Эксперты по безопасности считают, что операторы вредоносного ПО с большой вероятностью могут продать доступ к зараженным хостам другим хакерским группам.
Исследователи в области безопасности говорят, что обнаружили новую версию вредоносной программы Sarwent, которая открывает порты RDP (протокол удаленного рабочего стола) на зараженных компьютерах, чтобы хакеры могли получить практический доступ к зараженным хостам.
Исследователи из SentinelOne, которые обнаружили эту новую версию, считают, что операторы Sarwent, скорее всего, готовятся продать доступ к этим системам в преступном мире киберпреступности, распространенном способе монетизации хостов, поддерживающих RDP.
Вредоносная программа Sarewnt
Вредоносное ПО Sarwent - это менее известный троян с бэкдором, существующий с 2018 года. В предыдущих версиях вредоносное ПО содержало ограниченный набор функций, например возможность загружать и устанавливать другое вредоносное ПО на скомпрометированные компьютеры.
Но в недавней кампании, обнаруженной за последние недели, аналитик SentinelOne по вредоносным программам Джейсон Ривз говорит, что Сарвент получил два критических обновления.
Во-первых, это возможность выполнения пользовательских команд консоли с помощью служебных программ командной строки Windows и PowerShell.
Но хотя эта новая функция сама по себе довольно навязчива, исследователь говорит, что Sarwent также получил еще одну новую функцию с этим последним обновлением.
Теперь Sarwent регистрирует новую учетную запись пользователя Windows на каждом зараженном хосте, включает службу RDP, а затем модифицирует брандмауэр Windows, чтобы разрешить внешний доступ RDP к зараженному хосту.
Это означает, что операторы Sarwent могут использовать нового пользователя Windows, которого они создали, для доступа к зараженному хосту без блокировки локальным брандмауэром.
Из-за существующей схемы распространения, очистка от инфекции Сарвента "немного сложнее", добавил исследователь.
Это включает в себя удаление Sarwent, исходной вредоносной программы, которая установила его, удаление нового пользователя Windows, а затем закрытие порта доступа RDP в брандмауэре Windows.
RDP доступ для чего?
В настоящее время все еще остается загадкой, что делает Sarwent с доступом RDP, который он получает на всех зараженных хостах.
«Обычно развитие вредоносного ПО в области криминального программного обеспечения определяется желанием что-либо монетизировать или потребностями клиентов в функциональности».
Существует несколько теорий. Бригада Сарвента могла самостоятельно использовать доступ RDP (для кражи проприетарных данных или установки вымогателей), она могла арендовать доступ RDP к другим бандам киберпреступников или вымогателей или они могли перечислять конечные точки RDP в так называемых «магазинах RDP», например тот, что указан ниже.
Индикаторы компромисса (IOC) для новой версии вредоносного ПО Sarwent включены в отчет Sarine SentinelOne. Группы безопасности могут использовать эти IOC для поиска заражений Sarwent на своих компьютерах.