هانوی نسبت به بدافزار Valley RAT که خود را به جای «پیش‌نویس قطعنامه چهاردهمین کنگره ملی حزب» جا می‌زند، هشدار داد.

این ترفندی است که از فضای سیاسی گسترده مردم برای انتشار بدافزار، سرقت اطلاعات و ایجاد خطر برای امنیت سیستم‌های اطلاعاتی آژانس‌ها، سازمان‌ها و افراد سوءاستفاده می‌کند.

بدافزار Valley RAT خود را به جای «پیش‌نویس قطعنامه کنگره» جا می‌زند

طبق گزارش دپارتمان امنیت سایبری و پیشگیری از جرایم پیشرفته (پلیس شهر هانوی )، بدافزار Valley RAT در فایلی با نام "DRAFT RESOLUTION OF THE CONGRESS.exe" پنهان شده است. هنگامی که کاربر فایل را باز می‌کند، بدافزار بلافاصله خود را در سیستم نصب می‌کند، هر بار که کامپیوتر روشن می‌شود به طور خودکار اجرا می‌شود و به سرور کنترل (C2) در آدرس 27.124.9.13 (پورت 5689) که توسط هکر کنترل می‌شود، متصل می‌شود.

از اینجا، بدافزار می‌تواند اقدامات خطرناکی انجام دهد: سرقت اطلاعات حساس روی رایانه کاربر؛ کنترل رایانه را در دست گرفتن؛ سرقت حساب‌های شخصی و شرکتی؛ جمع‌آوری اسناد داخلی؛ ادامه انتشار بدافزار به سایر دستگاه‌های همان سیستم.

عامل خطرناک این است که رابط کاربری فایل طوری تغییر شکل داده شده که شبیه یک سند اداری واقعی به نظر برسد و این امر باعث می‌شود کاربران به راحتی گیج شوند، به خصوص در شرایطی که بسیاری از واحدها اسناد را ارسال و دریافت می‌کنند تا در مورد اسناد نظر بدهند.

فایل‌های بدافزار مرتبط جدید بیشتری کشف شدند

مقامات با اسکن گسترده‌تر، فایل‌های مخرب بسیار بیشتری با ساختارهای مشابه کشف کردند که شبیه اسناد اداری آشنا بودند: FINANCIAL REPORT2.exe یا BUSINESS INSURANCE PAYMENT.exe؛ GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe؛ TAX DECLARATION SUPPORT.exe؛ PARTY ACTIVITY EVALATION DOCUMENT.exe یا AUTHORIZATION FORM.exe؛ MONUTES OF REPORT FOR THE TRIRD QUARTER.exe

این فایل‌ها بر اساس جزئیات مربوط به کارهای اداری، امور مالی، امور حزبی، مالیات و... نامگذاری شده‌اند که این امر احتمال اینکه کاربران فکر کنند این فایل‌ها اسناد داخلی هستند و آنها را باز کنند را افزایش می‌دهد و شرایط را برای انتشار بدافزار فراهم می‌کند.

پلیس شهر هانوی از طریق تجزیه و تحلیل فنی، Valley RAT را به عنوان یک تهدید ویژه ارزیابی کرد، زیرا دارای ویژگی‌هایی است که آن را به یک تهدید بزرگ تبدیل می‌کند: پنهان شدن در سیستم، شروع خودکار با ویندوز؛ اجازه دادن به هکرها برای کنترل از راه دور دستگاه؛ قابلیت دانلود بدافزارهای اضافی؛ جمع‌آوری خودکار داده‌های حساس و ارسال آنها به سرور کنترل؛ قابلیت ضبط کلیدهای فشرده شده، گرفتن اسکرین شات، سرقت رمزهای عبور ذخیره شده در مرورگر؛ انتشار آسان در سیستم شبکه داخلی...

