بدافزار ویندوزی جدید با قابلیت باز کردن پورت RDP

به گزارش کارگروه جملات سایبری سایبربان، به نقل از پایگاه اینترنتی ZDNet، پژوهشگران معتقدند که هدف اصلی عوامل بدافزار Sarwent فراهم کردن دسترسی راه دور به پورت RDP به منظور فروش این دسترسی‌ها به سایر مجرمین سایبری است.

بدافزار Sarwent یک تروجان درپشتی کمتر شناخته‌شده است که از سال ۲۰۱۸ فعالیت خود را آغاز کرده است.

 این بدافزار در نسخه‌های قبلی خود مجموعه‌ای از عملکردهای محدود مانند توانایی بارگیری و نصب سایر بدافزارها بر روی رایانه‌های آلوده را داشته است.

پژوهشگران اینک شاهد دو تغییر اساسی در بدافزار هستند: مورد اول توانایی بدافزار در اجرای دستورات CLI سفارشی از طریق Command Prompt ویندوز و ابزار PowerShell است. در حالی که این ویژگی جدید به‌خودی‌خود قابل توجه است، اما ویژگی دیگری نیز در نسخه جدید Sarwent اضافه‌شده است.

در نسخه جدید، Sarwent دارای قابلیت ایجاد حساب کاربری جدید در ویندوز است که پس‌ازآن سرویس RDP را فعال می‌کند و با ویرایش فایروال، دسترسی خارجی به سیستم آلوده را فراهم می‌کند. این بدان معناست که عوامل Sarwent می‌توانند بدون اینکه توسط فایروال محلی مسدود شوند، از کاربر جدیدی که ایجاد کرده‌اند برای دسترسی به سیستم آلوده استفاده کنند.

به گفته پژوهشگران، نسخه دیده‌شده از بدافزار Sarwent به عنوان یک بدافزار مرحله دوم فعالیت می‌کند که در نتیجه آن فرایند پاک‌سازی بدافزار کمی پیچیده خواهد بود. این فرایند شامل حذف Sarwent، حذف بدافزار اصلی که Sarwent را نصب‌کرده است، حذف کاربر جدید ساخته‌شده و بستن پورت RDP در فایروال ویندوز است.

در حال حاضر، دلیل اصلی فراهم کردن دسترسی RDP در تمامی سیستم‌های آلوده‌شده توسط Sarwent مشخص نیست. پژوهشگران می‌گویند که به طور معمول توسعه بدافزارها با توجه به انگیزه‌های درآمدزایی یا تقاضای مشتریان انجام می‌شود. در مورد این بدافزار نیز چندین تئوری مطرح‌شده است. عوامل Sarwent می‌توانند از دسترسی RDP برای منافع خود مانند سرقت داده‌های حساس یا نصب باج افزار استفاده کنند. علاوه بر این، اجاره دسترسی RDP به سایر مجرمین سایبری مانند گروه‌های باج افزاری توسط عوامل Sarwent نیز دور از ذهن نیست.

در ادامه نشانه‌های آلودگی این بدافزار ارائه‌شده‌اند.

نشانه‌های آلودگی (IoC):

هش:

• ۳f۷fb۶۴ec۲۴a۵e۹a۸cfb۶۱۶۰fad۳۷d۳۳fed۶۵۴۷c

• ab۵۷۷۶۹dd۴e۴d۴۷۲۰eedaca۳۱۱۹۸fd۷a۶۸b۷ff۸۰

• d۲۹۷۷۶۱f۹۷b۲ead۹۸a۹۶b۳۷۴d۵d۹dac۵۰۴a۹a۱۳۴

• ۳eeddeadcc۳۴b۸۹fbdd۷۷۳۸۴b۲b۹۷daff۴ccf۸cc

• ۱۰۶f۸c۷ddbf۲۶۵fc۱۰۸a۷۵۰۱b۶af۲۹۲۰۰۰dd۵۲۱۹

• ۸۳b۳۳۳۹۲e۰۴۵۴۲۵e۹۳۳۰a۷f۰۰۹۸۰۱b۵۳e۳ab۴۷۲a

• ۲۹۷۹۱۶۰۱۱۲ea۲de۴f۴e۱b۹۲۲۴۰۸۵efbbedafb۵۹۳

دامنه و URL:

• whatsmyhomeworthlondonontario[.]ca/wp-admin/version.exe

• beurbn[.]com/install.exe

• seoanalyticsproj.xyz

• seoanalyticsproewj.xyz

• seoanalyticsp۳۴roj.xyz

• seoanalyticsptyrroj.xyz

• seoanalyticsprojrts.xyz

• seoanalyticspro۳۲frghyj.xyz

• vertuozoff.xyz

• vertuozoff.club

• vertuozofff.xyz

• vertuozofff.com

• vertuozofff.club

• vertuozoffff.club

• rabbot.xyz

• terobolt.xyz

• tebbolt.xyz

• rubbolt.xyz

• rubbot.xyz

• treawot.xyz

• blognews-journal.com

• startprojekt.pw

• blognews-joural.com

• blognews-joural.best

• blognews-joural.info

• startprojekt.pro

• softfaremiks.icu

• shopstoregame.icu

• shopstoregamese.icu

• shopstoregame.icu

• softfaremiks.icu

• shopstoregamese.icu

• shopstoregamese.com

• shopstoregames.icu

IP:

• ۲۱۲,۷۳.۱۵۰.۲۴۶