Genom att utnyttja aktiviteterna med att samla in kommentarer på utkast till dokument som ska lämnas in till partiets 14:e nationella kongress har obehöriga aktörer installerat skadlig programvara för att utföra sabotageaktiviteter och stjäla informationsdata.
Genom arbetet med att förstå situationen upptäckte avdelningen för cybersäkerhet och högteknologisk brottsförebyggande, Hanoi stadspolis skadlig kod Valley RAT länkar till kontrollserveradressen (C2): 27.124.9.13, port 5689, gömd i en fil med namnet "DRAFT RESOLUTION CONGRESSION.exe". Attackerna utnyttjar aktiviteten att samla in åsikter om utkast till dokument som lämnats in till kongressen för att lura användare att installera och utföra farliga handlingar som att stjäla känslig information, tillägna sig personliga konton, stjäla dokument och sprida skadlig kod till andra datorer.
Analysresultaten visar att skadlig programvara, efter att ha installerats på användarens dator, automatiskt körs varje gång datorn startas och ansluter till fjärrkontrollservern som kontrolleras av hackaren, vilket fortsätter att utföra ovanstående farliga åtgärder. Granskningen utökas och andra skadliga filer kopplade till C2-servern som hackaren nyligen har spridit upptäcks:
(1) FINANSIELL RAPPORT2.exe eller FÖRETAGSFÖRSÄKRINGSBETALNING.exe
(2) BRÅDSKANDE OFFICIELL UTSÄNDNING FRÅN REGERINGEN.exe
(3) SKATTEDEKLARATIONSSUPPORT.exe
(4) OFFICIELLT DOKUMENT SOM UTVÄRDERING AV PARTENS VERKSAMHET.exe eller GODKÄNNANDEFORMULÄR.exe
(5) PROTOKOLL FRÅN TREDJE KVARTALSRAPPORTEN.exe
För att proaktivt förebygga, avdelningen för cybersäkerhet och högteknologisk brottsförebyggande, Hanoi-polisen rekommendera folk:
- Var vaksam, ladda inte ner, installera eller öppna inte filer av okänt ursprung (särskilt inte körbara filer med filtilläggen .exe, .dll, .bat, .msi,...).
- Kontrollera enhetens och områdets informationssystem för att upptäcka misstänkta filer. Om en incident registreras, isolera den infekterade maskinen, koppla bort internetanslutningen och rapportera till Nationella cybersäkerhetscentret för support.
- Skanna hela systemet med den senaste uppdaterade säkerhetsprogramvaran (EDR/XDR) som kan upptäcka och ta bort dold skadlig kod. Rekommenderad användning: Avast, AVG, Bitdefender (gratisversion) eller den senaste uppdaterade Windows Defender.
Obs: Kasperskys gratisversion har ännu inte upptäckt denna skadliga programvara.
- Manuell skanning:
+ Kontrollera i Process Explorer om du ser att processen saknar digital signatur eller har ett falskt textfilnamn.
+ Kontrollera tcpview för att se nätverksanslutningen - om anslutning till IP 27[.]124[.]9[.]13 upptäcks måste den åtgärdas omedelbart.
- Administratörer måste snarast blockera brandväggen och förhindra åtkomst till den skadliga IP-adressen 27.124.9.13.
Källa: https://quangngaitv.vn/canh-bao-ma-doc-nguy-hiem-loi-dung-viec-gop-y-du-thao-van-kien-dai-hoi-dang-toan-quoc-lan-thu-xiv-6510283.html
![[Foto] Generalsekreterare To Lam tar emot vice ordförande för Luxshare-ICT Group (Kina)](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/15/1763211137119_a1-bnd-7809-8939-jpg.webp)
![[Foto] Panorama över finalomgången i Community Action Awards 2025](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/15/1763206932975_chi-7868-jpg.webp)
![[Foto] Premiärminister Pham Minh Chinh träffar representanter för framstående lärare](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/15/1763215934276_dsc-0578-jpg.webp)
Kommentar (0)