ハノイ、「第14回党大会決議案」を装ったValley RATマルウェアについて警告

これは、国民の広範な政治環境を利用してマルウェアを拡散し、情報を盗み、機関、組織、個人の情報システムのセキュリティにリスクをもたらすトリックです。

Valley RATマルウェアが「議会決議案」を偽装

ハノイ市警察サイバーセキュリティ・ハイテク犯罪対策局によると、Valley RATマルウェアは「DRAFT RESOLUTION OF THE CONGRESS.exe」というファイルに偽装されている。ユーザーがこのファイルを開くと、マルウェアは即座にシステムにインストールされ、コンピュータの起動時に自動的に実行され、ハッカーが管理するアドレス27.124.9.13（ポート5689）の制御サーバー（C2）に接続します。

ここから、マルウェアは危険なアクションを実行できます: ユーザーのコンピューター上の機密情報を盗む、コンピューターを制御する、個人および企業のアカウントを盗む、内部文書を収集する、同じシステム内の他のデバイスにマルウェアを拡散し続ける。

危険な要素は、ファイル インターフェースが実際の管理文書のように偽装されているため、特に多くのユニットが文書を送受信して文書にコメントするという状況で、ユーザーが混乱しやすいことです。

さらに新たな関連マルウェアファイルが発見されました

当局は、拡張スキャンを通じて、同様の構造を持つ、よく知られた行政文書に似た悪質なファイルをさらに多数発見しました。FINANCIAL REPORT2.exe または BUSINESS INSURANCE PAYMENT.exe、GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe、TAX DECLARATION SUPPORT.exe、PARTY ACTIVITY EVALUATION DOCUMENT.exe または AUTHORIZATION FORM.exe、MINUTES OF REPORT FOR THE THIRD QUARTER.exe などです。

これらのファイルは、事務、財務、党務、税金などの具体的な内容にちなんで命名されているため、ユーザーが内部文書だと思い込んで開く可能性が高まり、マルウェアが拡散する条件が整えられます。

ハノイ市警察は、技術的な分析を通じて、Valley RAT が重大な脅威となる特徴を備えていることから、特に危険であると評価しました。特徴とは、システムに潜んで Windows で自動的に起動すること、ハッカーがデバイスをリモート制御できること、追加のマルウェアをダウンロードできること、機密データを自動的に収集して制御サーバーに送信すること、キー入力を記録し、スクリーンショットを撮り、ブラウザに保存されているパスワードを盗むことができること、内部ネットワーク システムで簡単に拡散することなどです。

多くの機関や組織では、社内メールやZalo、Facebook Messengerを使用して文書をやり取りしていますが、システム内の1台のマシンが感染しただけでも、意図せずマルウェアが拡散しやすい環境を作り出してしまいます。情報セキュリティを確保するため、ハノイ市警察サイバーセキュリティ・ハイテク犯罪対策局は具体的な推奨事項を発表しました。

電子メールやソーシャル ネットワークから、見慣れないファイル、.exe ファイルを開いたりダウンロードしたりしないでください。特に、.exe、.dll、.bat、.msi などの拡張子のファイルには注意してください。たとえファイルが知人から送信されたものであっても (アカウントが乗っ取られている可能性があります)。

すべてのデバイスとシステムを確認してください。異常な兆候が見られた場合は、直ちにインターネット接続を切断し、デバイスの使用を中止し、当局または国立サイバーセキュリティセンター（NCSC）に報告してください。

信頼できるセキュリティソフトウェアでシステムをスキャンしてください。組織や個人は、Avast（無料）、AVG（無料）、Bitdefender（無料）、Windows Defender（最新アップデート）などのウイルス対策ソフトウェアとマルウェア対策ソフトウェアを積極的にインストールする必要があります。特に、ハノイ警察は、無料のKasperskyアンチウイルスソフトウェアではこの種のマルウェアがまだ検出されていないと指摘しています。

攻撃の兆候を手動でスキャンしてください。ウイルス対策ソフトウェアやファイアウォールの使用に加えて、Process Explorerを使用してデジタル署名のない不審なプロセスを確認する必要があります。TCPViewを使用して接続を確認してください。IPアドレス27.124.9.13への接続が確認された場合は、直ちに対処する必要があります。

システム管理者は悪意のあるIPを直ちにブロックする必要があります。ユーザーは、マルウェアが制御サーバーに接続するのを防ぐため、ファイアウォールを設定してIP 27.124.9.13へのすべてのアクセスをブロックする必要があります。

内部警告を強化する。部署は、情報源が確認できない場合、文書コメントに関連する「添付」文書を絶対に開封しないよう、役員及び従業員に直ちに通知する必要がある。

人々は公式の警告情報を受け取り、 公安部、情報通信部、地元警察からの勧告に従う必要があります。拡散を防ぐため、ソーシャルネットワークで疑わしいファイルを共有しないでください。国家ネットワークのセキュリティを保護するために警戒を強化してください。

第14回全国党大会の草案文書に対するコメントが出されたまさにそのタイミングでValley RATマルウェアが出現したことは、サイバー攻撃者が政治文書や行政文書に対するユーザーの信頼を徹底的に悪用していることを示しています。

情報セキュリティは専門機関の責任であるだけでなく、デジタル機器を利用する一人ひとりの義務でもあります。正確な識別、迅速な行動、そしてタイムリーな報告は、国家情報システムの保護とサイバー空間におけるセキュリティの維持に大きく貢献します。