Hanoi ostrzega przed złośliwym oprogramowaniem Valley RAT podszywającym się pod „Projekt rezolucji XIV Zjazdu Partii Narodowej”

Jest to sztuczka wykorzystująca szerokie wpływy polityczne społeczeństwa w celu rozprzestrzeniania złośliwego oprogramowania, kradzieży informacji i stwarzania zagrożenia dla bezpieczeństwa systemów informatycznych agencji, organizacji i osób fizycznych.

Oprogramowanie złośliwe Valley RAT podszywa się pod „projekt rezolucji Kongresu”

Według Departamentu Cyberbezpieczeństwa i Zapobiegania Przestępczości Zaawansowanej Technologicznie (Policja Miasta Hanoi ), złośliwe oprogramowanie Valley RAT jest ukryte w pliku o nazwie „DRAFT RESOLUTION OF THE CONGRESS.exe”. Po otwarciu pliku przez użytkownika, złośliwe oprogramowanie natychmiast instaluje się w systemie, uruchamiając się automatycznie przy każdym uruchomieniu komputera i łącząc się z serwerem sterującym (C2) pod adresem 27.124.9.13 (port 5689), kontrolowanym przez hakera.

Stąd złośliwe oprogramowanie może wykonywać niebezpieczne działania: kraść poufne informacje z komputera użytkownika; przejmować kontrolę nad komputerem; kraść konta osobiste i firmowe; zbierać wewnętrzne dokumenty; nadal rozprzestrzeniać złośliwe oprogramowanie na inne urządzenia w tym samym systemie.

Niebezpiecznym czynnikiem jest to, że interfejs pliku jest zamaskowany tak, aby wyglądał jak prawdziwy dokument administracyjny, przez co użytkownicy mogą łatwo się pomylić, szczególnie w przypadku, gdy wiele jednostek wysyła i odbiera dokumenty w celu dodawania komentarzy.

Odkryto więcej nowych plików ze złośliwym oprogramowaniem

Dzięki rozszerzonemu skanowaniu władze odkryły znacznie więcej złośliwych plików o podobnej strukturze, które wyglądały jak znane dokumenty administracyjne: FINANCIAL REPORT2.exe lub BUSINESS INSURANCE PAYMENT.exe; GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe; TAX DECLARATION SUPPORT.exe; PARTY ACTIVITY EVALUATION DOCUMENT.exe lub AUTHORIZATION FORM.exe; MINUTES OF REPORT FOR THE THIRD QUARTER.exe

Nazwy tych plików nawiązują do specyfiki pracy biurowej, finansów, spraw partyjnych, podatków... co zwiększa prawdopodobieństwo, że użytkownicy pomyślą, że są to dokumenty wewnętrzne i je otworzą, co stworzy warunki do rozprzestrzeniania się złośliwego oprogramowania.

Policja miasta Hanoi, przeprowadzając analizę techniczną, uznała Valley RAT za szczególnie niebezpiecznego, ponieważ posiada cechy, które czynią go poważnym zagrożeniem: ukrywa się w systemie, automatycznie uruchamiając się z systemem Windows; umożliwia hakerom zdalną kontrolę nad urządzeniem; potrafi pobierać dodatkowe złośliwe oprogramowanie; automatycznie gromadzi poufne dane i wysyła je do serwera sterującego; potrafi rejestrować wciśnięcia klawiszy, robić zrzuty ekranu, kraść hasła zapisane w przeglądarce; łatwo rozprzestrzenia się w wewnętrznym systemie sieciowym...

Wiele agencji i organizacji korzysta z wewnętrznej poczty e-mail, Zalo i Facebook Messenger do wymiany dokumentów, nieumyślnie tworząc sprzyjające środowisko do rozprzestrzeniania się złośliwego oprogramowania, jeśli zainfekowany zostanie tylko jeden komputer w systemie. Aby zapewnić bezpieczeństwo informacji, Departament Cyberbezpieczeństwa i Zapobiegania Przestępczości z Wykorzystaniem Technologii Zaawansowanych (High Tech Crime Prevention) Policji Miasta Hanoi przedstawił szczegółowe zalecenia:

Nie otwieraj ani nie pobieraj dziwnych plików, plików .exe z poczty elektronicznej lub serwisów społecznościowych. Zachowaj szczególną ostrożność wobec plików z rozszerzeniami: .exe; .dll; .bat; .msi... Nawet jeśli plik wysyła znajomy (konto mogło zostać przejęte).

Sprawdź wszystkie urządzenia i systemy. W przypadku wykrycia nietypowych oznak użytkownicy powinni natychmiast rozłączyć się z internetem. Nie należy kontynuować korzystania z urządzenia. Należy powiadomić odpowiednie organy lub Narodowe Centrum Cyberbezpieczeństwa (NCSC).

Przeskanuj system za pomocą renomowanego oprogramowania zabezpieczającego. Organizacje i osoby prywatne powinny proaktywnie zainstalować oprogramowanie antywirusowe i antymalware, takie jak: Avast (bezpłatny); AVG (bezpłatny); Bitdefender (bezpłatny); Windows Defender (najnowsza aktualizacja). Co istotne, policja w Hanoi zauważyła, że ​​darmowe oprogramowanie antywirusowe Kaspersky nie wykryło jeszcze tego typu złośliwego oprogramowania.

Przeskanuj ręcznie w poszukiwaniu oznak ataku. Oprócz oprogramowania antywirusowego i zapór sieciowych, użytkownicy powinni korzystać z Eksploratora Procesów, aby wykryć podejrzane procesy bez podpisów cyfrowych; Użyj TCPView do sprawdzenia połączenia; jeśli zauważysz połączenie z adresem IP 27.124.9.13, musisz natychmiast zareagować.

Administratorzy systemu muszą natychmiast zablokować złośliwy adres IP. Użytkownicy muszą skonfigurować zaporę sieciową, aby zablokować wszelki dostęp do adresu IP 27.124.9.13, uniemożliwiając złośliwemu oprogramowaniu połączenie się z serwerem sterującym.

Wzmocnij wewnętrzne ostrzeżenia. Jednostki muszą natychmiast powiadomić funkcjonariuszy i pracowników, aby bezwzględnie nie otwierali „załączonych” dokumentów związanych z komentarzami do dokumentów, jeśli nie można zweryfikować źródła.

Ludzie muszą otrzymać oficjalne informacje ostrzegawcze i postępować zgodnie z zaleceniami: Ministerstwa Bezpieczeństwa Publicznego , Ministerstwa Informacji i Komunikacji, lokalnej policji. Nie udostępniaj podejrzanych plików w sieciach społecznościowych, aby uniknąć rozprzestrzeniania się. Zwiększ czujność, aby chronić bezpieczeństwo sieci krajowych.

Pojawienie się złośliwego oprogramowania Valley RAT dokładnie w momencie komentowania projektów dokumentów XIV Zjazdu Krajowego Partii Pracy pokazuje, że cyberprzestępcy wykorzystują zaufanie użytkowników do dokumentów politycznych i administracyjnych.

Bezpieczeństwo informacji to nie tylko odpowiedzialność wyspecjalizowanych agencji, ale także obowiązek każdego użytkownika urządzeń cyfrowych. Prawidłowa identyfikacja, szybkie działanie i terminowe raportowanie znacząco przyczynią się do ochrony krajowego systemu informatycznego i utrzymania bezpieczeństwa w cyberprzestrzeni.