РОМКОМ КРЫСА
ROMCOM RAT — это угрожающий бэкдор, используемый разработчиками угроз под названием Tropical Scorpius, связанный с программой-вымогателем Cuba, также известной как COLDDRAW.
ROMCOM RAT запрограммирован на удаление файлов-вымогателей, сбор списка выполняемых процессов, запуск обратной оболочки и передачу данных на удаленный сервер. ROMCOM RAT все еще находится в разработке, и в июне 2022 года в базу данных охранной компании был загружен другой образец.
Первая версия ROMCOM RAT поддерживает десять команд:
- Отключить определенный каталог
- Верните списки книг в определенный каталог
- Повторите через активные процессы и соберите идентификаторы действий
- Верните данные связанного диска
- Удалить определенный файл
- Перенесите гипотетические объекты на C2 в виде ZIP-файлов, а приложения IShellDispatch — в файлы архетипов.
- Может управляться только ServiceMain, знаком с сервером C2 и дает команду на постельное прощание в течение 120 000 мс.
- Инициирует реверсивную структуру под именем svchelper.exe audio и папкой %ProgramData%
- Загрузите гипотетические версии и пометьте файл worker.txt в папке %ProgramData%
- Генерирует активность в PID Spoofing
В новом варианте улучшена поддержка 22 новых команд, в том числе возможность перехватывать полезные нагрузки для захвата скриншотов, а также собирать список установленных приложений и передавать его на сервер его разработчиков. Тропический Скорпиус безостановочно работает над улучшением своего оружия, и каждый раз, когда появляется новая угроза, оно становится все более изощренным.
