Hanoi waarschuwt voor Valley RAT-malware die zich voordoet als 'Conceptresolutie van het 14e Partijcongres'

Dit is een truc die misbruik maakt van de brede politieke situatie van mensen om malware te verspreiden, informatie te stelen en een risico te vormen voor de veiligheid van informatiesystemen van instanties, organisaties en individuen.

Valley RAT-malware imiteert 'Congresontwerpresolutie'

Volgens de afdeling Cyberbeveiliging en Preventie van Hightechcriminaliteit (Politie van de stad Hanoi ) is de Valley RAT-malware vermomd in een bestand met de naam "DRAFT RESOLUTION OF THE CONGRESS.exe". Wanneer de gebruiker het bestand opent, installeert de malware zich onmiddellijk op het systeem, wordt automatisch uitgevoerd elke keer dat de computer wordt opgestart en maakt verbinding met de besturingsserver (C2) op adres 27.124.9.13 (poort 5689) dat door de hacker wordt beheerd.

Vanaf hier kan de malware gevaarlijke acties uitvoeren: Gevoelige informatie van de computer van de gebruiker stelen; De controle over de computer overnemen; Persoonlijke en zakelijke accounts stelen; Interne documenten verzamelen; De malware blijven verspreiden naar andere apparaten in hetzelfde systeem.

Het gevaarlijke is dat de bestandsinterface is gemaskeerd om op een echt administratief document te lijken. Hierdoor kunnen gebruikers gemakkelijk in de war raken, vooral omdat er veel eenheden documenten verzenden en ontvangen om opmerkingen bij documenten te plaatsen.

Meer nieuwe gerelateerde malwarebestanden ontdekt

Door uitgebreid te scannen ontdekten de autoriteiten nog veel meer schadelijke bestanden met vergelijkbare structuren, die leken op bekende administratieve documenten: FINANCIEEL RAPPORT2.exe of BEDRIJFSVERZEKERINGSBETALING.exe; DRINGENDE OFFICIËLE VERZENDING VAN DE OVERHEID.exe; STEUN AANGIFTE BELASTING.exe; DOCUMENT VOOR DE EVALUATIE VAN PARTIJACTIVITEITEN.exe of AUTORISATIEFORMULIER.exe; VERSLAG VAN HET DERDE KWARTAAL.exe

Deze bestanden zijn vernoemd naar specifieke kenmerken van kantoorwerk, financiën, partijzaken, belastingen... Hierdoor is de kans groter dat gebruikers denken dat het interne documenten zijn en ze openen, waardoor malware zich kan verspreiden.

Op basis van een technische analyse heeft de politie van Hanoi de Valley RAT als bijzonder gevaarlijk beoordeeld, omdat het over een aantal kenmerken beschikt die het tot een grote bedreiging maken: Het verstopt zich in het systeem en start automatisch op met Windows; Het geeft hackers de mogelijkheid het apparaat op afstand te besturen; Het kan extra malware downloaden; Het verzamelt automatisch gevoelige gegevens en stuurt deze door naar de besturingsserver; Het kan toetsaanslagen registreren, schermafbeeldingen maken en wachtwoorden stelen die in de browser zijn opgeslagen; Het verspreidt zich gemakkelijk in het interne netwerksysteem...

Veel instanties en organisaties gebruiken interne e-mail of Zalo, Facebook Messenger, om documenten uit te wisselen, waardoor onbedoeld een gunstige omgeving voor malwareverspreiding ontstaat als slechts één apparaat in het systeem is geïnfecteerd. Om de informatiebeveiliging te waarborgen, heeft de afdeling Cybersecurity en Preventie van Hightechcriminaliteit van de politie van Hanoi specifieke aanbevelingen gedaan:

Open of download geen vreemde bestanden, .exe-bestanden van e-mails of sociale netwerken, wees vooral voorzichtig met bestanden met de extensies: .exe; .dll; .bat; .msi... Zelfs als het bestand door een kennis is verzonden (het account is mogelijk gehackt).

Controleer alle apparaten en systemen. Bij het detecteren van ongewone signalen moeten gebruikers onmiddellijk de internetverbinding verbreken; het apparaat niet langer gebruiken; de autoriteiten of het Nationaal Cyber ​​Security Centrum (NCSC) waarschuwen.

Scan het systeem met betrouwbare beveiligingssoftware. Organisaties en particulieren moeten proactief anti-virus- en anti-malwaresoftware installeren, zoals: Avast (gratis); AVG (gratis); Bitdefender (gratis); Windows Defender (nieuwste update). De politie van Hanoi merkte op dat de gratis antivirussoftware van Kaspersky dit type malware nog niet heeft gedetecteerd.

Scan handmatig op tekenen van een aanval. Naast het gebruik van antivirussoftware en firewalls, kunt u ook Process Explorer gebruiken om vreemde processen zonder digitale handtekeningen te detecteren. Gebruik TCPView om de verbinding te controleren. Als u een verbinding met IP 27.124.9.13 ziet, moet u deze onmiddellijk afhandelen.

Systeembeheerders moeten het kwaadaardige IP-adres onmiddellijk blokkeren. Gebruikers moeten de firewall zo configureren dat alle toegang tot IP-adres 27.124.9.13 wordt geblokkeerd om te voorkomen dat de malware verbinding maakt met de controleserver.

Versterk interne waarschuwingen. Eenheden moeten officieren en medewerkers onmiddellijk waarschuwen om bijgevoegde documenten met betrekking tot documentcommentaren absoluut niet te openen als de bron niet kan worden geverifieerd.

Mensen moeten officiële waarschuwingsinformatie ontvangen en de aanbevelingen opvolgen van: Ministerie van Openbare Veiligheid ; Ministerie van Informatie en Communicatie; Lokale politie; Deel geen verdachte bestanden op sociale netwerken om verspreiding te voorkomen; Verhoog de waakzaamheid om de veiligheid van het nationale netwerk te beschermen

Het feit dat de Valley RAT-malware op het moment van de commentaren op conceptdocumenten van het 14e Nationale Partijcongres opdook, laat zien dat cyberaanvallers misbruik maken van het vertrouwen van gebruikers in politieke en bestuurlijke documenten.

Informatiebeveiliging is niet alleen de verantwoordelijkheid van gespecialiseerde instanties, maar ook de plicht van iedereen die digitale apparaten gebruikt. Correcte identificatie, snelle actie en tijdige rapportage dragen aanzienlijk bij aan de bescherming van het nationale informatiesysteem en het handhaven van de veiligheid in cyberspace.