보안 조사에서 방화벽에서 원격 데스크톱 포트를 여는 맬웨어를 발견했습니다. RDP(원격 데스크톱) 포트가 설정되어 있어 공격자가 나중에 RDP 포트를 남용하기 쉽습니다.
Sarwent 악성코드는 2018년부터 사용되었습니다. 2020년 초 Vitali Kwemez는 Sarwent 악성코드에 대한 트윗을 보냈지만 인터넷에는 Sarwent 악성코드에 대한 정보가 거의 없습니다.
Sarwent 악성 코드가 전파되는 방식은 완전히 알려져 있지 않습니다. Sarwent는 다른 맬웨어, 아마도 봇넷을 통해 확산되는 것으로 의심됩니다.
Sarwent에 대해 알려진 것은 감염 후 맬웨어가 새로운 Windows 컴퓨터에서 사용자 계정을 만들고 컴퓨터와 방화벽에서 RDP 포트 3389를 엽니다. RDP는 생성된 경로를 통해 감염된 컴퓨터에 나중에 액세스하기 위해 열릴 가능성이 높습니다. Windows 사용자 계정.
Sarwent IP 주소, MD5 해시 및 도메인은 Sarwent에서 알려져 있으며 이러한 세부 정보는 기업이 Sarwent를 감지할 수 있도록 IOC(Indicators of Compromise)에 배포됩니다.