Следите за новостями

Цифра дня

3,5 млн дистанционных медицинских услуг оказано за 11 месяцев 2025 г.

    Гостехслужбой отражена кибератака на госорганы

    Вредоносная рассылка маскировалась под рассылку от имени First Heartland Jýsan Bank.

    6 мая 2021 16:15, Profit.kz
    Рубрики: Безопасность

    Служба реагирования на компьютерные инциденты KZ-CERT АО «ГТС» сообщила о выявленной вредоносной рассылке, замаскированной под рассылку от имени АО «First Heartland Jýsan Bank». Как отметили в ведомстве, это не единичный случай, когда злоумышленники осуществляют рассылку с помощью подмены (email-spoofing) адреса отправителя. При этом для максимального охвата рассылки осуществляются от имени популярных брендов. В данном случае рассылка осуществлялась от имени вымышленного работника банка о том, что банк запрашивает коммерческие предложения для осуществления закупа услуги и, якобы, техническая спецификация приложена файлом.

    «Проведенный анализ данного файла позволил установить, что он относится в вредоносному программному обеспечению типа LOKIBOT. Хотелось бы обратить внимание на то, что при запуске процесса LOKIBOT на сервер злоумышленника направляется различная информация, полученная с компьютера пользователя. Зачастую это персональные данные и служебная конфиденциальная информация, в том числе и сохраненные пароли», — пояснили в KZ-CERT.

    Спам-рассылки и письма с вредоносными вложениями в отношении государственных органов, обнаруженные посредством единого шлюза электронной почты «электронного правительства» (ЕШЭП), находящегося на стороне АО «ГТС», помещены в карантин и до целевых получателей не доставлены. С целью устранения вредоносной активности направлены оповещения в адрес владельцев ИР и зарубежных организаций стран, на территории которых расположены источники вредоносной активности.

    Для проверки наличия вышеуказанного вредоносного программного обеспечения в сети вашей организации KZ-CERT рекомендует:

    — Проверить список запущенных процессов на наличие процесса Tender.doc.exe, а также наличие файла по следующему пути «C:\Users\admin\AppData\Local\Temp\OrypwQoZAVfVbUNeVeZreUowcWAXopLuuztTZrTcHwcTZwOKdyXeZNTTciiorr.exe».
    — Проверить наличие соединений сети вашей организации с управляющими серверами злоумышленников (51.195.53.221, 199.101.134.238, 192.124.249.24).
    — Просканировать хосты с помощью антивирусного программного обеспечения на наличие ВПО.

    Подписывайтесь на каналы Profit.kz в Facebook и Telegram.