党の第14回全国代表大会に提出される文書草案に対する意見収集活動に乗じて、悪意のある人物が悪意のあるソフトウェアをインストールし、破壊活動を実行し、情報データを盗んでいます。
状況把握作業を通じて、 ハノイ市警察サイバーセキュリティおよびハイテク犯罪防止局は、 マルウェア Valley RATは、制御サーバー(C2)のアドレス27.124.9.13、ポート5689にリンクし、「DRAFT RESOLUTION CONGRESSION.exe」というファイルに隠されています。対象者は、議会に提出された草案文書に関する意見収集活動に便乗し、ユーザーを騙してインストールさせ、機密情報の窃盗、個人アカウントの不正利用、文書の窃盗、他のコンピュータへのマルウェア拡散といった危険な行為を実行させます。
分析結果によると、マルウェアはユーザーのコンピュータにインストールされた後、コンピュータの起動時に自動的に実行され、ハッカーが管理するリモートコントロールサーバーに接続し、上記の危険な動作を継続します。さらに調査を進めると、ハッカーが最近拡散させたC2サーバーに接続された他のマルウェアファイルも検出されました。
(1)FINANCIAL REPORT2.exeまたはBUSINESS INSURANCE PAYMENT.exe
(2)政府の緊急公式派遣.exe
(3)税務申告サポート.exe
(4)政党活動評価公式文書.exeまたは承認フォーム.exe
(5)第3四半期報告書の議事録.exe
積極的に防止するために、サイバーセキュリティおよびハイテク犯罪防止局は、 ハノイ警察 推薦する人:
- 出所が不明なファイル(特に拡張子が .exe、.dll、.bat、.msi などの実行可能ファイル)をダウンロードしたり、インストールしたり、開いたりしないでください。
- 部署および地域の情報システムを確認し、不審なファイルを検出してください。インシデントが記録されている場合は、感染したマシンを隔離し、インターネットを切断し、国立サイバーセキュリティセンターに報告してサポートを受けてください。
- 最新のセキュリティソフトウェア(EDR/XDR)でシステム全体をスキャンし、隠れたマルウェアを検出・削除します。推奨:Avast、AVG、Bitdefender(無料版)、または最新のWindows Defender。
注意: Kaspersky の無料バージョンでは、このマルウェアはまだ検出されていません。
- 手動スキャン:
+ Process Explorer で、プロセスにデジタル署名がないか、偽のテキスト ファイル名が付いているかどうかを確認します。
+ tcpview でネットワーク接続を確認します - IP 27[.]124[.]9[.]13 への接続が検出された場合は、すぐに処理する必要があります。
- 管理者は、ファイアウォールで緊急にブロックし、悪意のある IP アドレス 27.124.9.13 へのアクセスを防止する必要があります。
出典: https://quangngaitv.vn/canh-bao-ma-doc-nguy-hiem-loi-dung-viec-gop-y-du-thao-van-kien-dai-hoi-dang-toan-quoc-lan-thu-xiv-6510283.html
コメント (0)