Ханой попереджає про шкідливе програмне забезпечення Valley RAT, яке видає себе за «Проєкт резолюції 14-го Національного з'їзду партії»

Це трюк, який використовує широке політичне середовище людей для поширення шкідливого програмного забезпечення, крадіжки інформації та створення загрози безпеці інформаційних систем установ, організацій та окремих осіб.

Шкідливе програмне забезпечення Valley RAT видає себе за «Проект резолюції Конгресу»

За даними Департаменту кібербезпеки та запобігання високотехнологічним злочинам (міська поліція Ханоя ), шкідливе програмне забезпечення Valley RAT замасковане у файлі під назвою "DRAFT RESOLUTION OF THE CONGRESS.exe". Коли користувач відкриває файл, шкідливе програмне забезпечення негайно встановлюється в систему, автоматично запускається щоразу, коли комп'ютер запускається, та підключається до сервера керування (C2) за адресою 27.124.9.13 (порт 5689), яким керує хакер.

Звідси шкідливе програмне забезпечення може виконувати небезпечні дії: красти конфіденційну інформацію на комп'ютері користувача; отримувати контроль над комп'ютером; красти особисті та корпоративні облікові записи; збирати внутрішні документи; продовжувати поширювати шкідливе програмне забезпечення на інші пристрої в тій самій системі.

Небезпечним фактором є те, що інтерфейс файлу замаскований під справжній адміністративний документ, що може легко заплутати користувачів, особливо в контексті того, що багато підрозділів надсилають та отримують документи для коментування.

Виявлено більше нових пов'язаних файлів шкідливого програмного забезпечення

Завдяки розширеному скануванню влада виявила ще багато шкідливих файлів зі схожою структурою, які виглядали як знайомі адміністративні документи: FINANCIAL REPORT2.exe або BUSINESS INSURANCE PAYMENT.exe; GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe; TAX DECLARATION SUPPORT.exe; PARTY ACTIVITY EVALUATION DOCUMENT.exe або AUTHORIZATION FORM.exe; MINUTES OF REPORT FOR THIRD QUARTER.exe

Ці файли названі на честь специфіки офісної роботи, фінансів, партійних справ, податків... що збільшує ймовірність того, що користувачі вважатимуть їх внутрішніми документами та відкриють їх, створюючи умови для поширення шкідливого програмного забезпечення.

За допомогою технічного аналізу поліція міста Ханой оцінила Valley RAT як особливо небезпечний, оскільки він має характеристики, що роблять його серйозною загрозою: приховування в системі, автоматичний запуск разом з Windows; можливість хакерам дистанційно керувати пристроєм; здатність завантажувати додаткове шкідливе програмне забезпечення; автоматичний збір конфіденційних даних та їх надсилання на сервер керування; здатність записувати натискання клавіш, робити скріншоти, красти паролі, збережені в браузері; легке поширення у внутрішній мережевій системі...

Багато агентств та організацій використовують внутрішню електронну пошту або Zalo, Facebook Messenger для обміну документами, ненавмисно створюючи сприятливе середовище для поширення шкідливого програмного забезпечення, якщо заражена лише одна машина в системі. Для забезпечення інформаційної безпеки Департамент кібербезпеки та запобігання високотехнологічним злочинам Департаменту поліції міста Ханой дав конкретні рекомендації:

Не відкривайте та не завантажуйте дивні файли, файли .exe з електронних листів чи соціальних мереж, будьте особливо обережні з файлами з розширеннями: .exe; .dll; .bat; .msi... Навіть якщо файл надіслано від знайомого (можливо, обліковий запис був викрадений).

Перевірте всі пристрої та системи. Виявивши незвичайні ознаки, користувачам необхідно негайно відключитися від Інтернету; не продовжувати користуватися пристроєм; повідомити про це правоохоронні органи або Національний центр кібербезпеки (NCSC).

Скануйте систему за допомогою надійного програмного забезпечення безпеки. Організаціям та окремим особам необхідно проактивно встановлювати антивірусне та антивірусне програмне забезпечення, таке як: Avast (безкоштовно); AVG (безкоштовно); Bitdefender (безкоштовно); Windows Defender (останнє оновлення). Примітно, що поліція Ханоя зазначила, що безкоштовне антивірусне програмне забезпечення Kaspersky ще не виявило цей тип шкідливого програмного забезпечення.

Ручне сканування на наявність ознак атаки. Окрім використання антивірусного програмного забезпечення та брандмауерів, людям потрібно використовувати Process Explorer, щоб побачити дивні процеси без цифрових підписів; використовувати TCPView для перевірки з’єднання; якщо ви бачите з’єднання з IP-адресою 27.124.9.13, вам потрібно негайно його обробити.

Системним адміністраторам необхідно негайно заблокувати шкідливу IP-адресу. Користувачам необхідно налаштувати брандмауер, щоб заблокувати весь доступ до IP-адреси 27.124.9.13, щоб запобігти підключенню шкідливого програмного забезпечення до сервера керування.

Посилити внутрішні попередження. Підрозділам необхідно негайно повідомляти посадових осіб та працівників про те, що вони категорично не відкривають «додані» документи, пов’язані з коментарями до документів, якщо джерело неможливо перевірити.

Людям необхідно отримати офіційну попереджувальну інформацію, дотримуватися рекомендацій від: Міністерства громадської безпеки ; Міністерства інформації та зв'язку; Місцевої поліції; Не поширюйте підозрілі файли в соціальних мережах, щоб уникнути поширення; Підвищте пильність для захисту національної мережевої безпеки.

Поява шкідливого програмного забезпечення Valley RAT саме в момент коментування проектів документів 14-го Національного партійного з'їзду свідчить про те, що кіберзлочинці ретельно використовують довіру користувачів до політичних та адміністративних документів.

Інформаційна безпека — це не лише відповідальність спеціалізованих установ, а й обов’язок кожної людини, яка користується цифровими пристроями. Правильна ідентифікація, швидкі дії та своєчасне звітування значною мірою сприятимуть захисту національної інформаційної системи та підтримці безпеки в кіберпросторі.