Hanoj ​​varuje před malwarem Valley RAT, který se vydává za „návrh usnesení 14. sjezdu Národní strany“

Jedná se o trik, který zneužívá širokého politického prostředí lidí k šíření malwaru, krádeži informací a ohrožení bezpečnosti informačních systémů agentur, organizací a jednotlivců.

Malware Valley RAT se vydává za „návrh usnesení Kongresu“

Podle Oddělení kybernetické bezpečnosti a prevence kriminality v oblasti high-tech (městská policie v Hanoji ) je malware Valley RAT maskován v souboru s názvem „DRAFT RESOLUTION OF THE CONGRESS.exe“. Když uživatel soubor otevře, malware se okamžitě nainstaluje do systému, automaticky se spustí při každém spuštění počítače a připojí se k řídicímu serveru (C2) na adrese 27.124.9.13 (port 5689), který hacker ovládá.

Odtud může malware provádět nebezpečné akce: Ukrást citlivé informace z počítače uživatele; Převzít kontrolu nad počítačem; Ukrást osobní a firemní účty; Shromažďovat interní dokumenty; Pokračovat v šíření malwaru do dalších zařízení ve stejném systému.

Nebezpečným faktorem je, že rozhraní souboru je maskované tak, aby vypadalo jako skutečný administrativní dokument, což uživatelům usnadňuje zmatek, zejména v kontextu mnoha jednotek, které odesílají a přijímají dokumenty za účelem komentování.

Objevily se další nové soubory související s malwarem

Prostřednictvím rozšířeného skenování úřady objevily mnoho dalších škodlivých souborů s podobnou strukturou, které vypadaly jako známé administrativní dokumenty: FINANCIAL REPORT2.exe nebo BUSINESS INSURANCE PAYMENT.exe; GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe; TAX DECLARATION SUPPORT.exe; PARTY ACTIVITY EVALUATION DOCUMENT.exe nebo FORMULÁŘ AUTORIZACE.exe; MINUTES OF REPORT FOR THIRD QUARTER.exe

Tyto soubory jsou pojmenovány podle specifik kancelářské práce, financí, stranických záležitostí, daní... což zvyšuje pravděpodobnost, že si uživatelé budou myslet, že se jedná o interní dokumenty, a otevřou je, čímž vytvoří podmínky pro šíření malwaru.

Prostřednictvím technické analýzy vyhodnotila policie města Hanoj ​​vir Valley RAT jako obzvláště nebezpečný, protože má vlastnosti, které z něj činí velkou hrozbu: Skrývá se v systému a automaticky se spouští s Windows; Umožňuje hackerům vzdáleně ovládat zařízení; Je schopen stahovat další malware; Automaticky shromažďuje citlivá data a odesílá je na řídicí server; Je schopen zaznamenávat stisky kláves, pořizovat snímky obrazovky, krást hesla uložená v prohlížeči; Snadno se šíří v interním síťovém systému...

Mnoho agentur a organizací používá interní e-mail nebo Zalo a Facebook Messenger k výměně dokumentů, čímž neúmyslně vytváří příznivé prostředí pro šíření malwaru, pokud je infikován pouze jeden počítač v systému. Pro zajištění informační bezpečnosti vydalo oddělení kybernetické bezpečnosti a prevence kriminality v oblasti high-tech policejního oddělení města Hanoje konkrétní doporučení:

Neotevírejte ani nestahujte podivné soubory, soubory .exe z e-mailů nebo sociálních sítí, buďte obzvláště opatrní u souborů s příponami: .exe; .dll; .bat; .msi... I když je soubor odeslán od známého (účet mohl být unesen).

Zkontrolujte všechna zařízení a systémy. Při zjištění neobvyklých příznaků se uživatelé musí okamžitě odpojit od internetu; zařízení dále nepoužívat; nahlásit to úřadům nebo Národnímu centru kybernetické bezpečnosti (NCSC).

Prohledejte systém pomocí renomovaného bezpečnostního softwaru. Organizace i jednotlivci by si měli proaktivně nainstalovat antivirový a antimalwarový software, jako například: Avast (zdarma); AVG (zdarma); Bitdefender (zdarma); Windows Defender (nejnovější aktualizace). Hanojská policie zejména poznamenala, že bezplatný antivirový software Kaspersky zatím tento typ malwaru nedetekoval.

Ručně prohledejte zařízení, zda neobsahuje známky útoku. Kromě antivirového softwaru a firewallů je nutné použít Process Explorer k zobrazení podivných procesů bez digitálních podpisů; použít TCPView ke kontrole připojení; pokud vidíte připojení k IP adrese 27.124.9.13, musíte to okamžitě vyřešit.

Systémoví administrátoři musí okamžitě zablokovat škodlivou IP adresu. Uživatelé musí nakonfigurovat firewall tak, aby blokoval veškerý přístup k IP adrese 27.124.9.13, aby se malware nemohl připojit k řídicímu serveru.

Posílit interní varování. Jednotky musí okamžitě upozornit úředníky a zaměstnance, aby v žádném případě neotevírali „přiložené“ dokumenty související s komentáři k dokumentům, pokud nelze ověřit zdroj.

Lidé potřebují obdržet oficiální varovné informace, řídit se doporučeními od: Ministerstva veřejné bezpečnosti ; Ministerstva informací a komunikací; Místní policie; Nesdílejte podezřelé soubory na sociálních sítích, abyste zabránili jejich šíření; Zvyšte ostražitost na ochranu bezpečnosti národních sítí.

Výskyt malwaru Valley RAT přesně v době komentářů k návrhům dokumentů 14. sjezdu Národní strany ukazuje, že kybernetičtí útočníci důkladně zneužívají důvěru uživatelů v politické a administrativní dokumenty.

Informační bezpečnost není jen odpovědností specializovaných agentur, ale také povinností každého jednotlivce, který používá digitální zařízení. Správná identifikace, rychlá akce a včasné hlášení významně přispějí k ochraně národního informačního systému a udržení bezpečnosti v kyberprostoru.