安全調查發現了在防火牆上打開遠程桌面端口的惡意軟件。 設置了 RDP(遠程桌面)端口,這使得攻擊者以後更容易濫用 RDP 端口。
Sarwent 惡意軟件自 2018 年以來一直在使用。2020 年初,Vitali Kwemez 發送了一條關於 Sarwent 惡意軟件的推文,但互聯網上幾乎沒有關於 Sarwent 惡意軟件的信息。
Sarwent 惡意軟件的傳播方式並不完全清楚。 懷疑 Sarwent 是通過其他惡意軟件傳播的,可能是在殭屍網絡中。
關於 Sarwent 的已知信息是,惡意軟件在感染後會創建一個新的 Windows 計算機上的用戶帳戶,並在計算機和防火牆中打開 RDP 端口 3389。 RDP 很可能會被打開,以便以後通過創建的 Windows 用戶帳號。
Sarwent IP 地址、MD5 哈希和域從 Sarwent 獲知,這些詳細信息被分發給 IOC(妥協指標),以供公司檢測 Sarwent。