SOFTWindows

Вредоносная программа для Windows открывает порты RDP на ПК

Эксперты по безопасности считают, что операторы вредоносного ПО с большой вероятностью могут продать доступ к зараженным хостам другим хакерским группам.

Исследователи в области безопасности говорят, что обнаружили новую версию вредоносной программы Sarwent, которая открывает порты RDP (протокол удаленного рабочего стола) на зараженных компьютерах, чтобы хакеры могли получить практический доступ к зараженным хостам.

Исследователи из SentinelOne, которые обнаружили эту новую версию, считают, что операторы Sarwent, скорее всего, готовятся продать доступ к этим системам в преступном мире киберпреступности, распространенном способе монетизации хостов, поддерживающих RDP.

Вредоносная программа Sarewnt

Вредоносное ПО Sarwent – это менее известный троян с бэкдором, существующий с 2018 года. В предыдущих версиях вредоносное ПО содержало ограниченный набор функций, например возможность загружать и устанавливать другое вредоносное ПО на скомпрометированные компьютеры.

Но в недавней кампании, обнаруженной за последние недели, аналитик SentinelOne по вредоносным программам Джейсон Ривз говорит, что Сарвент получил два критических обновления.

Во-первых, это возможность выполнения пользовательских команд консоли с помощью служебных программ командной строки Windows и PowerShell.

Но хотя эта новая функция сама по себе довольно навязчива, исследователь говорит, что Sarwent также получил еще одну новую функцию с этим последним обновлением.

Теперь Sarwent регистрирует новую учетную запись пользователя Windows на каждом зараженном хосте, включает службу RDP, а затем модифицирует брандмауэр Windows, чтобы разрешить внешний доступ RDP к зараженному хосту.

Это означает, что операторы Sarwent могут использовать нового пользователя Windows, которого они создали, для доступа к зараженному хосту без блокировки локальным брандмауэром.

Из-за существующей схемы распространения, очистка от инфекции Сарвента “немного сложнее”, добавил исследователь.

Это включает в себя удаление Sarwent, исходной вредоносной программы, которая установила его, удаление нового пользователя Windows, а затем закрытие порта доступа RDP в брандмауэре Windows.

RDP доступ для чего?

В настоящее время все еще остается загадкой, что делает Sarwent с доступом RDP, который он получает на всех зараженных хостах.

«Обычно развитие вредоносного ПО в области криминального программного обеспечения определяется желанием что-либо монетизировать или потребностями клиентов в функциональности».

Существует несколько теорий. Бригада Сарвента могла самостоятельно использовать доступ RDP (для кражи проприетарных данных или установки вымогателей), она могла арендовать доступ RDP к другим бандам киберпреступников или вымогателей или они могли перечислять конечные точки RDP в так называемых «магазинах RDP», например тот, что указан ниже.

Индикаторы компромисса (IOC) для новой версии вредоносного ПО Sarwent включены в отчет Sarine SentinelOne. Группы безопасности могут использовать эти IOC для поиска заражений Sarwent на своих компьютерах.

Теги
Показать больше

Похожие статьи

Кнопка «Наверх»
Закрыть
Закрыть