پژوهشگران امنیتی نسخه جدیدی از بدافزار Sarwent را شناسایی کردهاند که پورت RDP بر روی رایانههای آلوده را باز میکند تا مهاجمین بتوانند به این سیستمها دسترسی پیدا کنند.
پژوهشگران معتقدند که هدف اصلی عوامل بدافزار Sarwent فراهم کردن دسترسی راه دور به پورت RDP به منظور فروش این دسترسیها به سایر مجرمین سایبری است.
بدافزار Sarwent یک تروجان درپشتی کمتر شناخته شده است که از سال ۲۰۱۸ فعالیت خود را آغاز کرده است.
این بدافزار در نسخههای قبلی خود مجموعهای از عملکردهای محدود مانند توانایی بارگیری و نصب سایر بدافزارها بر روی رایانههای آلوده را داشته است.
پزوهشگران اینک شاهد دو تغییر اساسی در بدافزار هستند: مورد اول توانایی بدافزار در اجرای دستورات CLI سفارشی از طریق Command Prompt ویندوز و ابزار PowerShell است. در حالی که این ویژگی جدید به خودی خود قابل توجه است، اما ویژگی دیگری نیز در نسخه جدید Sarwent اضافه شده است.
در نسخه جدید، Sarwent دارای قابلیت ایجاد حساب کاربری جدید در ویندوز است که پس از آن سرویس RDP را فعال میکند و با ویرایش فایروال، دسترسی خارجی به سیستم آلوده را فراهم میکند. این بدان معناست که عوامل Sarwent میتوانند بدون اینکه توسط فایروال محلی مسدود شوند، از کاربر جدیدی که ایجاد کردهاند برای دسترسی به سیستم آلوده استفاده کنند.
به گفته پژوهشگران، نسخه دیده شده از بدافزار Sarwent به عنوان یک بدافزار مرحله دوم فعالیت میکند که در نتیجه آن فرایند پاکسازی بدافزار کمی پیچیده خواهد بود. این فرایند شامل حذف Sarwent، حذف بدافزار اصلی که Sarwent را نصب کرده است، حذف کاربر جدید ساخته شده و بستن پورت RDP در فایروال ویندوز است.
در حال حاضر، دلیل اصلی فراهم کردن دسترسی RDP در تمامی سیستمهای آلوده شده توسط Sarwent مشخص نیست. پژوهشگران میگویند که به طور معمول توسعه بدافزارها باتوجه به انگیزههای درآمدزایی یا تقاضای مشتریان انجام میشود. در مورد این بدافزار نیز چندین تئوری مطرح شده است. عوامل Sarwent میتوانند از دسترسی RDP برای منافع خود مانند سرقت دادههای حساس یا نصب باجافزار استفاده کنند. علاوه بر این، اجاره دسترسی RDP به سایر مجرمین سایبری مانند گروههای باجافزاری توسط عوامل Sarwent نیز دور از ذهن نیست.
در ادامه نشانههای آلودگی این بدافزار ارائه شدهاند.
نشانههای آلودگی (IoC):
• ۳f۷fb۶۴ec۲۴a۵e۹a۸cfb۶۱۶۰fad۳۷d۳۳fed۶۵۴۷c
• ab۵۷۷۶۹dd۴e۴d۴۷۲۰eedaca۳۱۱۹۸fd۷a۶۸b۷ff۸۰
• d۲۹۷۷۶۱f۹۷b۲ead۹۸a۹۶b۳۷۴d۵d۹dac۵۰۴a۹a۱۳۴
• ۳eeddeadcc۳۴b۸۹fbdd۷۷۳۸۴b۲b۹۷daff۴ccf۸cc
• ۱۰۶f۸c۷ddbf۲۶۵fc۱۰۸a۷۵۰۱b۶af۲۹۲۰۰۰dd۵۲۱۹
• ۸۳b۳۳۳۹۲e۰۴۵۴۲۵e۹۳۳۰a۷f۰۰۹۸۰۱b۵۳e۳ab۴۷۲a
• ۲۹۷۹۱۶۰۱۱۲ea۲de۴f۴e۱b۹۲۲۴۰۸۵efbbedafb۵۹۳
دامنه و URL ها :
• whatsmyhomeworthlondonontario[.]ca/wp-admin/version.exe
• beurbn[.]com/install.exe
• seoanalyticsproj.xyz
• seoanalyticsproewj.xyz
• seoanalyticsp۳۴roj.xyz
• seoanalyticsptyrroj.xyz
• seoanalyticsprojrts.xyz
• seoanalyticspro۳۲frghyj.xyz
• vertuozoff.xyz
• vertuozoff.club
• vertuozofff.xyz
• vertuozofff.com
• vertuozofff.club
• vertuozoffff.club
• rabbot.xyz
• terobolt.xyz
• tebbolt.xyz
• rubbolt.xyz
• rubbot.xyz
• treawot.xyz
• blognews-journal.com
• startprojekt.pw
• blognews-joural.com
• blognews-joural.best
• blognews-joural.info
• startprojekt.pro
• softfaremiks.icu
• shopstoregame.icu
• shopstoregamese.icu
• shopstoregame.icu
• softfaremiks.icu
• shopstoregamese.icu
• shopstoregamese.com
• shopstoregames.icu
IP :
۲۱۲,۷۳.۱۵۰.۲۴۶
منابع :
