安全调查发现了在防火墙上打开远程桌面端口的恶意软件。 设置了 RDP(远程桌面)端口,这使得攻击者以后更容易滥用 RDP 端口。
Sarwent 恶意软件自 2018 年以来一直在使用。2020 年初,Vitali Kwemez 发送了一条关于 Sarwent 恶意软件的推文,但互联网上几乎没有关于 Sarwent 恶意软件的信息。
Sarwent 恶意软件的传播方式并不完全清楚。 怀疑 Sarwent 是通过其他恶意软件传播的,可能是在僵尸网络中。
关于 Sarwent 的已知信息是,恶意软件在感染后会创建一个新的 Windows 计算机上的用户帐户,并在计算机和防火墙中打开 RDP 端口 3389。 RDP 很可能会被打开,以便以后通过创建的 Windows 用户帐号。
Sarwent IP 地址、MD5 哈希和域从 Sarwent 获知,这些详细信息被分发给 IOC(妥协指标),以供公司检测 Sarwent。