Ханой предупреждает о вредоносном ПО Valley RAT, выдающем себя за «Проект резолюции 14-го съезда Национальной партии»

Это трюк, который использует широкую политическую среду людей для распространения вредоносного ПО, кражи информации и создания риска для безопасности информационных систем агентств, организаций и отдельных лиц.

Вредоносное ПО Valley RAT выдает себя за «Проект резолюции Конгресса»

По данным Департамента кибербезопасности и предотвращения преступлений в сфере высоких технологий (полиция города Ханой ), вредоносная программа Valley RAT скрывается в файле с именем «DRAFT RESOLUTION OF THE CONGRESS.exe». При открытии файла пользователем вредоносная программа мгновенно устанавливается в систему, автоматически запускается при каждом включении компьютера и подключается к управляющему серверу (C2) по адресу 27.124.9.13 (порт 5689), контролируемому хакером.

Отсюда вредоносное ПО может выполнять опасные действия: красть конфиденциальную информацию на компьютере пользователя; брать под контроль компьютер; красть личные и корпоративные учетные записи; собирать внутренние документы; продолжать распространять вредоносное ПО на другие устройства в той же системе.

Опасность заключается в том, что интерфейс файла замаскирован под настоящий административный документ, что может сбить пользователей с толку, особенно в условиях большого количества подразделений, отправляющих и получающих документы, для комментирования документов.

Обнаружено больше новых связанных вредоносных файлов

В ходе расширенного сканирования власти обнаружили ещё много вредоносных файлов со схожими структурами, которые выглядели как знакомые административные документы: FINANCIAL REPORT2.exe или BUSINESS INSURANCE PAYMENT.exe; GOVERMENT'S REGENT OFFICIAL DISPATCH.exe; TAX DECLARATION SUPPORT.exe; PARTY ACTIVITY EVALUATION DOCUMENT.exe или AUTHORIZATION FORM.exe; MINUTE OF REPORT FOR THE THIARTER.exe

Эти файлы названы в честь специфики офисной работы, финансов, партийных дел, налогов... что повышает вероятность того, что пользователи подумают, что это внутренние документы, и откроют их, создавая условия для распространения вредоносных программ.

На основе технического анализа полиция города Ханой оценила Valley RAT как особо опасный, поскольку он обладает характеристиками, которые делают его серьезной угрозой: скрывается в системе, автоматически запускается вместе с Windows; позволяет хакерам удаленно управлять устройством; способен загружать дополнительное вредоносное ПО; автоматически собирать конфиденциальные данные и отправлять их на сервер управления; способен записывать нажатия клавиш, делать снимки экрана, красть пароли, сохраненные в браузере; легко распространяется во внутренней сетевой системе...

Многие агентства и организации используют внутреннюю электронную почту или Zalo (Facebook Messenger) для обмена документами, непреднамеренно создавая благоприятную среду для распространения вредоносного ПО, если хотя бы один компьютер в системе заражен. Для обеспечения информационной безопасности Департамент кибербезопасности и предотвращения преступлений в сфере высоких технологий полиции города Ханой разработал конкретные рекомендации:

Не открывайте и не скачивайте странные файлы, .exe-файлы из электронной почты или социальных сетей, особенно будьте осторожны с файлами с расширениями: .exe; .dll; .bat; .msi... Даже если файл прислан от знакомого (аккаунт мог быть взломан).

Проверьте все устройства и системы. При обнаружении необычных признаков пользователям следует немедленно отключиться от интернета; прекратить использование устройства; сообщить властям или в Национальный центр кибербезопасности (NCSC).

Просканируйте систему с помощью надёжного антивирусного ПО. Организациям и частным лицам необходимо заранее установить антивирусное и антивредоносное ПО, такое как: Avast (бесплатно); AVG (бесплатно); Bitdefender (бесплатно); Windows Defender (последнее обновление). В частности, полиция Ханоя отметила, что бесплатный антивирус «Лаборатории Касперского» пока не обнаруживает этот тип вредоносного ПО.

Выполните сканирование вручную на наличие признаков атаки. Помимо антивирусного ПО и брандмауэров, необходимо использовать Process Explorer для обнаружения подозрительных процессов без цифровых подписей; используйте TCPView для проверки соединения; если вы видите соединение с IP-адресом 27.124.9.13, необходимо немедленно принять меры.

Системным администраторам необходимо немедленно заблокировать вредоносный IP-адрес. Пользователям необходимо настроить брандмауэр так, чтобы он блокировал весь доступ к IP-адресу 27.124.9.13, чтобы предотвратить подключение вредоносного ПО к серверу управления.

Усиление внутренних предупреждений. Подразделениям необходимо немедленно уведомить должностных лиц и сотрудников о категорическом нежелании открывать «прикреплённые» документы, связанные с комментариями к документам, если источник невозможно проверить.

Людям необходимо получать официальную предупреждающую информацию, следовать рекомендациям Министерства общественной безопасности , Министерства информации и коммуникаций, Местной полиции; Не делиться подозрительными файлами в социальных сетях, чтобы избежать распространения; Повысить бдительность для защиты национальной сетевой безопасности.

Появление вредоносного ПО Valley RAT в одно и то же время с комментариями к проектам документов 14-го съезда Национальной партии показывает, что киберпреступники активно эксплуатируют доверие пользователей к политическим и административным документам.

Информационная безопасность — это обязанность не только специализированных ведомств, но и каждого пользователя цифровых устройств. Правильная идентификация, быстрые действия и своевременное информирование внесут значительный вклад в защиту национальной информационной системы и обеспечение безопасности в киберпространстве.