하노이, '제14차 당대회 결의안 초안'을 사칭한 Valley RAT 악성코드 경고

이는 국민의 광범위한 정치적 환경을 이용하여 악성코드를 유포하고, 정보를 훔치고, 기관, 조직, 개인의 정보 시스템 보안을 위협하는 수법입니다.

Valley RAT 맬웨어가 "의회 결의안 초안"을 가장합니다.

하노이시 사이버보안 및 첨단범죄예방국( 하노이 시 경찰청)에 따르면, Valley RAT 악성코드는 "DRAFT RESOLUTION OF THE CONGRESS.exe"라는 파일로 위장되어 있습니다. 사용자가 이 파일을 열면 악성코드는 즉시 시스템에 설치되고, 컴퓨터가 시작될 때마다 자동으로 실행되어 해커가 제어하는 ​​제어 서버(C2) 주소 27.124.9.13(포트 5689)에 연결됩니다.

여기에서 맬웨어는 위험한 작업을 수행할 수 있습니다. 사용자 컴퓨터의 민감한 정보를 훔칩니다. 컴퓨터를 제어합니다. 개인 및 회사 계정을 훔칩니다. 내부 문서를 수집합니다. 동일한 시스템 내의 다른 장치에 맬웨어를 계속 확산합니다.

위험한 점은 파일 인터페이스가 실제 관리 문서처럼 위장되어 있어 사용자가 혼란스러워하기 쉽다는 점입니다. 특히 많은 부서에서 문서를 보내고 받아 문서에 대한 의견을 제시하는 상황에서 더욱 그렇습니다.

새로운 관련 맬웨어 파일이 더 많이 발견되었습니다.

당국은 확대 검사를 통해 유사한 구조를 가진 더 많은 악성 파일을 발견했는데, 이는 익숙한 행정 문서처럼 보였습니다. FINANCIAL REPORT2.exe 또는 BUSINESS INSURANCE PAYMENT.exe; GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe; TAX DECLARATION SUPPORT.exe; PARTY ACTIVITY EVALUATION DOCUMENT.exe 또는 AUTHORIZATION FORM.exe; MINUTES OF REPORT FOR THE THIRD QUARTER.exe

이러한 파일은 사무, 재무, 당 업무, 세금 등의 세부 사항의 이름을 따서 명명되므로 사용자가 이를 내부 문서라고 생각하고 열 가능성이 높아지며, 악성 소프트웨어가 확산될 수 있는 조건이 조성됩니다.

하노이 시 경찰은 기술적 분석을 통해 Valley RAT가 다음과 같은 주요 위협이 되는 특성을 가지고 있기 때문에 특히 위험하다고 평가했습니다. 시스템에 숨어 있으며, 자동으로 Windows로 시작됩니다. 해커가 원격으로 장치를 제어할 수 있습니다. 추가 맬웨어를 다운로드할 수 있습니다. 민감한 데이터를 자동으로 수집하여 제어 서버로 전송합니다. 키 입력을 기록하고, 스크린샷을 찍고, 브라우저에 저장된 비밀번호를 훔칠 수 있습니다. 내부 네트워크 시스템에 쉽게 확산됩니다...

많은 기관과 조직이 내부 이메일이나 Zalo, Facebook Messenger를 사용하여 문서를 교환하는데, 이는 시스템 내 단 하나의 컴퓨터만 감염되었을 경우 악성코드가 확산되기에 유리한 환경을 의도치 않게 조성합니다. 정보 보안을 강화하기 위해 하노이시 경찰서 사이버 보안 및 첨단 범죄 예방국은 다음과 같은 구체적인 권고 사항을 제시했습니다.

이메일이나 소셜 네트워크에서 보낸 이상한 파일, .exe 파일을 열거나 다운로드하지 마세요. 특히 .exe; .dll; .bat; .msi 등의 확장자를 가진 파일에 주의하세요. 지인으로부터 보낸 파일일지라도요(계정이 해킹당했을 수도 있습니다).

모든 기기와 시스템을 점검하십시오. 이상 징후가 감지되면 사용자는 즉시 인터넷 연결을 해제해야 합니다. 기기를 더 이상 사용하지 마십시오. 관계 당국 또는 국가 사이버 보안 센터(NCSC)에 신고하십시오.

신뢰할 수 있는 보안 소프트웨어로 시스템을 검사하십시오. 기관과 개인은 Avast(무료), AVG(무료), Bitdefender(무료), Windows Defender(최신 업데이트)와 같은 바이러스 백신 및 맬웨어 방지 소프트웨어를 사전에 설치해야 합니다. 특히 하노이 경찰은 무료 Kaspersky 바이러스 백신 소프트웨어가 아직 이러한 유형의 맬웨어를 탐지하지 못했다고 밝혔습니다.

공격 징후를 수동으로 검사하세요. 바이러스 백신 소프트웨어와 방화벽을 사용하는 것 외에도 Process Explorer를 사용하여 디지털 서명이 없는 이상한 프로세스를 확인해야 합니다. TCPView를 사용하여 연결을 확인하세요. IP 27.124.9.13에 대한 연결이 발견되면 즉시 조치를 취해야 합니다.

시스템 관리자는 악성 IP를 즉시 차단해야 합니다. 사용자는 방화벽을 설정하여 IP 27.124.9.13에 대한 모든 접근을 차단하여 악성코드가 제어 서버에 접속하는 것을 방지해야 합니다.

내부 경고를 강화하십시오. 각 부서는 출처를 확인할 수 없는 경우, 문서 논평과 관련된 "첨부" 문서를 절대 열람하지 않도록 임원과 직원들에게 즉시 알려야 합니다.

국민들은 공식적인 경고 정보를 받아야 하며, 다음의 권고 사항을 따라야 합니다: 공안부 , 정보통신부, 지방경찰, 의심스러운 파일을 소셜 네트워크에 공유하지 마십시오. 확산을 방지하기 위해, 국가 네트워크 보안을 보호하기 위해 경계를 강화하십시오.

제14차 전국당대회 초안문서에 대한 논평이 진행되던 시기에 밸리 RAT 맬웨어가 등장한 것은 사이버 공격자가 정치 및 행정 문서에 대한 사용자의 신뢰를 철저히 악용하고 있다는 것을 보여줍니다.

정보 보안은 전문 기관만의 책임이 아니라 디지털 기기를 사용하는 모든 개인의 책임입니다. 정확한 식별, 신속한 대응, 그리고 시의적절한 보고는 국가 정보 시스템을 보호하고 사이버 공간의 보안을 유지하는 데 크게 기여할 것입니다.