เตือนมัลแวร์อันตรายที่ใช้ประโยชน์จากความคิดเห็นในร่างเอกสารของการประชุมสมัชชาใหญ่พรรคครั้งที่ 14

VHO - ตำรวจกรุงฮานอยเพิ่งเตือนว่ากลุ่มคนร้ายได้ใช้ประโยชน์จากกิจกรรมการรวบรวมความคิดเห็นเกี่ยวกับร่างเอกสารที่จะส่งไปยังการประชุมใหญ่พรรคครั้งที่ 14 โดยติดตั้งมัลแวร์เพื่อดำเนินการก่อวินาศกรรมและขโมยข้อมูล

Báo Văn Hóa•14/11/2025

เตือนมัลแวร์อันตรายที่ใช้ประโยชน์จากความคิดเห็นในร่างเอกสารของการประชุมสมัชชาใหญ่พรรคครั้งที่ 14 - รูปภาพ 1

ด้วยเหตุนี้ กรมรักษาความปลอดภัยทางไซเบอร์และป้องกันอาชญากรรมไฮเทค (ตำรวจนคร ฮานอย ) จึงได้ค้นพบมัลแวร์ Valley RAT ที่เชื่อมโยงกับที่อยู่เซิร์ฟเวอร์ควบคุม (C2): 27.124.9.13 พอร์ต 5689 ซ่อนอยู่ในไฟล์ชื่อ "DRAFT RESOLUTION OF THE CONGRESS.exe"

ผู้ถูกโจมตีใช้ประโยชน์จากกิจกรรมการรวบรวมความคิดเห็นเกี่ยวกับร่างเอกสารที่จะส่งไปยังรัฐสภาเพื่อหลอกล่อให้ผู้ใช้ติดตั้งและกระทำการที่เป็นอันตราย เช่น การขโมยข้อมูลที่ละเอียดอ่อน การยึดบัญชีส่วนบุคคล การขโมยเอกสาร และการแพร่กระจายมัลแวร์ไปยังคอมพิวเตอร์เครื่องอื่น

ผลการวิเคราะห์แสดงให้เห็นว่าหลังจากติดตั้งบนคอมพิวเตอร์ของผู้ใช้แล้ว มัลแวร์จะดำเนินการโดยอัตโนมัติทุกครั้งที่เริ่มต้นคอมพิวเตอร์ โดยเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมระยะไกลที่ควบคุมโดยแฮกเกอร์ และจากนั้นก็ดำเนินการอันตรายดังกล่าวต่อไป

ขยายการตรวจสอบและตรวจจับไฟล์อันตรายอื่นๆ ที่เชื่อมต่อกับเซิร์ฟเวอร์ C2 ซึ่งแฮกเกอร์ได้แพร่กระจายเมื่อเร็วๆ นี้: FINANCIAL REPORT2.exe หรือ BUSINESS INSURANCE PAYMENT.exe; GOVERNMENT URGENT DISPATCH.exe; TAX DECLARATION SUPPORT.exe; PARTY ACTIVITY EVALUATION DISPATCH.exe หรือ AUTHORIZATION FORM.exe; MINUTES OF REPORT FOR THE THIRD QUARTER.exe

เพื่อป้องกันเชิงรุก กรมการรักษาความปลอดภัยทางไซเบอร์และป้องกันอาชญากรรมไฮเทคแนะนำให้ผู้คนระมัดระวังและไม่ดาวน์โหลด ติดตั้ง หรือเปิดไฟล์จากแหล่งที่มาที่ไม่รู้จัก (โดยเฉพาะไฟล์ปฏิบัติการที่มีนามสกุล .exe, .dll, .bat, .msi, ...)

ตรวจสอบระบบสารสนเทศของหน่วยงานและท้องถิ่นเพื่อตรวจจับไฟล์ที่น่าสงสัย หากพบเหตุการณ์ ให้แยกเครื่องที่ติดไวรัส ตัดการเชื่อมต่ออินเทอร์เน็ต และรายงานไปยังศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติเพื่อขอความช่วยเหลือ

สแกนระบบทั้งหมดด้วยซอฟต์แวร์ความปลอดภัยที่อัปเดตล่าสุด (EDR/XDR) ที่สามารถตรวจจับและลบมัลแวร์ที่ซ่อนอยู่ได้

การใช้งานที่แนะนำ: Avast, AVG, Bitdefender (เวอร์ชันฟรี) หรือ Windows Defender อัปเดตล่าสุด (Kaspersky เวอร์ชันฟรียังไม่ตรวจพบมัลแวร์นี้)

พร้อมกันนั้น ให้ดำเนินการสแกนด้วยตนเอง: ตรวจสอบใน Process Explorer หากคุณเห็นกระบวนการที่ไม่มีลายเซ็นดิจิทัลหรือชื่อไฟล์ข้อความปลอม

ตรวจสอบ tcpview เพื่อดูการเชื่อมต่อเครือข่าย - หากตรวจพบการเชื่อมต่อกับ IP 27[.]124[.]9[.]13 แสดงว่าจำเป็นต้องจัดการทันที

ผู้ดูแลระบบจำเป็นต้องบล็อคไฟร์วอลล์โดยด่วนเพื่อป้องกันการเข้าถึงที่อยู่ IP ที่เป็นอันตราย 27.124.9.13

ที่มา: https://baovanhoa.vn/nhip-song-so/canh-bao-ma-doc-nguy-hiem-loi-dung-viec-gop-y-du-thao-van-kien-dai-hoi-dai-bieu-toan-quoc-lan-thu-xiv-cua-dang-181494.html