هشدار در مورد بدافزار خطرناکی که از نظرات مربوط به پیش‌نویس اسناد چهاردهمین کنگره ملی حزب سوءاستفاده می‌کند

بر این اساس، اداره امنیت سایبری و پیشگیری از جرایم پیشرفته (پلیس شهر هانوی ) بدافزار Valley RAT مرتبط با آدرس سرور کنترل (C2): 27.124.9.13، پورت 5689 را کشف کرد که در فایلی با نام "DRAFT RESOLUTION OF THE CONGRESS.exe" پنهان شده بود.

افراد مورد نظر از فعالیت‌های جمع‌آوری نظرات در مورد پیش‌نویس اسنادی که قرار بود به کنگره ارائه شود، سوءاستفاده کردند تا کاربران را فریب دهند تا اقدامات خطرناکی مانند سرقت اطلاعات حساس، تصاحب حساب‌های شخصی، سرقت اسناد و انتشار بدافزار به رایانه‌های دیگر را نصب و انجام دهند.

نتایج تجزیه و تحلیل نشان می‌دهد که پس از نصب روی رایانه کاربر، این بدافزار هر بار که رایانه راه‌اندازی می‌شود، به طور خودکار اجرا می‌شود، به یک سرور کنترل از راه دور که توسط هکرها کنترل می‌شود متصل می‌شود و از آنجا به انجام اقدامات خطرناک فوق ادامه می‌دهد.

بررسی را گسترش دهید و سایر فایل‌های مخربی را که به سرور C2 متصل هستند و هکرها اخیراً منتشر کرده‌اند، شناسایی کنید: FINANCIAL REPORT2.exe یا BUSINESS INSURANCE PAYMENT.exe؛ GOVERNMENT URGENT DISPATCH.exe؛ TAX DECLARATION SUPPORT.exe؛ PARTY ACTIVITY EVALATION DISPATCH.exe یا AUTHORIZATION FORM.exe؛ MINUTES OF REPORT FOR THE THIRD QUARTER.exe.

برای پیشگیری پیشگیرانه، وزارت امنیت سایبری و پیشگیری از جرایم فناوری پیشرفته توصیه می‌کند که افراد هوشیار باشند و فایل‌های با منشأ ناشناخته (به‌ویژه فایل‌های اجرایی با پسوندهای .exe، .dll، .bat، .msi و ...) را دانلود، نصب یا باز نکنند.

سیستم اطلاعاتی واحد و محل را برای شناسایی فایل‌های مشکوک بررسی کنید. در صورت مشاهده هرگونه حادثه، دستگاه آلوده را ایزوله کنید، اتصال به اینترنت را قطع کنید و برای پشتیبانی به مرکز ملی امنیت سایبری گزارش دهید.

کل سیستم را با آخرین نرم‌افزار امنیتی به‌روز شده (EDR/XDR) که می‌تواند بدافزارهای پنهان را شناسایی و حذف کند، اسکن کنید.

استفاده‌ی پیشنهادی: Avast، AVG، Bitdefender (نسخه‌ی رایگان) یا آخرین به‌روزرسانی Windows Defender (نسخه‌ی رایگان کسپرسکی هنوز این بدافزار را شناسایی نکرده است).

در کنار آن، یک اسکن دستی انجام دهید: اگر فرآیندی بدون امضای دیجیتال یا نام فایل متنی جعلی مشاهده کردید، در Process Explorer بررسی کنید.

برای مشاهده‌ی اتصال شبکه، tcpview را بررسی کنید - اگر اتصال به IP 27[.]124[.]9[.]13 را تشخیص داد، باید فوراً به آن رسیدگی شود.

مدیران سیستم باید فوراً فایروال را مسدود کنند و از دسترسی به آدرس IP مخرب ۲۷.۱۲۴.۹.۱۳ جلوگیری کنند.

منبع: https://baovanhoa.vn/nhip-song-so/canh-bao-ma-doc-nguy-hiem-loi-dung-viec-gop-y-du-thao-van-kien-dai-hoi-dai-bieu-toan-quoc-lan-thu-xiv-cua-dang-181494.html