بسیاری از سازمان‌ها و آژانس‌ها از ایمیل داخلی یا Zalo، پیام‌رسان فیس‌بوک برای تبادل اسناد استفاده می‌کنند و اگر فقط یک دستگاه در سیستم آلوده باشد، ناخواسته محیطی مساعد برای انتشار بدافزار ایجاد می‌کنند. برای اطمینان از امنیت اطلاعات، اداره امنیت سایبری و پیشگیری از جرایم پیشرفته، اداره پلیس شهر هانوی، توصیه‌های خاصی ارائه داده است:

فایل‌های عجیب و غریب، فایل‌های .exe را از ایمیل یا شبکه‌های اجتماعی باز یا دانلود نکنید، به خصوص در مورد فایل‌هایی با پسوندهای .exe؛ .dll؛ .bat؛ .msi... محتاط باشید، حتی اگر فایل از طرف یک آشنا ارسال شده باشد (ممکن است حساب کاربری ربوده شده باشد).

تمام دستگاه‌ها و سیستم‌ها را بررسی کنید. در صورت مشاهده علائم غیرمعمول، کاربران باید فوراً اتصال خود را به اینترنت قطع کنند؛ به استفاده از دستگاه ادامه ندهند؛ به مقامات یا مرکز ملی امنیت سایبری (NCSC) گزارش دهند.

سیستم را با نرم‌افزارهای امنیتی معتبر اسکن کنید. سازمان‌ها و افراد باید به‌طور فعال نرم‌افزارهای آنتی‌ویروس و ضد بدافزار مانند Avast (رایگان)؛ AVG (رایگان)؛ Bitdefender (رایگان)؛ Windows Defender (آخرین به‌روزرسانی) را نصب کنند. نکته قابل توجه این است که پلیس هانوی خاطرنشان کرد که نرم‌افزار آنتی‌ویروس رایگان کسپرسکی هنوز این نوع بدافزار را شناسایی نکرده است.

به صورت دستی علائم حمله را اسکن کنید. علاوه بر استفاده از نرم‌افزار آنتی‌ویروس و فایروال، افراد باید از Process Explorer برای مشاهده فرآیندهای عجیب و غریب بدون امضاهای دیجیتال استفاده کنند؛ از TCPView برای بررسی اتصال استفاده کنید؛ اگر اتصالی به IP 27.124.9.13 مشاهده کردید، باید فوراً آن را مدیریت کنید.

مدیران سیستم باید فوراً IP مخرب را مسدود کنند. کاربران نیز باید فایروال را طوری پیکربندی کنند که تمام دسترسی‌ها به IP 27.124.9.13 را مسدود کند تا از اتصال بدافزار به سرور کنترل جلوگیری شود.

هشدارهای داخلی را تقویت کنید. واحدها باید فوراً به افسران و کارمندان اطلاع دهند که در صورت عدم تأیید منبع، اسناد «ضمیمه» مربوط به نظرات مربوط به اسناد را به هیچ وجه باز نکنند.

مردم باید اطلاعات هشدار رسمی را دریافت کنند، توصیه‌های وزارت امنیت عمومی ؛ وزارت اطلاعات و ارتباطات؛ پلیس محلی را دنبال کنند؛ برای جلوگیری از انتشار، فایل‌های مشکوک را در شبکه‌های اجتماعی به اشتراک نگذارند؛ برای محافظت از امنیت شبکه ملی، هوشیاری خود را افزایش دهند.

ظهور بدافزار Valley RAT دقیقاً همزمان با انتشار نظرات در مورد پیش‌نویس اسناد چهاردهمین کنگره ملی حزب نشان می‌دهد که مهاجمان سایبری کاملاً از اعتماد کاربران به اسناد سیاسی و اداری سوءاستفاده می‌کنند.

امنیت اطلاعات نه تنها مسئولیت سازمان‌های تخصصی است، بلکه وظیفه هر فردی است که از دستگاه‌های دیجیتال استفاده می‌کند. شناسایی صحیح، اقدام سریع و گزارش به موقع، به طور قابل توجهی به حفاظت از سیستم اطلاعات ملی و حفظ امنیت در فضای مجازی کمک خواهد کرد.