Hanoi warnt vor Valley-RAT-Malware, die sich als „Entwurf einer Resolution des 14. Nationalen Parteitags“ ausgibt.

Hierbei handelt es sich um einen Trick, der das breite politische Umfeld der Bevölkerung ausnutzt, um Schadsoftware zu verbreiten, Informationen zu stehlen und die Sicherheit der Informationssysteme von Behörden, Organisationen und Einzelpersonen zu gefährden.

Die Valley RAT-Malware gibt sich als „Entwurf einer Resolution des Kongresses“ aus.

Laut der Abteilung für Cybersicherheit und Bekämpfung von Hightech-Kriminalität (Polizei Hanoi ) ist die Valley-RAT-Malware in einer Datei namens „DRAFT RESOLUTION OF THE CONGRESS.exe“ getarnt. Sobald der Benutzer die Datei öffnet, installiert sich die Malware umgehend im System, führt sich bei jedem Computerstart automatisch aus und verbindet sich mit dem Kontrollserver (C2) unter der Adresse 27.124.9.13 (Port 5689), der vom Hacker kontrolliert wird.

Von hier aus kann die Schadsoftware gefährliche Aktionen ausführen: Sensible Informationen auf dem Computer des Benutzers stehlen; die Kontrolle über den Computer übernehmen; persönliche und geschäftliche Konten stehlen; interne Dokumente sammeln; die Schadsoftware weiter auf andere Geräte im selben System verbreiten.

Die Gefahr besteht darin, dass die Dateischnittstelle so gestaltet ist, dass sie wie ein echtes Verwaltungsdokument aussieht, was die Benutzer leicht verwirren kann, insbesondere im Kontext vieler Einheiten, die Dokumente senden und empfangen, um Dokumente zu kommentieren.

Weitere neue, verwandte Malware-Dateien entdeckt

Durch erweiterte Scans entdeckten die Behörden zahlreiche weitere schädliche Dateien mit ähnlicher Struktur, die bekannten Verwaltungsdokumenten ähnelten: FINANCIAL REPORT2.exe oder BUSINESS INSURANCE PAYMENT.exe; GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe; TAX DECLARATION SUPPORT.exe; PARTY ACTIVITY EVALUATION DOCUMENT.exe oder AUTHORIZATION FORM.exe; MINUTES OF REPORT FOR THE THIRD QUARTER.exe

Diese Dateien sind nach spezifischen Aspekten von Büroarbeit, Finanzen, Parteiangelegenheiten, Steuern usw. benannt, was die Wahrscheinlichkeit erhöht, dass Benutzer sie für interne Dokumente halten und öffnen, wodurch Bedingungen für die Verbreitung von Schadsoftware geschaffen werden.

Die Polizei von Hanoi stufte Valley RAT durch technische Analysen als besonders gefährlich ein, da es Eigenschaften aufweist, die es zu einer großen Bedrohung machen: Es versteckt sich im System und startet automatisch mit Windows; es ermöglicht Hackern die Fernsteuerung des Geräts; es kann zusätzliche Schadsoftware herunterladen; es sammelt automatisch sensible Daten und sendet sie an den Kontrollserver; es kann Tastatureingaben aufzeichnen, Screenshots erstellen und im Browser gespeicherte Passwörter stehlen; es verbreitet sich leicht im internen Netzwerksystem…

Viele Behörden und Organisationen nutzen interne E-Mails oder Zalo und Facebook Messenger zum Dokumentenaustausch und schaffen so unbeabsichtigt ein günstiges Umfeld für die Verbreitung von Schadsoftware, falls nur ein Rechner im System infiziert ist. Um die Informationssicherheit zu gewährleisten, hat die Abteilung für Cybersicherheit und Bekämpfung von Hightech-Kriminalität der Polizei von Hanoi konkrete Empfehlungen ausgesprochen:

Öffnen oder laden Sie keine unbekannten Dateien herunter, insbesondere keine .exe-Dateien aus E-Mails oder sozialen Netzwerken. Seien Sie besonders vorsichtig bei Dateien mit den Endungen: .exe, .dll, .bat, .msi usw., selbst wenn die Datei von einem Bekannten stammt (das Konto könnte gehackt worden sein).

Überprüfen Sie alle Geräte und Systeme. Bei ungewöhnlichen Anzeichen müssen Benutzer die Internetverbindung sofort trennen, das Gerät nicht weiter verwenden und den Vorfall den Behörden oder dem Nationalen Zentrum für Cybersicherheit (NCSC) melden.

Scannen Sie das System mit einer seriösen Sicherheitssoftware. Organisationen und Privatpersonen sollten proaktiv Antiviren- und Anti-Malware-Software wie Avast (kostenlos), AVG (kostenlos), Bitdefender (kostenlos) oder Windows Defender (neueste Version) installieren. Die Polizei von Hanoi wies darauf hin, dass die kostenlose Antivirensoftware Kaspersky diese Art von Malware bisher nicht erkannt hat.

Führen Sie manuelle Scans auf Anzeichen von Angriffen durch. Zusätzlich zur Verwendung von Antivirensoftware und Firewalls sollten Sie den Prozess-Explorer nutzen, um verdächtige Prozesse ohne digitale Signatur aufzuspüren. Überprüfen Sie die Verbindung mit TCPView. Wenn Sie eine Verbindung zur IP-Adresse 27.124.9.13 feststellen, müssen Sie diese umgehend unterbinden.

Systemadministratoren müssen die schädliche IP-Adresse umgehend blockieren. Benutzer müssen die Firewall so konfigurieren, dass jeglicher Zugriff auf die IP-Adresse 27.124.9.13 blockiert wird, um zu verhindern, dass die Schadsoftware eine Verbindung zum Kontrollserver herstellt.

Interne Warnhinweise müssen verstärkt werden. Die Einheiten müssen ihre Offiziere und Mitarbeiter unverzüglich darauf hinweisen, dass sie „angehängte“ Dokumente im Zusammenhang mit Dokumentenkommentaren keinesfalls öffnen dürfen, wenn die Quelle nicht verifiziert werden kann.

Die Bevölkerung sollte offizielle Warnhinweise erhalten und den Empfehlungen des Ministeriums für öffentliche Sicherheit , des Ministeriums für Information und Kommunikation sowie der örtlichen Polizei folgen. Verdächtige Dateien sollten nicht in sozialen Netzwerken geteilt werden, um deren Verbreitung zu verhindern. Die Wachsamkeit zum Schutz der nationalen Netzwerksicherheit sollte erhöht werden.

Das Auftreten der Valley RAT-Malware genau zum Zeitpunkt der Kommentierung von Entwurfsdokumenten des 14. Nationalen Parteitags zeigt, dass Cyberangreifer das Vertrauen der Nutzer in politische und administrative Dokumente gründlich ausnutzen.

Informationssicherheit ist nicht nur Aufgabe spezialisierter Behörden, sondern auch die Pflicht jedes Einzelnen, der digitale Geräte nutzt. Korrekte Identifizierung, schnelles Handeln und zeitnahe Meldung tragen wesentlich zum Schutz des nationalen Informationssystems und zur Aufrechterhaltung der Sicherheit im Cyberspace bei.