „Beddy bye“
- Inicijuoja atvirkštinę struktūrą po svchelper.exe garso pavadinimu ir aplanku %ProgramData%
- Atsisiųskite hipotetinius duomenis ir aplanke %ProgramData% pažymėkite failą worker.txt
- Sugeneruoja PID klastojimo veiklą
Naujasis variantas suteikia patobulintą pagalbą 22 naujoms komandoms, kurios apima galimybę sugauti naudingus krovinius, kad būtų galima užfiksuoti ekrano kopijas, surinkti įdiegtų programų sąrašą ir perduoti jį kūrėjų serveriui. Tropical Scorpius be perstojo tobulina savo ginklus, ir kiekvieną kartą, kai išleidžiama nauja grėsmė, ji tampa vis sudėtingesnė.