Hanoi, '14. Parti Kongresi Taslak Kararı'nı taklit eden Valley RAT kötü amaçlı yazılımı konusunda uyardı

Bu, halkın geniş siyasi ortamından yararlanarak kötü amaçlı yazılımlar yaymak, bilgi çalmak ve kurum, kuruluş ve kişilerin bilgi sistemlerinin güvenliğini riske atmak amacıyla yapılan bir hiledir.

Valley RAT kötü amaçlı yazılımı "Kongre Taslak Kararı"nı taklit ediyor

Siber Güvenlik ve Yüksek Teknoloji Suç Önleme Departmanı'na ( Hanoi Şehir Polisi) göre, Valley RAT kötü amaçlı yazılımı "KONGRESİN TASLAĞI.exe" adlı bir dosyada gizleniyor. Kullanıcı dosyayı açtığında, kötü amaçlı yazılım hemen sisteme kuruluyor, bilgisayar her başlatıldığında otomatik olarak çalışıyor ve bilgisayar korsanının kontrolündeki 27.124.9.13 adresindeki (port 5689) kontrol sunucusuna (C2) bağlanıyor.

Kötü amaçlı yazılım buradan tehlikeli eylemler gerçekleştirebilir: Kullanıcının bilgisayarındaki hassas bilgileri çalmak; Bilgisayarın kontrolünü ele geçirmek; Kişisel ve kurumsal hesapları çalmak; Dahili belgeleri toplamak; Kötü amaçlı yazılımı aynı sistemdeki diğer cihazlara yaymaya devam etmek.

Tehlikeli olan nokta ise dosya arayüzünün gerçek bir idari belge gibi görünmesi ve bu sayede kullanıcıların kafasının karışmasının kolaylaşmasıdır, özellikle de çok sayıda birimin belge gönderip aldığı ve belgeler hakkında yorum yaptığı bir ortamda.

Daha fazla yeni ilgili kötü amaçlı yazılım dosyası keşfedildi

Yetkililer, genişletilmiş tarama yoluyla benzer yapılara sahip, tanıdık idari belgelere benzeyen çok daha fazla kötü amaçlı dosya keşfetti: FINANCIAL REPORT2.exe veya BUSINESS INSURANCE PAYMENT.exe; GOVERNMENT'S ACİL RESMİ GÖNDERİ.exe; VERGİ BEYANNAMESİ DESTEĞİ.exe; TARAF FAALİYET DEĞERLENDİRME BELGESİ.exe veya YETKİLENDİRME FORMU.exe; ÜÇÜNCÜ ÇEYREK İÇİN RAPOR TUTANAKLARI.exe

Bu dosyalara ofis işleri, finans, parti işleri, vergiler gibi belirli konularla ilgili isimler veriliyor. Bu da kullanıcıların bunları dahili belgeler sanıp açma olasılığını artırıyor ve kötü amaçlı yazılımların yayılması için koşullar yaratıyor.

Hanoi Şehir Polisi, teknik analizler sonucunda Valley RAT'ı özellikle tehlikeli olarak değerlendirdi çünkü bu zararlı yazılım, onu büyük bir tehdit haline getiren özelliklere sahip: Sistemde gizleniyor, Windows ile otomatik olarak başlıyor; Bilgisayar korsanlarının cihazı uzaktan kontrol etmesine olanak tanıyor; Ek kötü amaçlı yazılımlar indirebiliyor; Hassas verileri otomatik olarak toplayıp kontrol sunucusuna gönderebiliyor; Tuş vuruşlarını kaydedebiliyor, ekran görüntüsü alabiliyor, tarayıcıda kayıtlı şifreleri çalabiliyor; Dahili ağ sisteminde kolayca yayılabiliyor...

Birçok kurum ve kuruluş, belge alışverişi için dahili e-posta veya Zalo, Facebook Messenger'ı kullanır ve bu da sistemdeki tek bir makine enfekte olduğunda kötü amaçlı yazılımların yayılması için istemeden elverişli bir ortam yaratır. Bilgi güvenliğini sağlamak için, Hanoi Şehir Polis Departmanı Siber Güvenlik ve Yüksek Teknoloji Suç Önleme Departmanı belirli önerilerde bulunmuştur:

E-postalardan veya sosyal ağlardan gelen garip dosyaları, .exe dosyalarını açmayın veya indirmeyin, özellikle şu uzantılara sahip dosyalara karşı dikkatli olun: .exe; .dll; .bat; .msi... Dosya bir tanıdıktan gönderilmiş olsa bile (hesap ele geçirilmiş olabilir).

Tüm cihaz ve sistemleri kontrol edin. Olağandışı belirtiler tespit edildiğinde, kullanıcıların derhal internet bağlantısını kesmeleri gerekir; Cihazı kullanmaya devam etmeyin; Yetkililere veya Ulusal Siber Güvenlik Merkezi'ne (NCSC) bildirin.

Sistemi güvenilir bir güvenlik yazılımıyla tarayın. Kuruluşlar ve bireyler, Avast (ücretsiz); AVG (ücretsiz); Bitdefender (ücretsiz); Windows Defender (en son güncelleme) gibi antivirüs ve kötü amaçlı yazılım önleme yazılımlarını proaktif olarak yüklemelidir. Hanoi Polisi, ücretsiz Kaspersky antivirüs yazılımının henüz bu tür kötü amaçlı yazılımları tespit etmediğini belirtti.

Saldırı belirtilerini manuel olarak tarayın. Antivirüs yazılımı ve güvenlik duvarlarının yanı sıra, dijital imzası olmayan garip işlemleri görmek için Process Explorer'ı kullanmanız gerekir; bağlantıyı kontrol etmek için TCPView kullanın; 27.124.9.13 IP adresine bir bağlantı görürseniz, hemen müdahale etmeniz gerekir.

Sistem yöneticilerinin kötü amaçlı IP adresini derhal engellemesi gerekmektedir. Kullanıcıların, kötü amaçlı yazılımın kontrol sunucusuna bağlanmasını önlemek için güvenlik duvarını 27.124.9.13 IP adresine tüm erişimi engelleyecek şekilde yapılandırmaları gerekmektedir.

Dahili uyarıları güçlendirin. Birimler, kaynağı doğrulanamayan belge yorumlarıyla ilgili "ekli" belgeleri kesinlikle açmamaları konusunda yetkilileri ve çalışanları derhal bilgilendirmelidir.

İnsanların resmi uyarı bilgilerine ihtiyacı var, aşağıdaki kurumların tavsiyelerine uyulmalı: Kamu Güvenliği Bakanlığı ; Bilgi ve İletişim Bakanlığı; Yerel Polis; Yayılmayı önlemek için şüpheli dosyaları sosyal ağlarda paylaşmayın; Ulusal ağ güvenliğini korumak için dikkati artırın

Valley RAT zararlı yazılımının, 14. Ulusal Parti Kongresi taslak belgeleriyle ilgili yorumların yapıldığı sırada ortaya çıkması, siber saldırganların kullanıcıların siyasi ve idari belgelere olan güvenini tamamen istismar ettiğini gösteriyor.

Bilgi güvenliği yalnızca uzmanlaşmış kurumların sorumluluğu değil, aynı zamanda dijital cihazları kullanan her bireyin görevidir. Doğru tanımlama, hızlı aksiyon ve zamanında raporlama, ulusal bilgi sisteminin korunmasına ve siber uzayda güvenliğin sağlanmasına önemli katkı sağlayacaktır.