катэгорыі: Навіны бяспекі

Шкоднасная праграма Sarwent адкрывае парты RDP на заражаным кампутары

Расследаванне бяспекі выявіла шкоднаснае праграмнае забеспячэнне, якое адкрывае парты аддаленага працоўнага стала на брандмаўэры. Парты RDP (аддалены працоўны стол) настроены, гэта палягчае зламыснікам злоўжываць партамі RDP у далейшым.

Шкоднаснае праграмнае забеспячэнне Sarwent выкарыстоўваецца з 2018 года. У пачатку 2020 года Віталь Квемез напісаў твіт пра шкоднаснае праграмнае забеспячэнне Sarwent, але ў інтэрнэце мала інфармацыі аб шкоднасным праграмным забеспячэнні Sarwent.

Шлях распаўсюджвання шкоднасных праграм Sarwent не зусім вядомы; ёсць падазрэнні, што Sarwent распаўсюджваецца праз іншыя шкоднасныя праграмы, магчыма, у бот-сетках.

Пра Sarwent вядома тое, што пасля заражэння шкоднасная праграма стварае новы Windows уліковы запіс карыстальніка на кампутары і адкрывае порт RDP 3389 на кампутары і ў брандмаўэры. RDP, хутчэй за ўсё, будзе адкрыты, каб пазней атрымаць доступ да заражанага кампутара праз створаны Windows уліковы запіс карыстальніка.

IP-адрасы Sarwent, хэшы MD5 і дамены вядомыя ад Sarwent, гэтыя дэталі распаўсюджваюцца ў IOCs (Індыкатары кампрамісу), каб кампаніі маглі выявіць Sarwent.

таксама чытайце

Выдаленне Tigerpush.net (кампутар або тэлефон)

Макс Рэйслер

Вітаю! Я Макс, член нашай каманды па выдаленні шкоднасных праграм. Наша місія складаецца ў тым, каб захоўваць пільнасць супраць новых пагроз шкоднасных праграм. Праз наш блог мы інфармуем вас аб апошніх небяспеках шкоднасных праграм і камп'ютэрных вірусаў, даючы вам інструменты для абароны вашых прылад. Ваша падтрымка ў распаўсюдзе гэтай каштоўнай інфармацыі ў сацыяльных сетках неацэнная ў нашых агульных намаганнях па абароне іншых.