Το Ανόι προειδοποιεί για κακόβουλο λογισμικό Valley RAT που μιμείται το «Σχέδιο Ψηφίσματος του 14ου Συνεδρίου του Κόμματος»

Πρόκειται για ένα τέχνασμα που εκμεταλλεύεται το ευρύ πολιτικό περιβάλλον του λαού για να διαδώσει κακόβουλο λογισμικό, να κλέψει πληροφορίες και να θέσει σε κίνδυνο την ασφάλεια των συστημάτων πληροφοριών οργανισμών, οργανισμών και ατόμων.

Το κακόβουλο λογισμικό Valley RAT μιμείται το «Σχέδιο Ψηφίσματος του Κογκρέσου»

Σύμφωνα με το Τμήμα Κυβερνοασφάλειας και Πρόληψης Εγκλήματος Υψηλής Τεχνολογίας (Αστυνομία της Πόλης του Ανόι ), το κακόβουλο λογισμικό Valley RAT είναι μεταμφιεσμένο σε ένα αρχείο με το όνομα "DRAFT RESOLUTION OF THE CONGRESS.exe". Όταν ο χρήστης ανοίξει το αρχείο, το κακόβουλο λογισμικό εγκαθίσταται αμέσως στο σύστημα, εκτελείται αυτόματα κάθε φορά που ξεκινά ο υπολογιστής και συνδέεται με τον διακομιστή ελέγχου (C2) στη διεύθυνση 27.124.9.13 (θύρα 5689) που ελέγχεται από τον χάκερ.

Από εδώ, το κακόβουλο λογισμικό μπορεί να εκτελέσει επικίνδυνες ενέργειες: Να κλέψει ευαίσθητες πληροφορίες στον υπολογιστή του χρήστη· Να αναλάβει τον έλεγχο του υπολογιστή· Να κλέψει προσωπικούς και εταιρικούς λογαριασμούς· Να συλλέξει εσωτερικά έγγραφα· Να συνεχίσει την εξάπλωση του κακόβουλου λογισμικού σε άλλες συσκευές στο ίδιο σύστημα.

Ο επικίνδυνος παράγοντας είναι ότι η διεπαφή αρχείου είναι μεταμφιεσμένη ώστε να μοιάζει με ένα πραγματικό διοικητικό έγγραφο, γεγονός που καθιστά εύκολο για τους χρήστες να μπερδευτούν, ειδικά στο πλαίσιο πολλών μονάδων που στέλνουν και λαμβάνουν έγγραφα για να σχολιάσουν έγγραφα.

Ανακαλύφθηκαν περισσότερα νέα σχετικά αρχεία κακόβουλου λογισμικού

Μέσω εκτεταμένης σάρωσης, οι αρχές ανακάλυψαν πολλά περισσότερα κακόβουλα αρχεία με παρόμοιες δομές, τα οποία έμοιαζαν με οικεία διοικητικά έγγραφα: FINANCIAL REPORT2.exe ή BUSINESS INSURANCE PAYMENT.exe· GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe· TAX DECLARATION SUPPORT.exe· PARTY ACTIVITY EVALUATION DOCUMENT.exe ή AUTHORIZATION FORM.exe· ΠΡΑΚΤΙΚΑ ΑΝΑΦΟΡΑΣ ΓΙΑ ΤΟ ΤΡΙΤΟ ΤΡΙΜΗΝΟ.exe

Αυτά τα αρχεία ονομάζονται με βάση τις ιδιαιτερότητες της εργασίας γραφείου, των οικονομικών, των κομματικών υποθέσεων, των φόρων... αυξάνοντας την πιθανότητα οι χρήστες να νομίζουν ότι είναι εσωτερικά έγγραφα και να τα ανοίξουν, δημιουργώντας συνθήκες για την εξάπλωση κακόβουλου λογισμικού.

Μέσω τεχνικής ανάλυσης, η Αστυνομία της Πόλης του Ανόι αξιολόγησε το Valley RAT ως ιδιαίτερα επικίνδυνο επειδή διαθέτει χαρακτηριστικά που το καθιστούν σημαντική απειλή: Κρύβεται στο σύστημα, ξεκινά αυτόματα με τα Windows· επιτρέπει στους χάκερ να ελέγχουν τη συσκευή από απόσταση· είναι ικανό να κατεβάζει επιπλέον κακόβουλο λογισμικό· συλλέγει αυτόματα ευαίσθητα δεδομένα και τα στέλνει στον διακομιστή ελέγχου· είναι ικανό να καταγράφει πληκτρολογήσεις, να λαμβάνει στιγμιότυπα οθόνης, να κλέβει κωδικούς πρόσβασης που είναι αποθηκευμένοι στο πρόγραμμα περιήγησης· εξαπλώνεται εύκολα στο εσωτερικό σύστημα δικτύου...

