كشفت التحقيقات الأمنية عن برامج ضارة تفتح منافذ سطح المكتب البعيد على جدار الحماية. تم إعداد منافذ RDP (سطح المكتب البعيد) ، مما يسهل على المهاجمين إساءة استخدام منافذ RDP لاحقًا.
تم استخدام برنامج Sarwent الضار منذ عام 2018. في بداية عام 2020 ، أرسل Vitali Kwemez تغريدة حول برنامج Sarwent الخبيث ولكن هناك القليل من المعلومات حول برنامج Sarwent الضار على الإنترنت.
الطريقة التي تنتشر بها برامج Sarwent الضارة غير معروفة تمامًا ؛ يُشتبه في أن Sarwent ينتشر عبر برامج ضارة أخرى ، ربما في شبكات botnets.
ما هو معروف عن Sarwent هو أنه بعد الإصابة ، تقوم البرامج الضارة بإنشاء ملف Windows حساب المستخدم على الكمبيوتر ويفتح منفذ RDP 3389 على الكمبيوتر وفي جدار الحماية. من المرجح أن يتم فتح RDP من أجل الوصول لاحقًا إلى الكمبيوتر المصاب من خلال ملف Windows حساب المستخدم.
عناوين IP الخاصة بـ Sarwent ، وتجزئة MD5 ، والمجالات معروفة من Sarwent ، ويتم توزيع هذه التفاصيل على IOCs (مؤشرات الاختراق) للشركات لاكتشاف Sarwent.