Onderzoekers hebben malware ontdekt die de RDP-poort in de firewall openzet zodat aanvallers daar op een later moment gebruik van kunnen maken. De malware wordt Sarwent genoemd en is al sinds 2018 in gebruik, aldus onderzoeker Jason Reaves van securitybedrijf SentinelOne in een analyse.

Sarwent zou echter weinig aandacht van onderzoekers hebben gekregen. Begin dit jaar verscheen er een tweet van onderzoeker Vitali Kremez over de malware, maar verder is er weinig informatie over te vinden. Zo is onbekend hoe Sarwent precies wordt verspreid. Mogelijk gebeurt dit via andere malware. Eerdere versies van Sarwent zijn ontwikkeld om aanvullende malware op besmette systemen te installeren.

Onlangs verscheen er een nieuwe versie van Sarwent waarbij de ontwikkelaars de nadruk legden op het Remote Desktop Protocol (RDP) van Windows. Zodra Sarwent op een systeem actief is maakt de malware een nieuw Windows-gebruikersaccount aan en opent de RDP-poort in de firewall. Volgens Reaves wordt dit gedaan om het systeem op een later moment te kunnen benaderen. Het kan daarbij om de aanvallers zelf gaan, maar de onderzoeker sluit niet uit dat de RDP-toegang aan andere criminelen wordt doorverkocht.

Naast een beschrijving van de malware heeft Reaves ook “indicators of compromise” (IOCs) gegeven. Een IOC is een aanwijzing waarmee de aanwezigheid van een specifieke dreiging, zoals een bepaald malware-exemplaar, binnen het netwerk kan worden vastgesteld. Het gaat onder andere om ip-adresssen, hashes en domeinen.

Source