ROMCOM RATTA
ROMCOM RAT är en hotfull bakdörr som används av hotutvecklare vid namn Tropical Scorpius, som är relaterad till Cuba Ransomware, även känd som COLDDRAW.
ROMCOM RAT är programmerad att ta bort lösensummafiler, samla in listan över processer som exekveras, starta ett omvänt skal och överföra data till en fjärrserver. ROMCOM RAT utvecklas fortfarande och i juni/2022 laddades ett annat exempel upp till databasen hos ett säkerhetsföretag.
Den första versionen av ROMCOM RAT stöder tio kommandon:
- Inaktivera en bestämd katalog
- Lägg tillbaka boklistor på en bestämd katalog
- Rekapitulera via aktiva processer och samla in handlings-ID
- Lägg tillbaka anslutna enhetsdata
- Radera fastställd fil
- Överför hypotetik till C2 som ZIP-filer och applikationer IShellDispatch till arketypfiler
- Kan endast drivas av ServiceMain, bekant med C2-servern och beordra åtgärden att gå till sängs i 120 000 ms
- Initierar en omvändningsstruktur under namnet svchelper.exe ljud och mappen %ProgramData%.
- Ladda ner hypotetiska uppgifter och märk worker.txt i mappen %ProgramData%.
- Genererar en aktivitet i PID-spoofing
Den nya varianten ger förbättrad assistans till 22 nya kommandon, som inkluderar möjligheten att fånga nyttolaster för att ta skärmdumpar och samla in en lista över installerade applikationer och överföra den till utvecklarnas server. Tropical Scorpius arbetar nonstop för att förbättra sina vapen, och varje gång ett nytt hot släpps blir det mer sofistikerat.