Гостехслужбой отражена кибератака на госорганы Казахстана, передает Kazpravda.kz со ссылкой на Службу реагирования на компьютерные инциденты KZ-CERT.
"Служба реагирования на компьютерные инциденты KZ-CERT АО "ГТС" сообщает о выявленной вредоносной рассылке, замаскированной под рассылку от имени АО "First Heartland Jýsan Bank". Это не единичный случай, когда злоумышленники осуществляют рассылку с помощью подмены (email-spoofing) адреса отправителя. При этом для максимального охвата рассылки осуществляются от имени популярных брендов. В данном случае рассылка осуществлялась от имени вымышленного работника банка о том, что банк запрашивает коммерческие предложения для осуществления закупа услуги, якобы техническая спецификация приложена файлом.
Проведенный анализ данного файла позволил установить, что он относится к вредоносному программному обеспечению типа LOKIBOT. Хотелось бы обратить внимание на то, что при запуске процесса LOKIBOT на сервер злоумышленника направляется различная информация, полученная с компьютера пользователя. Зачастую это персональные данные и служебная конфиденциальная информация, в том числе и сохраненные пароли.
Спам-рассылки и письма с вредоносными вложениями в отношении государственных органов, обнаруженные посредством единого шлюза электронной почты "электронного правительства" (ЕШЭП), находящегося на стороне АО "ГТС", помещены в карантин и до целевых получателей не доставлены", – говорится в сообщении.
Отмечается, что с целью устранения вредоносной активности направлены оповещения в адрес владельцев ИР и зарубежных организаций стран, на территории которых расположены источники вредоносной активности.
Для проверки наличия вышеуказанного вредоносного программного обеспечения (ВПО) в сети вашей организации Служба KZ-CERT рекомендует:
– проверить список запущенных процессов на наличие процесса Tender.doc.exe, а также наличие файла по следующему пути "C:\Users\admin\AppData\Local\Temp\OrypwQoZAVfVbUNeVeZreUowcWAXopLuuztTZrTcHwcTZwOKdyXeZNTTciiorr.exe";
– проверить наличие соединений в сети вашей организации с управляющими серверами злоумышленников (51.195.53.221, 199.101.134.238, 192.124.249.24);
– Просканировать хосты с помощью антивирусного программного обеспечения на наличие ВПО.
"Если вы стали жертвой инцидента информационной безопасности, просим сообщать нашим специалистам по бесплатному номеру 1400 (круглосуточно), также можно отправить заявку в Telegram-чат: https://t.me/kzcert", – отметили в KZ-CERT.
"Служба реагирования на компьютерные инциденты KZ-CERT АО "ГТС" сообщает о выявленной вредоносной рассылке, замаскированной под рассылку от имени АО "First Heartland Jýsan Bank". Это не единичный случай, когда злоумышленники осуществляют рассылку с помощью подмены (email-spoofing) адреса отправителя. При этом для максимального охвата рассылки осуществляются от имени популярных брендов. В данном случае рассылка осуществлялась от имени вымышленного работника банка о том, что банк запрашивает коммерческие предложения для осуществления закупа услуги, якобы техническая спецификация приложена файлом.
Проведенный анализ данного файла позволил установить, что он относится к вредоносному программному обеспечению типа LOKIBOT. Хотелось бы обратить внимание на то, что при запуске процесса LOKIBOT на сервер злоумышленника направляется различная информация, полученная с компьютера пользователя. Зачастую это персональные данные и служебная конфиденциальная информация, в том числе и сохраненные пароли.
Спам-рассылки и письма с вредоносными вложениями в отношении государственных органов, обнаруженные посредством единого шлюза электронной почты "электронного правительства" (ЕШЭП), находящегося на стороне АО "ГТС", помещены в карантин и до целевых получателей не доставлены", – говорится в сообщении.
Отмечается, что с целью устранения вредоносной активности направлены оповещения в адрес владельцев ИР и зарубежных организаций стран, на территории которых расположены источники вредоносной активности.
Для проверки наличия вышеуказанного вредоносного программного обеспечения (ВПО) в сети вашей организации Служба KZ-CERT рекомендует:
– проверить список запущенных процессов на наличие процесса Tender.doc.exe, а также наличие файла по следующему пути "C:\Users\admin\AppData\Local\Temp\OrypwQoZAVfVbUNeVeZreUowcWAXopLuuztTZrTcHwcTZwOKdyXeZNTTciiorr.exe";
– проверить наличие соединений в сети вашей организации с управляющими серверами злоумышленников (51.195.53.221, 199.101.134.238, 192.124.249.24);
– Просканировать хосты с помощью антивирусного программного обеспечения на наличие ВПО.
"Если вы стали жертвой инцидента информационной безопасности, просим сообщать нашим специалистам по бесплатному номеру 1400 (круглосуточно), также можно отправить заявку в Telegram-чат: https://t.me/kzcert", – отметили в KZ-CERT.
