ROMCOM SZCZUR
ROMCOM RAT to groźny backdoor używany przez twórców zagrożeń o nazwie Tropical Scorpius, który jest powiązany z oprogramowaniem ransomware Cuba, znanym również jako COLDDRAW.
ROMCOM RAT jest zaprogramowany do usuwania plików okupu, zbierania listy wykonywanych procesów, uruchamiania odwróconej powłoki i przesyłania danych do zdalnego serwera. ROMCOM RAT jest nadal rozwijany, aw czerwcu/2022 r. do bazy danych firmy ochroniarskiej wprowadzono inną próbkę.
Pierwsza wersja ROMCOM RAT obsługuje dziesięć poleceń:
- Wyłącz określony katalog
- Umieść z powrotem aukcje książek w określonym katalogu
- Podsumuj poprzez aktywne procesy i zbierz identyfikatory akcji
- Odłóż dane z dysków powiązanych
- Zniszcz plik określony
- Przenieś hipotezy do C2 jako pliki ZIP, a aplikacje IShellDispatch do plików archetypów
- Może być obsługiwany tylko przez ServiceMain, znany z serwera C2 i nakazuje akcję na pożegnanie przez 120 000 ms
- Inicjuje strukturę odwrócenia poniżej nazwy audio svchelper.exe i folderu %ProgramData%
- Pobierz hipotezy i oznacz plik worker.txt w folderze %ProgramData%
- Generuje aktywność w PID Spoofing
Nowy wariant zapewnia ulepszoną pomoc dla 22 nowych poleceń, w tym możliwość przechwytywania ładunków w celu przechwytywania zrzutów ekranu oraz gromadzenia listy zainstalowanych aplikacji i przesyłania jej na serwer jej programistów. Tropical Scorpius nieustannie pracuje nad ulepszaniem swojej broni, a za każdym razem, gdy pojawia się nowe zagrożenie, staje się bardziej wyrafinowany.