بدافزار ویندوزی جدید با قابلیت باز کردن پورت RDP

rdp

پژوهشگران امنیتی نسخه جدیدی از بدافزار Sarwent را شناسایی کرده‌اند که پورت RDP بر روی رایانه‌های آلوده را باز می‌‎کند تا مهاجمین بتوانند به این سیستم‌ها دسترسی پیدا کنند.
پژوهشگران معتقدند که هدف اصلی عوامل بدافزار Sarwent فراهم کردن دسترسی راه دور به پورت RDP به منظور فروش این دسترسی‌ها به سایر مجرمین سایبری است.
بدافزار Sarwent یک تروجان درپشتی کمتر شناخته شده است که از سال ۲۰۱۸ فعالیت خود را آغاز کرده است.
 این بدافزار در نسخه‌های قبلی خود مجموعه‌ای از عملکردهای محدود مانند توانایی بارگیری و نصب سایر بدافزارها بر روی رایانه‌های آلوده را داشته است.
پزوهشگران اینک شاهد دو تغییر اساسی در بدافزار هستند: مورد اول توانایی بدافزار در اجرای دستورات CLI سفارشی از طریق Command Prompt ویندوز و ابزار PowerShell است. در حالی که این ویژگی جدید به خودی خود قابل توجه است، اما ویژگی دیگری نیز در نسخه جدید Sarwent اضافه شده است.
در نسخه جدید، Sarwent دارای قابلیت ایجاد حساب کاربری جدید در ویندوز است که پس از آن سرویس RDP را فعال می‌کند و با ویرایش فایروال، دسترسی خارجی به سیستم آلوده را فراهم می‌کند. این بدان معناست که عوامل Sarwent می‌توانند بدون اینکه توسط فایروال محلی مسدود شوند، از کاربر جدیدی که ایجاد کرده‌اند برای دسترسی به سیستم آلوده استفاده کنند.
به گفته پژوهشگران، نسخه دیده شده از بدافزار Sarwent به عنوان یک بدافزار مرحله دوم فعالیت می‌کند که در نتیجه آن فرایند پاکسازی بدافزار کمی پیچیده خواهد بود. این فرایند شامل حذف Sarwent، حذف بدافزار اصلی که Sarwent را نصب کرده است، حذف کاربر جدید ساخته شده و بستن پورت RDP در فایروال ویندوز است.
در حال حاضر، دلیل اصلی فراهم کردن دسترسی RDP در تمامی سیستم‌های آلوده شده توسط Sarwent مشخص نیست. پژوهشگران می‌گویند که به طور معمول توسعه بدافزارها باتوجه به انگیزه‌های درآمدزایی یا تقاضای مشتریان انجام می‌شود. در مورد این بدافزار نیز چندین تئوری مطرح شده است. عوامل Sarwent می‌توانند از دسترسی RDP برای منافع خود مانند سرقت داده‌های حساس یا نصب باج‌افزار استفاده کنند. علاوه بر این، اجاره دسترسی RDP به سایر مجرمین سایبری مانند گروه‌های باج‌افزاری توسط عوامل Sarwent نیز دور از ذهن نیست.
در ادامه نشانه‌های آلودگی این بدافزار ارائه شده‌اند.
نشانه‌های آلودگی (IoC):

 

• ۳f۷fb۶۴ec۲۴a۵e۹a۸cfb۶۱۶۰fad۳۷d۳۳fed۶۵۴۷c
• ab۵۷۷۶۹dd۴e۴d۴۷۲۰eedaca۳۱۱۹۸fd۷a۶۸b۷ff۸۰
• d۲۹۷۷۶۱f۹۷b۲ead۹۸a۹۶b۳۷۴d۵d۹dac۵۰۴a۹a۱۳۴
• ۳eeddeadcc۳۴b۸۹fbdd۷۷۳۸۴b۲b۹۷daff۴ccf۸cc
• ۱۰۶f۸c۷ddbf۲۶۵fc۱۰۸a۷۵۰۱b۶af۲۹۲۰۰۰dd۵۲۱۹
• ۸۳b۳۳۳۹۲e۰۴۵۴۲۵e۹۳۳۰a۷f۰۰۹۸۰۱b۵۳e۳ab۴۷۲a
• ۲۹۷۹۱۶۰۱۱۲ea۲de۴f۴e۱b۹۲۲۴۰۸۵efbbedafb۵۹۳

دامنه و URL ها :

 

• whatsmyhomeworthlondonontario[.]ca/wp-admin/version.exe
• beurbn[.]com/install.exe
• seoanalyticsproj.xyz
• seoanalyticsproewj.xyz
• seoanalyticsp۳۴roj.xyz
• seoanalyticsptyrroj.xyz
• seoanalyticsprojrts.xyz
• seoanalyticspro۳۲frghyj.xyz
• vertuozoff.xyz
• vertuozoff.club
• vertuozofff.xyz
• vertuozofff.com
• vertuozofff.club
• vertuozoffff.club
• rabbot.xyz
• terobolt.xyz
• tebbolt.xyz
• rubbolt.xyz
• rubbot.xyz
• treawot.xyz
• blognews-journal.com
• startprojekt.pw
• blognews-joural.com
• blognews-joural.best
• blognews-joural.info
• startprojekt.pro
• softfaremiks.icu
• shopstoregame.icu
• shopstoregamese.icu
• shopstoregame.icu
• softfaremiks.icu
• shopstoregamese.icu
• shopstoregamese.com
• shopstoregames.icu

 

IP :

 ۲۱۲,۷۳.۱۵۰.۲۴۶

 

منابع :

http://www.afta.gov.ir

https://www.zdnet.com

افزودن دیدگاه جدید

نظر خودتان را ارسال کنید

کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفا وارد سایت شوید.

طراحی سایت طراحی سایت طراحی سایت طراحی سایت

کلیه حقوق این سایت محفوظ و متعلق به شرکت مهندسی تحقیق و توسعه ارتباط پانا می باشد.

گفتگوی آنلاین