Hanoi figyelmeztet a Valley RAT rosszindulatú programjára, amely a „14. párt kongresszusának határozattervezetét” utánozza.

Ez egy olyan trükk, amely kihasználja az emberek széles politikai környezetét rosszindulatú programok terjesztésére, információk ellopására és kockázatot jelent az ügynökségek, szervezetek és magánszemélyek információs rendszereinek biztonságára.

A Valley RAT rosszindulatú programja a „Kongresszus határozattervezetének” utánozza magát

A Kiberbiztonsági és Csúcstechnológiai Bűnmegelőzési Osztály ( Hanoi Városi Rendőrség) szerint a Valley RAT rosszindulatú program egy „DRAFT RESOLUTION OF THE CONGRESS.exe” nevű fájlban van elrejtve. Amikor a felhasználó megnyitja a fájlt, a rosszindulatú program azonnal települ a rendszerbe, automatikusan lefut minden alkalommal, amikor a számítógép elindul, és csatlakozik a hacker által ellenőrzött vezérlőkiszolgálóhoz (C2) a 27.124.9.13-as címen (5689-es port).

Innen a rosszindulatú program veszélyes műveleteket hajthat végre: Érzékeny információkat lophat el a felhasználó számítógépéről; Átveheti az irányítást a számítógép felett; Személyes és vállalati fiókokat lophat; Belső dokumentumokat gyűjthet; A rosszindulatú program további terjesztését végezheti el ugyanazon a rendszeren belüli más eszközökre.

A veszélyes tényező az, hogy a fájlfelület úgy van álcázva, hogy valódi adminisztratív dokumentumnak tűnjön, ami könnyen összezavarhatja a felhasználókat, különösen abban az összefüggésben, hogy sok egység küld és fogad dokumentumokat, hogy véleményezze azokat.

További új kapcsolódó kártevőfájlokat fedeztek fel

A kibővített vizsgálat során a hatóságok számos további, hasonló felépítésű, kártékony fájlt fedeztek fel, amelyek ismerős adminisztratív dokumentumokra hasonlítottak: PÉNZÜGYI JELENTÉS2.exe vagy ÜZLETI BIZTOSÍTÁSI FIZETÉS.exe; KORMÁNYI SÜRGŐS HIVATALOS ELLENŐRZÉS.exe; ADÓBEVALLÁSI TÁMOGATÁS.exe; PÁRTTEVÉKENYSÉGI ÉRTÉKELÉSI DOKUMENTUM.exe vagy ENGEDÉLYEZÉSI ŰRLAP.exe; HARMADIK NEGYEDÉV JELENTÉSÉNEK JEGYZŐKÖNYVE.exe

Ezek a fájlok az irodai munka, a pénzügyek, a pártügyek, az adózás... sajátosságairól kapták a nevüket, ami növeli annak az esélyét, hogy a felhasználók belső dokumentumoknak hisszék őket, és megnyitják őket, megteremtve a feltételeket a rosszindulatú programok terjedéséhez.

Technikai elemzés segítségével a Hanoi Városi Rendőrség különösen veszélyesnek minősítette a Valley RAT vírust, mivel olyan jellemzőkkel bír, amelyek komoly fenyegetést jelentenek: Elbújik a rendszerben, automatikusan elindul a Windows; Lehetővé teszi a hackerek számára az eszköz távoli vezérlését; Képes további rosszindulatú programok letöltésére; Automatikusan gyűjti az érzékeny adatokat és elküldi azokat a vezérlőszervernek; Képes rögzíteni a billentyűleütéseket, képernyőképeket készíteni, ellopni a böngészőben mentett jelszavakat; Könnyen terjed a belső hálózati rendszerben...

Sok ügynökség és szervezet belső e-mailt vagy Zalót, Facebook Messengert használ dokumentumcserére, akaratlanul is kedvező környezetet teremtve a rosszindulatú programok terjedéséhez, ha a rendszerben csak egyetlen gép fertőzött. Az információbiztonság garantálása érdekében a Hanoi Városi Rendőrkapitányság Kiberbiztonsági és Csúcstechnológiai Bűnmegelőzési Osztálya konkrét ajánlásokat tett:

Ne nyisson meg és ne töltsön le furcsa fájlokat, például .exe kiterjesztésű fájlokat e-mailekből vagy közösségi oldalakról, és legyen különösen óvatos az .exe; .dll; .bat; .msi kiterjesztésű fájlokkal... Még akkor sem, ha a fájlt egy ismerős küldte (előfordulhat, hogy a fiókot feltörték).

Ellenőrizze az összes eszközt és rendszert. Szokatlan jelek észlelésekor a felhasználóknak azonnal csatlakozzanak le az internetről; Ne folytassák az eszköz használatát; Jelentsék a hatóságoknak vagy a Nemzeti Kiberbiztonsági Központnak (NCSC).

Vizsgálja át a rendszert megbízható biztonsági szoftverrel. A szervezeteknek és a magánszemélyeknek proaktívan telepíteniük kell vírus- és kártevőirtó szoftvereket, például: Avast (ingyenes); AVG (ingyenes); Bitdefender (ingyenes); Windows Defender (legújabb frissítés). A hanoi rendőrség megjegyezte, hogy az ingyenes Kaspersky vírusirtó szoftver még nem észlelte ezt a típusú kártevőt.

Manuálisan keressen támadásra utaló jeleket. A víruskereső szoftverek és tűzfalak használata mellett a Process Explorert is használni kell a digitális aláírás nélküli furcsa folyamatok észleléséhez; a TCPView segítségével ellenőrizze a kapcsolatot; ha kapcsolatot lát a 27.124.9.13 IP-címmel, azonnal kezelnie kell.

A rendszergazdáknak azonnal blokkolniuk kell a rosszindulatú IP-címet. A felhasználóknak úgy kell konfigurálniuk a tűzfalat, hogy az blokkolja a 27.124.9.13 IP-címhez való összes hozzáférést, hogy megakadályozzák a rosszindulatú program csatlakozását a vezérlőkiszolgálóhoz.

A belső figyelmeztetések megerősítése. Az egységeknek azonnal értesíteniük kell a tiszteket és az alkalmazottakat, hogy semmiképpen ne nyissák meg a dokumentumhoz fűzött megjegyzésekhez kapcsolódó „csatolt” dokumentumokat, ha a forrás nem ellenőrizhető.

Az embereknek hivatalos figyelmeztető információkat kell kapniuk, és be kell tartaniuk a következők ajánlásait: Közbiztonsági Minisztérium ; Információs és Kommunikációs Minisztérium; Helyi Rendőrség; Ne osszanak meg gyanús fájlokat a közösségi hálózatokon a terjedés elkerülése érdekében; Fokozott éberség a nemzeti hálózatbiztonság védelme érdekében.

A Valley RAT rosszindulatú program megjelenése pontosan a 14. Nemzeti Pártkongresszus tervezetdokumentumainak véleményezése idején azt mutatja, hogy a kiberbűnözők alaposan kihasználják a felhasználók politikai és adminisztratív dokumentumokba vetett bizalmát.

Az információbiztonság nemcsak a szakosított szervek felelőssége, hanem minden egyes digitális eszközt használó személy kötelessége is. A helyes azonosítás, a gyors cselekvés és az időben történő jelentéstétel jelentősen hozzájárul a nemzeti információs rendszer védelméhez és a kibertér biztonságának fenntartásához.