ROMCOM老鼠
ROMCOM RAT 是一个威胁性后门,名为热带天蝎座的威胁开发人员正在使用它,它与古巴勒索软件(也称为 COLDDRAW)有关。
ROMCOM RAT 被编程为删除勒索文件、收集正在执行的进程列表、启动反向 shell 并将数据传输到远程服务器。 ROMCOM RAT 仍在开发中,2022 年 6 月,一个不同的样本被上传到一家安全公司的数据库中。
ROMCOM RAT 的第一个版本支持十个命令:
- 禁用确定的目录
- 将书目放回确定的目录
- 通过活动进程概括并收集操作 ID
- 放回附属驱动器数据
- 删除确定的文件
- 将假设作为 ZIP 文件传输到 C2,并将应用程序 IShellDispatch 传输到原型文件
- 只能由ServiceMain操作,熟悉C2服务器并命令动作到睡床120,000毫秒
- 在名称 svchelper.exe 音频和 %ProgramData% 文件夹下启动反转结构
- 下载假设并在 %ProgramData% 文件夹中标记 worker.txt
- 在 PID Spoofing 中生成一个活动
新变体为 22 条新命令提供了改进的帮助,其中包括捕获有效负载以获取屏幕截图以及收集已安装应用程序列表并将其传输到其开发人员的服务器的能力。热带天蝎座正在不停地改进其武器,每次发布新的威胁时,它都会变得更加复杂。
August 12, 2022
