ROMCOM RAT
De ROMCOM RAT is een dreigende achterdeur die wordt gebruikt door dreigingsontwikkelaars genaamd Tropical Scorpius, die gerelateerd is aan de Cuba Ransomware, ook bekend als COLDDRAW.
De ROMCOM RAT is geprogrammeerd om losgeldbestanden te verwijderen, de lijst met processen die worden uitgevoerd te verzamelen, een reverse shell te starten en gegevens over te dragen naar een externe server. De ROMCOM RAT is nog in ontwikkeling en in juni/2022 is een ander monster geüpload naar de database van een beveiligingsbedrijf.
De eerste versie van de ROMCOM RAT ondersteunt tien commando's:
- Een bepaalde map uitschakelen
- Zet boekvermeldingen terug in een bepaalde directory
- Recapituleren via actieve processen en actie-ID's verzamelen
- Zet geaffilieerde schijfgegevens terug
- Vastgesteld bestand wissen
- Breng hypothetische gegevens over naar C2 als ZIP-bestanden, en toepassingen IShellDispatch naar archetypebestanden
- Kan alleen worden bediend door ServiceMain, bekend bij de C2-server en geeft opdracht tot beddy-bye gedurende 120.000 ms
- Start een omkeringsstructuur onder de naam svchelper.exe audio en de map %ProgramData%
- Download hypothetische gegevens en label de worker.txt in de map %ProgramData%
- Genereert een activiteit in de PID-spoofing
De nieuwe variant biedt verbeterde ondersteuning voor 22 nieuwe commando's, waaronder de mogelijkheid om payloads te vangen om schermafbeeldingen te maken en om een lijst met geïnstalleerde applicaties te verzamelen en deze naar de server van de ontwikkelaars te verzenden. Tropical Scorpius werkt non-stop om zijn wapens te verbeteren, en elke keer dat een nieuwe dreiging wordt vrijgegeven, wordt deze geavanceerder.