Figyelmeztetés a 14. Nemzeti Pártkongresszus tervezetdokumentumaihoz fűzött megjegyzéseket kihasználó veszélyes rosszindulatú programokról

A helyzet felmérése során a Hanoi Városi Rendőrség Kiberbiztonsági és Csúcstechnológiai Bűnmegelőzési és -ellenőrzési Osztálya felfedezte, hogy   rosszindulatú program   A Valley RAT a vezérlőszerver címére (C2) hivatkozik: 27.124.9.13, 5689-es port, amely a „DRAFT RESOLUTION CONGRESSION.exe” nevű fájlban rejtőzik. Az alanyok kihasználják a Kongresszusnak benyújtott tervezetekről szóló vélemények gyűjtésének tevékenységét, hogy rávegyék a felhasználókat veszélyes cselekmények telepítésére és végrehajtására, például érzékeny információk ellopására, személyes fiókok eltulajdonítására, dokumentumok ellopására és rosszindulatú programok más számítógépekre való terjesztésére.

Az elemzés eredményei azt mutatják, hogy a rosszindulatú program, miután települt a felhasználó számítógépére, minden alkalommal automatikusan végrehajtódik, amikor a számítógépet elindítják, csatlakozik a hacker által irányított távoli szerverhez, ezáltal folytatva a fenti veszélyes műveletek végrehajtását. A vizsgálat kiterjesztéseként további, a C2 szerverhez kapcsolódó rosszindulatú fájlokat is észleltek, amelyeket a hacker a közelmúltban terjesztett:

(1) PÉNZÜGYI JELENTÉS2.exe vagy ÜZLETI BIZTOSÍTÁSI FIZETÉS.exe

(2) A KORMÁNY SÜRGŐS HIVATALOS KÜLDÉSE.exe

(3) ADÓBEVALLÁS TÁMOGATÁS.exe

(4) HIVATALOS DOKUMENTUM A FÉLTEVÉKENYSÉGEK ÉRTÉKELÉSÉRE.exe vagy ENGEDÉLYEZÉSI ŰRLAP.exe

(5) A HARMADIK NEGYEDÉVI JELENTÉS JEGYZŐKÖNYVE.exe

A proaktív megelőzés érdekében a Kiberbiztonsági és Csúcstechnológiai Bűnmegelőzési Osztály,   Hanoi rendőrség   ajánlom az embereket:

- Legyen éber, ne töltsön le, ne telepítsen és ne nyisson meg ismeretlen eredetű fájlokat (különösen ne a .exe, .dll, .bat, .msi stb. kiterjesztésű futtatható fájlokat).

- Ellenőrizze az egység és a település információs rendszerét a gyanús fájlok felderítése érdekében. Ha incidenst rögzít, izolálja a fertőzött gépet, válassza le az internetet, és jelentse a Nemzeti Kiberbiztonsági Központnak támogatásért.

- Vizsgálja át a teljes rendszert a legújabb frissített biztonsági szoftverrel (EDR/XDR), amely képes felismerni és eltávolítani a rejtett rosszindulatú programokat. Ajánlott használat: Avast, AVG, Bitdefender (ingyenes verzió) vagy a legújabb frissített Windows Defender.

Megjegyzés: A Kaspersky ingyenes verziója még nem észlelte ezt a kártevőt.

- Manuális szkennelés:

+ Ellenőrizd a Process Explorerben, hogy a folyamatnak nincs-e digitális aláírása, vagy hamis szöveges fájlneve van.

+ Ellenőrizd a tcpview-t a hálózati kapcsolat megtekintéséhez - ha az IP 27[.]124[.]9[.]13 címhez való csatlakozást észlel, azonnal kezelni kell.

- A rendszergazdáknak sürgősen blokkolniuk kell a tűzfalon, megakadályozva a rosszindulatú 27.124.9.13 IP-címhez való hozzáférést.