Oddělení kybernetické bezpečnosti a prevence kriminality v oblasti high-tech (městská policie v Hanoji ) proto objevilo malware Valley RAT propojený s adresou řídicího serveru (C2): 27.124.9.13, port 5689, skrytý v souboru s názvem „NÁVRH USNESENÍ KONGRESU.exe“.
Subjekty zneužívaly shromažďování názorů na návrhy dokumentů, které měly být předloženy Kongresu, k tomu, aby uživatele oklamaly a přiměly k instalaci a provádění nebezpečných činů, jako je krádež citlivých informací, přivlastňování si osobních účtů, krádež dokumentů a šíření malwaru do jiných počítačů.
Výsledky analýzy ukazují, že po instalaci na počítač uživatele se malware automaticky spustí při každém spuštění počítače, připojí se k serveru vzdálené správy ovládanému hackery a odtud pokračuje v provádění výše uvedených nebezpečných akcí.
Rozšířit kontrolu a odhalit další škodlivé soubory připojené k serveru C2, které hackeři nedávno rozšířili: FINANCIAL REPORT2.exe nebo BUSINESS INSURANCE PAYMENT.exe; GOVERNMENT URGENT DISPATCH.exe; TAX DECLARATION SUPPORT.exe; PARTY ACTIVITY EVALUATION DISPATCH.exe nebo FORMULÁŘ AUTORIZACE.exe; MINUTES OF REPORT FOR THIRD QUARTER.exe.
Pro proaktivní prevenci doporučuje Oddělení kybernetické bezpečnosti a prevence high-tech kriminality, aby byli lidé ostražití a nestahovali, neinstalovali ani neotevírali soubory neznámého původu (zejména spustitelné soubory s příponami .exe, .dll, .bat, .msi, ...).
Zkontrolujte informační systém jednotky a lokality, abyste odhalili podezřelé soubory. Pokud je zaznamenán incident, izolujte infikovaný počítač, odpojte se od internetu a nahlaste to Národnímu centru kybernetické bezpečnosti, kde vám pomohou.
Prohledejte celý systém pomocí nejnovějšího aktualizovaného bezpečnostního softwaru (EDR/XDR), který dokáže detekovat a odstranit skrytý malware.
Doporučené použití: Avast, AVG, Bitdefender (bezplatná verze) nebo nejnovější aktualizovaný Windows Defender (bezplatná verze Kaspersky tento malware zatím nedetekovala).
Spolu s tím proveďte ruční skenování: Zkontrolujte v Průzkumníku procesů, zda se zobrazuje proces bez digitálního podpisu nebo falešný textový název souboru.
Zkontrolujte tcpview, zda se zobrazuje síťové připojení – pokud detekuje připojení k IP adrese 27[.]124[.]9[.]13, je třeba s tím okamžitě něco udělat.
Administrátoři musí naléhavě zablokovat firewall a zabránit tak přístupu ke škodlivé IP adrese 27.124.9.13.
Zdroj: https://baovanhoa.vn/nhip-song-so/canh-bao-ma-doc-nguy-hiem-loi-dung-viec-gop-y-du-thao-van-kien-dai-hoi-dai-bieu-toan-quoc-lan-thu-xiv-cua-dang-181494.html
![[Fotografie] Akce pro komunitu vypráví příběhy o trvalých cestách – intimních i skvělých, a přesto tichých a odhodlaných](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/15/1763179022035_ai-dai-dieu-5828-jpg.webp)
Komentář (0)