Sarwent, Bulaştığı Bilgisayarlarda RDP'yi Açıyor
Sarwent adı verilen kötü amaçlı yazılım, bulaştığı bilgisayarlarda RDP'yi (Remote Desktop Protocol) açıyor.
Siber güvenlik uzmanları, Sarwent adı verilen kötü amaçlı yazılımın bulaştığı bilgisayarlarda RDP'yi (Remote Desktop Protocol) açtığını tespit etti.
SentinelLabs araştırmacısı Jason Reaves, ilk olarak 2018 yılında tespit edilen Sarwent adlı kötü amaçlı yazılımın yeni bir sürümünü keşfettiğini söyledi.
Sarwent, ilk görüldüğü zamanlarda bulaştığı bilgisayara diğer zararlı yazılımları indirmek ve kurmak için kullanılan bir arka kapıydı.
Ancak Jason Reaves, artık bu arka kapıya iki yeni özellik eklendiğini ve yazılımın gelişmeye başladığını söyledi. Araştırmacı ilk özelliğin, yazılımın CMD ve PowerShell üzerinde komut yürütmesi olduğunu söyledi.
Reaves, ikinci özelliğin ise Sarwent'ın, bulaştığı bilgisayarda yeni bir kullanıcı oluşturması, ardından RDP'yi (Remote Desktop Protocol-Uzak Masaüstü Protokolü) etkinleştirmesi ve en son olarak güvenlik duvarı üzerinden RDP portuna (3389) izin vermesi olduğunu söyledi.
Arka kapıdaki bu özelliğin çeşitli kullanım amaçları olabilir. İlk amaç, Sarwent'ın arkasındaki aktörlerin açtıkları RDP portu üzerinden virüslü bilgisayara tekrar erişmek ve ardından söz konusu cihaza fidye yazılımı benzeri kötü amaçlı yazılımları bulaştırmak veya veri çalmak istemesi olabilir. İkinci amaç ise, dark web ve çeşitli hack forumları üzerinden RDP portu açık olan bu bilgisayarlara erişimlerin satılmasıdır.
Ancak bu ihtimallere rağmen Sarwent'ın arkasındaki aktörlerin bu özelliği hangi amaçla kullandığı şu an için bilinmiyor.
Yorumlar