ROMCOM老鼠
ROMCOM RAT 是一個威脅性後門,名為熱帶天蠍座的威脅開發人員正在使用它,它與古巴勒索軟件(也稱為 COLDDRAW)有關。
ROMCOM RAT 被編程為刪除勒索文件、收集正在執行的進程列表、啟動反向 shell 並將數據傳輸到遠程服務器。 ROMCOM RAT 仍在開發中,2022 年 6 月,一個不同的樣本被上傳到一家安全公司的數據庫中。
ROMCOM RAT 的第一個版本支持十個命令:
- 禁用確定的目錄
- 將書目放回確定的目錄
- 通過活動進程概括並收集操作 ID
- 放回附屬驅動器數據
- 刪除確定的文件
- 將假設作為 ZIP 文件傳輸到 C2,並將應用程序 IShellDispatch 傳輸到原型文件
- 只能由ServiceMain操作,熟悉C2服務器並命令動作到睡床120,000毫秒
- 在名稱 svchelper.exe 音頻和 %ProgramData% 文件夾下啟動反轉結構
- 下載假設並在 %ProgramData% 文件夾中標記 worker.txt
- 在 PID Spoofing 中生成一個活動
新變體為 22 條新命令提供了改進的幫助,其中包括捕獲有效負載以獲取屏幕截圖以及收集已安裝應用程序列表並將其傳輸到其開發人員的服務器的能力。熱帶天蠍座正在不停地改進其武器,每次發布新的威脅時,它都會變得更加複雜。
August 12, 2022
