هانوي تحذر من برنامج خبيث يسمى Valley RAT ينتحل صفة "مشروع قرار المؤتمر الرابع عشر للحزب"

إنها خدعة تستغل البيئة السياسية الواسعة بين الناس لنشر البرمجيات الخبيثة وسرقة المعلومات وتشكل خطرا على أمن أنظمة المعلومات الخاصة بالهيئات والمنظمات والأفراد.

برنامج Valley RAT الخبيث ينتحل صفة "مشروع قرار الكونجرس"

وفقًا لإدارة الأمن السيبراني ومكافحة جرائم التكنولوجيا المتقدمة (شرطة مدينة هانوي )، فإن برنامج Valley RAT الخبيث مُخفى في ملف باسم "DRAFT RESOLUTION OF THE CONGRESS.exe". عندما يفتح المستخدم الملف، يُثبّت البرنامج الخبيث نفسه فورًا في النظام، ويعمل تلقائيًا عند تشغيل الكمبيوتر، ويتصل بخادم التحكم (C2) على العنوان 27.124.9.13 (المنفذ 5689) الذي يتحكم به المُخترق.

من هنا، يمكن للبرامج الضارة القيام بأعمال خطيرة: سرقة المعلومات الحساسة على جهاز الكمبيوتر الخاص بالمستخدم؛ السيطرة على الكمبيوتر؛ سرقة الحسابات الشخصية والشركات؛ جمع المستندات الداخلية؛ الاستمرار في نشر البرامج الضارة إلى أجهزة أخرى في نفس النظام.

العامل الخطير هو أن واجهة الملف متخفية لتبدو وكأنها مستند إداري حقيقي، مما يجعل من السهل على المستخدمين الخلط، خاصة في سياق العديد من الوحدات التي ترسل وتستقبل المستندات للتعليق على المستندات.

تم اكتشاف المزيد من ملفات البرامج الضارة الجديدة ذات الصلة

ومن خلال المسح الموسع، اكتشفت السلطات المزيد من الملفات الخبيثة ذات الهياكل المماثلة، والتي بدت مثل المستندات الإدارية المألوفة: FINANCIAL REPORT2.exe أو BUSINESS INSURANCE PAYMENT.exe؛ GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe؛ TAX DECLARATION SUPPORT.exe؛ PARTY ACTIVITY EVALUATION DOCUMENT.exe أو AUTHORIZATION FORM.exe؛ MINUTES OF REPORT FOR THE THIRD QUARTER.exe

تتم تسمية هذه الملفات وفقًا لتفاصيل العمل المكتبي أو المالية أو شؤون الأحزاب أو الضرائب... مما يزيد من احتمالية اعتقاد المستخدمين بأنها مستندات داخلية وفتحها، مما يخلق الظروف المناسبة لانتشار البرامج الضارة.

من خلال التحليل الفني، قامت شرطة مدينة هانوي بتقييم Valley RAT على أنه خطير بشكل خاص لأنه يمتلك خصائص تجعله تهديدًا كبيرًا: الاختباء في النظام، والبدء تلقائيًا مع Windows؛ السماح للمتسللين بالتحكم عن بعد في الجهاز؛ القدرة على تنزيل برامج ضارة إضافية؛ جمع البيانات الحساسة تلقائيًا وإرسالها إلى خادم التحكم؛ القدرة على تسجيل ضغطات المفاتيح، والتقاط لقطات شاشة، وسرقة كلمات المرور المحفوظة في المتصفح؛ الانتشار بسهولة في نظام الشبكة الداخلية...

تستخدم العديد من الهيئات والمؤسسات البريد الإلكتروني الداخلي أو Zalo أو Facebook Messenger لتبادل المستندات، مما يُهيئ بيئةً مواتيةً لانتشار البرامج الضارة في حال إصابة جهاز واحد فقط في النظام. ولضمان أمن المعلومات، قدمت إدارة الأمن السيبراني ومكافحة جرائم التكنولوجيا المتقدمة في شرطة مدينة هانوي توصياتٍ محددة:

لا تفتح أو تقوم بتنزيل ملفات غريبة، ملفات .exe من رسائل البريد الإلكتروني أو شبكات التواصل الاجتماعي، وكن حذرًا بشكل خاص من الملفات التي تحتوي على امتدادات: .exe؛ .dll؛ .bat؛ .msi... حتى لو تم إرسال الملف من أحد المعارف (قد يكون الحساب قد تعرض للاختراق).

فحص جميع الأجهزة والأنظمة. عند رصد أي علامات غير طبيعية، يجب على المستخدمين فصل الإنترنت فورًا؛ عدم الاستمرار في استخدام الجهاز؛ إبلاغ الجهات المختصة أو المركز الوطني للأمن السيبراني (NCSC).

افحص النظام باستخدام برنامج أمان موثوق. على المؤسسات والأفراد تثبيت برامج مكافحة الفيروسات والبرامج الضارة مسبقًا، مثل: Avast (مجاني)؛ AVG (مجاني)؛ Bitdefender (مجاني)؛ Windows Defender (آخر تحديث). والجدير بالذكر أن شرطة هانوي أشارت إلى أن برنامج Kaspersky المجاني لمكافحة الفيروسات لم يكتشف هذا النوع من البرامج الضارة بعد.

ابحث يدويًا عن أي علامات هجوم. بالإضافة إلى استخدام برامج مكافحة الفيروسات وجدران الحماية، يجب استخدام Process Explorer لاكتشاف العمليات غير المألوفة التي لا تحتوي على توقيعات رقمية؛ استخدم TCPView للتحقق من الاتصال؛ إذا لاحظت اتصالاً بعنوان IP 27.124.9.13، فعليك معالجته فورًا.

يجب على مسؤولي النظام حظر عنوان IP الخبيث فورًا. يجب على المستخدمين تكوين جدار الحماية لحظر جميع عمليات الوصول إلى عنوان IP 27.124.9.13 لمنع البرامج الضارة من الاتصال بخادم التحكم.

تعزيز التحذيرات الداخلية. على الوحدات إخطار الضباط والموظفين فورًا بعدم فتح أي مستندات مرفقة تتعلق بتعليقات على المستندات إذا تعذر التحقق من مصدرها.

يجب على الناس تلقي معلومات تحذيرية رسمية، واتباع التوصيات من: وزارة الأمن العام ؛ وزارة المعلومات والاتصالات؛ الشرطة المحلية؛ عدم مشاركة الملفات المشبوهة على الشبكات الاجتماعية لتجنب الانتشار؛ زيادة اليقظة لحماية أمن الشبكة الوطنية

إن ظهور برنامج Valley RAT الخبيث في نفس الوقت الذي تم فيه التعليق على مسودات وثائق المؤتمر الوطني الرابع عشر للحزب الشيوعي الصيني، يُظهر أن المهاجمين السيبرانيين يستغلون ثقة المستخدمين في الوثائق السياسية والإدارية بشكل كامل.

أمن المعلومات ليس مسؤولية الجهات المتخصصة فحسب، بل هو واجب كل فرد يستخدم الأجهزة الرقمية. إن التحديد الدقيق للهوية، والتحرك السريع، والإبلاغ في الوقت المناسب، سيساهم بشكل كبير في حماية نظام المعلومات الوطني والحفاظ على الأمن في الفضاء الإلكتروني.