Πολλές υπηρεσίες και οργανισμοί χρησιμοποιούν εσωτερικό email ή Zalo, Facebook Messenger για την ανταλλαγή εγγράφων, δημιουργώντας ακούσια ένα ευνοϊκό περιβάλλον για την εξάπλωση κακόβουλου λογισμικού εάν έχει μολυνθεί μόνο ένα μηχάνημα στο σύστημα. Για να διασφαλιστεί η ασφάλεια των πληροφοριών, το Τμήμα Κυβερνοασφάλειας και Πρόληψης Εγκλημάτων Υψηλής Τεχνολογίας του Αστυνομικού Τμήματος της Πόλης του Ανόι έχει κάνει συγκεκριμένες συστάσεις:

Μην ανοίγετε ή κατεβάζετε παράξενα αρχεία, αρχεία .exe από email ή κοινωνικά δίκτυα, να είστε ιδιαίτερα επιφυλακτικοί με αρχεία με επεκτάσεις: .exe; .dll; .bat; .msi... Ακόμα κι αν το αρχείο αποστέλλεται από έναν γνωστό (ο λογαριασμός μπορεί να έχει παραβιαστεί).

Ελέγξτε όλες τις συσκευές και τα συστήματα. Όταν εντοπίζουν ασυνήθιστα σημάδια, οι χρήστες πρέπει να αποσυνδεθούν αμέσως από το Διαδίκτυο. Μην συνεχίσετε να χρησιμοποιείτε τη συσκευή. Να αναφέρετε το περιστατικό στις αρχές ή στο Εθνικό Κέντρο Κυβερνοασφάλειας (NCSC).

Σαρώστε το σύστημα με αξιόπιστο λογισμικό ασφαλείας. Οι οργανισμοί και τα άτομα πρέπει να εγκαθιστούν προληπτικά λογισμικό προστασίας από ιούς και κακόβουλο λογισμικό, όπως: Avast (δωρεάν), AVG (δωρεάν), Bitdefender (δωρεάν), Windows Defender (τελευταία ενημέρωση). Αξίζει να σημειωθεί ότι η αστυνομία του Ανόι σημείωσε ότι το δωρεάν λογισμικό προστασίας από ιούς Kaspersky δεν έχει ακόμη εντοπίσει αυτό το είδος κακόβουλου λογισμικού.

Σαρώστε χειροκίνητα για σημάδια επίθεσης. Εκτός από τη χρήση λογισμικού προστασίας από ιούς και τείχους προστασίας, οι χρήστες πρέπει να χρησιμοποιούν την Εξερεύνηση Επεξεργασιών για να βλέπουν παράξενες διεργασίες χωρίς ψηφιακές υπογραφές. Χρησιμοποιήστε το TCPView για να ελέγξετε τη σύνδεση. Εάν δείτε μια σύνδεση με την IP 27.124.9.13, πρέπει να την αντιμετωπίσετε αμέσως.

Οι διαχειριστές συστήματος πρέπει να αποκλείσουν αμέσως την κακόβουλη διεύθυνση IP. Οι χρήστες πρέπει να ρυθμίσουν το τείχος προστασίας ώστε να αποκλείει κάθε πρόσβαση στην IP 27.124.9.13, ώστε να αποτρέψουν τη σύνδεση του κακόβουλου λογισμικού στον διακομιστή ελέγχου.

Ενίσχυση των εσωτερικών προειδοποιήσεων. Οι μονάδες πρέπει να ειδοποιούν αμέσως τους υπαλλήλους και τους υπαλλήλους να μην ανοίγουν καθόλου «συνημμένα» έγγραφα που σχετίζονται με σχόλια εγγράφων, εάν η πηγή δεν μπορεί να επαληθευτεί.

Οι πολίτες πρέπει να λαμβάνουν επίσημες προειδοποιητικές πληροφορίες, να ακολουθούν τις συστάσεις από: Υπουργείο Δημόσιας Ασφάλειας , Υπουργείο Πληροφοριών και Επικοινωνιών, Τοπική Αστυνομία, Μην κοινοποιείτε ύποπτα αρχεία στα μέσα κοινωνικής δικτύωσης για να αποφύγετε τη διάδοση, Αυξήστε την επαγρύπνηση για την προστασία της εθνικής ασφάλειας δικτύων.

Η εμφάνιση του κακόβουλου λογισμικού Valley RAT την ακριβή στιγμή των σχολίων στα προσχέδια εγγράφων του 14ου Εθνικού Συνεδρίου του Κόμματος δείχνει ότι οι κυβερνοεπιτιθέμενοι εκμεταλλεύονται πλήρως την εμπιστοσύνη των χρηστών σε πολιτικά και διοικητικά έγγραφα.

Η ασφάλεια των πληροφοριών δεν αποτελεί μόνο ευθύνη εξειδικευμένων φορέων, αλλά και καθήκον κάθε ατόμου που χρησιμοποιεί ψηφιακές συσκευές. Η σωστή ταυτοποίηση, η γρήγορη δράση και η έγκαιρη αναφορά θα συμβάλουν σημαντικά στην προστασία του εθνικού συστήματος πληροφοριών και στη διατήρηση της ασφάλειας στον κυβερνοχώρο.