TLP: White
NIVEL DE RIESGO: [Medio]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Red, acceso remoto.
Impacto: Control total del sistema afectado a través de la ejecución remota de código.

Descripción

Investigadores de ciberseguridad han descubierto una nueva versión de un programa malicioso de nombre “Sarwent”, el cual fue identificado desde el año 2018. Después de su análisis, se sabe que esta nueva versión implementa nuevas características enfocadas hacia el protocolo de administración remota “RDP, realizando la apertura de puertos para posteriormente obtener acceso remoto al equipo infectado.

Debido a su número limitado de comandos, la funcionalidad inicial de Sarwent estaba limitada a la descarga e instalación de otros programas maliciosos, pero las nuevas funcionalidades que se han implementado en su más reciente actualización hacen que Sarwent sea catalogado como un RAT (Remote Access Tool) debido a los nuevos comandos con los que cuenta.

Una vez que Sarwent este activo en un sistema, crea una nueva cuenta de usuario de Microsoft Windows, modifica la configuración del firewall y posteriormente abre los puertos RDP con la finalidad de acceder al equipo infectado sin ser bloqueado por el Firewall de Microsoft Windows.

Entre las nuevas características añadidas en esta nueva versión, están la capacidad de ejecutar comandos personalizados de CLI a través del símbolo del sistema de Microsoft Windows y las utilidades de PowerShell, la propiedad de poder registrar una nueva cuenta de usuario de Microsoft Windows en cada equipo de cómputo infectado.

El objetivo de ataques mediante esta herramienta maliciosa tiene usos variados, como el robo de datos, instalación de ransomware, alquilar o vender los accesos obtenidos a otros usuarios maliciosos, por mencionar algunos.

Nivel de riesgo

  • [Medio]

Sistemas/tecnologías afectadas

  • Sistemas Operativos Microsoft Windows

Indicadores de compromiso (IoCs)

  • SHA-1
    • 3f7fb64ec24a5e9a8cfb6160fad37d33fed6547c
    • ab57769dd4e4d4720eedaca31198fd7a68b7ff80
    • d297761f97b2ead98a96b374d5d9dac504a9a134
    • 106f8c7ddbf265fc108a7501b6af292000dd5219
    • 83b33392e045425e9330a7f009801b53e3ab472a
    • 2979160112ea2de4f4e1b9224085efbbedafb593
    • oeeddeadcc34b89fbdd77384b2b97daff4ccf8cc
  • Direcciones IP identificadas en esta campaña:
    • 212.73.150.246
  • Dominios identificados en esta campaña:
    • dblognews-journal[.]com
    • startprojekt[.]pw
    • blognews-joural[.]com
    • blognews-joural[.]info
    • startprojekt[.]pro
    • rabbot[.]xyz
    • terobolt[.]xyz
    • tebbolt[.]xyz
    • rubbolt[.]xyz
    • rubbot[.]xyz
    • treawot[.]xyz
    • vertuozoff[.]xyz
    • vertuozoff[.]club
    • vertuozofff[.]xyz
    • vertuozofff[.]com
    • vertuozofff[.]club
    • vertuozoffff[.]club
    • seoanalyticsproj[.]xyz
    • seoanalyticsproewj[.]xyz
    • seoanalyticsp34roj[.]xyz
    • seoanalyticsptyrroj[.]xyz
    • seoanalyticsprojrts[.]xyz
    • seoanalyticspro32frghyj[.]xyz
  • URLs identificadas en esta campaña:
    • whatsmyhomeworthlondonontario[[.]]ca/wp-admin/version[.]exe
    • beurbn[[.]]com/install[.]exe

Medidas de contención

  • Definir ACL, permitiendo únicamente conexiones autorizadas entrantes y salientes.
  • Identificar los equipos internos que hayan podido realizar algún tipo de comunicación con los indicadores de compromiso.
  • Aplicar los indicadores de compromiso en las distintas herramientas de seguridad perimetral que así lo permitan.

Referencias