ROM COM RATO
O ROMCOM RAT é um backdoor ameaçador que está sendo usado por desenvolvedores de ameaças chamados Tropical Scorpius, que está relacionado ao Cuba Ransomware, também conhecido como COLDDRAW.
O ROMCOM RAT está programado para excluir arquivos de resgate, coletar a lista dos processos que estão sendo executados, iniciar um shell reverso e transferir dados para um servidor remoto. O ROMCOM RAT ainda está sendo desenvolvido e, em junho/2022, uma amostra diferente foi carregada no banco de dados de uma empresa de segurança.
A primeira versão do ROMCOM RAT suporta dez comandos:
- Desabilitar um determinado diretório
- Colocar de volta as listagens de livros em um diretório determinado
- Recapitule por meio de processos ativos e colete IDs de ação
- Colocar de volta os dados da unidade afiliada
- Excluir arquivo determinado
- Transferir hipotéticos para C2 como arquivos ZIP e aplicativos IShellDispatch para arquivos de arquétipo
- Pode ser operado apenas pelo ServiceMain, familiar ao servidor C2 e comandar a ação para beddy-bye por 120.000 ms
- Inicia uma estrutura de reversão abaixo do nome svchelper.exe audio e da pasta %ProgramData%
- Baixe hipotéticos e rotule o arquivo worker.txt na pasta %ProgramData%
- Gera uma atividade no PID Spoofing
A nova variante oferece assistência aprimorada a 22 novos comandos, que incluem a capacidade de capturar cargas úteis para capturar capturas de tela e coletar uma lista de aplicativos instalados e transmiti-la ao servidor de seus desenvolvedores. Tropical Scorpius está trabalhando sem parar para melhorar suas armas, e cada vez que uma nova ameaça é lançada, ela se torna mais sofisticada.