Hanoi varnar för Valley RAT-skadlig programvara som utger sig för att vara "utkast till resolution från den 14:e nationella partikongressen"

Detta är ett trick som utnyttjar folkets breda politiska miljö för att sprida skadlig programvara, stjäla information och utgöra en risk för säkerheten i informationssystem hos myndigheter, organisationer och individer.

Valley RAT-skadlig programvara imiterar "utkast till kongressresolution"

Enligt avdelningen för cybersäkerhet och högteknologisk brottsförebyggande åtgärder ( Hanoi City Police) är skadlig programvara Valley RAT förklädd i en fil med namnet "DRAFT RESOLUTION OF THE CONGRESS.exe". När användaren öppnar filen installeras skadlig programvara omedelbart i systemet, körs automatiskt varje gång datorn startar och ansluter till kontrollservern (C2) på adress 27.124.9.13 (port 5689) som kontrolleras av hackaren.

Härifrån kan skadlig programvara utföra farliga handlingar: Stjäla känslig information på användarens dator; Ta kontroll över datorn; Stjäla personliga konton och företagskonton; Samla in interna dokument; Fortsätta sprida skadlig programvara till andra enheter i samma system.

Den farliga faktorn är att filgränssnittet är förklätt för att se ut som ett riktigt administrativt dokument, vilket gör det lätt för användarna att bli förvirrade, särskilt i samband med att många enheter skickar och tar emot dokument för att kommentera dokument.

Fler nya relaterade skadliga filer upptäckta

Genom utökad skanning upptäckte myndigheterna många fler skadliga filer med liknande strukturer, som såg ut som välbekanta administrativa dokument: FINANCIAL REPORT2.exe eller BUSINESS INSURANCE PAYMENT.exe; GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe; TAX DECLARATION SUPPORT.exe; PARTY ACTIVITY EVALUATION DOCUMENT.exe eller AUTHORIZATION FORM.exe; MINUTES OF RAPPORT FOR THE THIRD QUARTER.exe

Dessa filer är namngivna efter detaljer som rör kontorsarbete, ekonomi, partiangelägenheter, skatter... vilket ökar sannolikheten för att användare tror att de är interna dokument och öppnar dem, vilket skapar förutsättningar för spridning av skadlig kod.

Genom teknisk analys bedömde Hanoi City Police Valley RAT som särskilt farligt eftersom det har egenskaper som gör det till ett stort hot: Det gömmer sig i systemet och startar automatiskt med Windows; Det tillåter hackare att fjärrstyra enheten; Det kan ladda ner ytterligare skadlig kod; Det samlar automatiskt in känsliga uppgifter och skickar dem till kontrollservern; Det kan spela in tangenttryckningar, ta skärmdumpar, stjäla lösenord som sparats i webbläsaren; Det sprider sig enkelt i det interna nätverkssystemet...

Många myndigheter och organisationer använder intern e-post eller Zalo, Facebook Messenger för att utbyta dokument, vilket oavsiktligt skapar en gynnsam miljö för spridning av skadlig kod om bara en maskin i systemet är infekterad. För att säkerställa informationssäkerhet har avdelningen för cybersäkerhet och högteknologisk brottsförebyggande åtgärder vid Hanoi City Police Department utfärdat specifika rekommendationer:

Öppna eller ladda inte ner konstiga filer, .exe-filer från e-post eller sociala nätverk, var särskilt försiktig med filer med filändelserna: .exe; .dll; .bat; .msi... Även om filen skickas från en bekant (kontot kan ha blivit kapat).

Kontrollera alla enheter och system. När ovanliga tecken upptäcks måste användare omedelbart koppla bort sig från internet; fortsätta inte använda enheten; rapportera till myndigheterna eller National Cyber ​​Security Center (NCSC).

Skanna systemet med välrenommerad säkerhetsprogramvara. Organisationer och individer måste proaktivt installera antivirus- och skadlig programvara som: Avast (gratis); AVG (gratis); Bitdefender (gratis); Windows Defender (senaste uppdateringen). Hanoi-polisen noterade att det kostnadsfria antivirusprogrammet Kaspersky ännu inte har upptäckt denna typ av skadlig kod.

Skanna manuellt efter tecken på attack. Förutom att använda antivirusprogram och brandväggar behöver man använda Process Explorer för att se konstiga processer utan digitala signaturer; använd TCPView för att kontrollera anslutningen; om du ser en anslutning till IP 27.124.9.13 måste du hantera det omedelbart.

Systemadministratörer måste omedelbart blockera den skadliga IP-adressen. Användare måste konfigurera brandväggen för att blockera all åtkomst till IP 27.124.9.13 för att förhindra att skadlig kod ansluter till kontrollservern.

Stärk interna varningar. Enheterna måste omedelbart meddela tjänstemän och anställda att absolut inte öppna "bifogade" dokument relaterade till dokumentkommentarer om källan inte kan verifieras.

Människor behöver få officiell varningsinformation och följa rekommendationer från: Ministeriet för offentlig säkerhet ; Ministeriet för information och kommunikation; Lokal polis; Dela inte misstänkta filer på sociala nätverk för att undvika spridning; Öka vaksamheten för att skydda den nationella nätverkssäkerheten.

Uppkomsten av den skadliga programvaran Valley RAT exakt vid tidpunkten för kommentarerna på utkast till dokument från den 14:e nationella partikongressen visar att cyberangripare utnyttjar användarnas förtroende för politiska och administrativa dokument på ett omfattande sätt.

Informationssäkerhet är inte bara fackmyndigheternas ansvar, utan även varje individs skyldighet som använder digitala enheter. Korrekt identifiering, snabba åtgärder och snabb rapportering bidrar avsevärt till att skydda det nationella informationssystemet och upprätthålla säkerheten i cyberrymden.