Dette er et triks som utnytter folkets brede politiske miljø for å spre skadelig programvare, stjele informasjon og utgjøre en risiko for sikkerheten til informasjonssystemer for etater, organisasjoner og enkeltpersoner.
Valley RAT-skadevare etterligner «utkast til resolusjon fra Kongressen»
Ifølge avdelingen for cybersikkerhet og høyteknologisk kriminalitetsforebygging ( Hanoi bypoliti) er Valley RAT-skadevaren kamuflert i en fil med navnet «DRAFT RESOLUTION OF THE CONGRESS.exe». Når brukeren åpner filen, installerer skadevaren seg umiddelbart i systemet, kjører automatisk hver gang datamaskinen starter og kobler seg til kontrollserveren (C2) på adresse 27.124.9.13 (port 5689) som kontrolleres av hackeren.
Herfra kan skadevaren utføre farlige handlinger: Stjele sensitiv informasjon på brukerens datamaskin; Ta kontroll over datamaskinen; Stjele personlige og bedriftskontoer; Samle interne dokumenter; Fortsette å spre skadevaren til andre enheter i samme system.
Den farlige faktoren er at filgrensesnittet er kamuflert til å se ut som et ekte administrativt dokument, noe som gjør det enkelt for brukere å bli forvirret, spesielt i sammenheng med at mange enheter sender og mottar dokumenter for å kommentere dokumenter.
Flere nye relaterte skadelige filer oppdaget
Gjennom utvidet skanning oppdaget myndighetene mange flere ondsinnede filer med lignende strukturer, som lignet kjente administrative dokumenter: FINANCIAL REPORT2.exe eller BUSINESS INSURANCE PAYMENT.exe; GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe; TAX DECLARATION SUPPORT.exe; PARTY ACTIVITY EVALUATION DOCUMENT.exe eller AUTHORIZATION FORM.exe; MINUTES OF RAPPORT FOR TREDJE KVARTAL.exe
Disse filene er oppkalt etter spesifikke detaljer knyttet til kontorarbeid, økonomi, partisaker, skatter ... noe som øker muligheten for at brukere tror de er interne dokumenter og åpner dem, noe som skaper betingelser for spredning av skadelig programvare.
Gjennom teknisk analyse vurderte Hanoi bypoliti Valley RAT som spesielt farlig fordi det har egenskaper som gjør det til en stor trussel: Gjemmer seg i systemet, starter automatisk med Windows; Tillater hackere å fjernstyre enheten; Kan laste ned ytterligere skadelig programvare; Automatisk samle inn sensitive data og sende dem til kontrollserveren; Kan registrere tastetrykk, ta skjermbilder, stjele passord lagret i nettleseren; Lett å spre seg i det interne nettverkssystemet...
Mange etater og organisasjoner bruker intern e-post eller Zalo, Facebook Messenger for å utveksle dokumenter, noe som utilsiktet skaper et gunstig miljø for spredning av skadelig programvare hvis bare én maskin i systemet er infisert. For å sikre informasjonssikkerhet har avdelingen for cybersikkerhet og høyteknologisk kriminalitetsforebygging i Hanoi bypoliti gitt spesifikke anbefalinger:
Ikke åpne eller last ned merkelige filer, .exe-filer fra e-post eller sosiale nettverk, vær spesielt forsiktig med filer med filtypene: .exe; .dll; .bat; .msi... Selv om filen er sendt fra en bekjent (kontoen kan ha blitt kapret).
Sjekk alle enheter og systemer. Når brukere oppdager uvanlige tegn, må de umiddelbart koble seg fra internett; ikke fortsette å bruke enheten; rapportere til myndighetene eller National Cyber Security Center (NCSC).
Skann systemet med anerkjent sikkerhetsprogramvare. Organisasjoner og enkeltpersoner må proaktivt installere antivirus- og anti-malware-programvare som: Avast (gratis); AVG (gratis); Bitdefender (gratis); Windows Defender (nyeste oppdatering). Det er verdt å merke seg at politiet i Hanoi bemerket at den gratis antivirusprogramvaren Kaspersky ennå ikke har oppdaget denne typen skadelig programvare.
Skann manuelt etter tegn på angrep. I tillegg til å bruke antivirusprogramvare og brannmurer, må man bruke Process Explorer for å se merkelige prosesser uten digitale signaturer; bruk TCPView for å sjekke forbindelsen; hvis du ser en forbindelse til IP 27.124.9.13, må du håndtere det umiddelbart.
Systemadministratorer må umiddelbart blokkere den skadelige IP-adressen. Brukere må konfigurere brannmuren til å blokkere all tilgang til IP 27.124.9.13 for å forhindre at skadelig programvare kobler seg til kontrollserveren.
Styrk interne advarsler. Enhetene må umiddelbart varsle ledere og ansatte om å absolutt ikke åpne «vedlagte» dokumenter knyttet til dokumentkommentarer hvis kilden ikke kan bekreftes.
Folk må motta offisiell varslingsinformasjon, følge anbefalinger fra: Departementet for offentlig sikkerhet ; Departementet for informasjon og kommunikasjon; Lokalt politi; Ikke del mistenkelige filer på sosiale nettverk for å unngå spredning; Øk årvåkenheten for å beskytte nasjonal nettverkssikkerhet
At Valley RAT-skadevaren dukket opp akkurat på det tidspunktet kommentarene til utkastene til den 14. nasjonale partikongressen ble gitt, viser at cyberangripere utnytter brukernes tillit til politiske og administrative dokumenter i stor grad.
Informasjonssikkerhet er ikke bare spesialiserte etaters ansvar, men også en plikt for hver enkelt person som bruker digitale enheter. Korrekt identifisering, rask handling og rettidig rapportering vil bidra betydelig til å beskytte det nasjonale informasjonssystemet og opprettholde sikkerheten i cyberrommet.
Kilde: https://baotintuc.vn/phap-luat/ha-noi-canh-bao-ma-doc-valley-rat-gia-danh-du-thao-nghi-quyet-dai-hoi-xiv-cua-dang-20251114171603798.htm
![[Foto] Unik kunst å male Tuong-masker](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/14/1763094089301_ndo_br_1-jpg.webp)
![[Foto] Unik arkitektur på den dypeste metrostasjonen i Frankrike](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/14/1763107592365_ga-sau-nhat-nuoc-phap-duy-1-6403-jpg.webp)
![[Foto] Spesialklasse i Tra Linh](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/14/1763078485441_ndo_br_lop-hoc-7-jpg.webp)
Kommentar (0)