セキュリティ調査により、ファイアウォールのリモートデスクトップポートを開くマルウェアが見つかりました。 RDP(リモートデスクトップ)ポートが設定されているため、攻撃者は後でRDPポートを悪用しやすくなります。
Sarwentマルウェアは2018年から使用されています。2020年の初めにVitaliKwemezがSarwentマルウェアに関するツイートを送信しましたが、インターネット上にはSarwentマルウェアに関する情報はほとんどありません。
Sarwentマルウェアが拡散する方法は完全にはわかっていません。 Sarwentは、おそらくボットネット内で、他のマルウェアを介して拡散している疑いがあります。
Sarwentについて知られていることは、感染後にマルウェアが新しいマルウェアを作成することです Windows コンピューターのユーザーアカウントを作成し、コンピューターとファイアウォールでRDPポート3389を開きます。 RDPは、作成されたものを介して感染したコンピューターに後でアクセスするために開かれる可能性があります Windows ユーザーアカウント。
SarwentのIPアドレス、MD5ハッシュ、およびドメインはSarwentから知られています。これらの詳細は、企業がSarwentを検出できるようにIOC(侵入の痕跡)に配布されます。