당 제14차 전국대표대회 초안문서 댓글 악용한 위험한 악성코드 주의 경고

이에 따라, 사이버 보안 및 첨단 범죄 예방부( 하노이 시 경찰)는 제어 서버 주소(C2): 27.124.9.13, 포트 5689에 연결된 Valley RAT 맬웨어가 "DRAFT RESOLUTION OF THE CONGRESS.exe"라는 파일에 숨겨져 있는 것을 발견했습니다.

피험자들은 의회에 제출할 초안 문서에 대한 의견을 수집하는 활동을 이용하여 사용자를 속여 민감한 정보를 훔치거나, 개인 계정을 도용하거나, 문서를 훔치거나, 다른 컴퓨터에 맬웨어를 퍼뜨리는 등 위험한 행위를 설치하고 수행하도록 했습니다.

분석 결과에 따르면, 이 맬웨어는 사용자의 컴퓨터에 설치된 후 컴퓨터를 시작할 때마다 자동으로 실행되어 해커가 제어하는 ​​원격 제어 서버에 연결한 후 위와 같은 위험한 작업을 계속 수행합니다.

검토를 확장하고 해커가 최근에 퍼뜨린 C2 서버에 연결된 다른 악성 파일을 감지합니다: FINANCIAL REPORT2.exe 또는 BUSINESS INSURANCE PAYMENT.exe; GOVERNMENT URGENT DISPATCH.exe; TAX DECLARATION SUPPORT.exe; PARTY ACTIVITY EVALUATION DISPATCH.exe 또는 AUTHORIZATION FORM.exe; MINUTES OF REPORT FOR THE THIRD QUARTER.exe.

사전 예방을 위해 사이버 보안 및 첨단 범죄 예방부는 사람들이 경계하고 출처를 알 수 없는 파일(특히 확장자가 .exe, .dll, .bat, .msi 등인 실행 파일)을 다운로드, 설치 또는 열지 않도록 권고합니다.

의심스러운 파일을 탐지하기 위해 해당 부서 및 지역의 정보 시스템을 점검하십시오. 사고가 발견되면 감염된 기기를 격리하고 인터넷 연결을 끊은 후 국가사이버보안센터에 신고하여 지원을 요청하십시오.

숨겨진 맬웨어를 탐지하고 제거할 수 있는 최신 보안 소프트웨어(EDR/XDR)로 전체 시스템을 검사하세요.

권장 사용: Avast, AVG, Bitdefender(무료 버전) 또는 최신 업데이트된 Windows Defender(Kaspersky 무료 버전은 아직 이 맬웨어를 감지하지 못했습니다).

이와 함께 수동 검사를 수행하세요. Process Explorer에서 디지털 서명이 없거나 가짜 텍스트 파일 이름이 있는 프로세스가 있는지 확인하세요.

네트워크 연결을 확인하려면 tcpview를 확인하세요. IP 27[.]124[.]9[.]13에 대한 연결이 감지되면 즉시 처리해야 합니다.

관리자는 방화벽을 긴급히 차단하여 악성 IP 주소 27.124.9.13에 대한 접근을 방지해야 합니다.

출처: https://baovanhoa.vn/nhip-song-so/canh-bao-ma-doc-nguy-hiem-loi-dung-viec-gop-y-du-thao-van-kien-dai-hoi-dai-bieu-toan-quoc-lan-thu-xiv-cua-dang-181494.html