Следите за новостями

Цифра дня

10,4 млрд — количество безналичных транзакций в РК в III квартале 2024

    Гостехслужбой отражена кибератака на госорганы

    Вредоносная рассылка маскировалась под рассылку от имени First Heartland Jýsan Bank.

    6 мая 2021 16:15, Profit.kz
    Рубрики: Безопасность

    Служба реагирования на компьютерные инциденты KZ-CERT АО «ГТС» сообщила о выявленной вредоносной рассылке, замаскированной под рассылку от имени АО «First Heartland Jýsan Bank». Как отметили в ведомстве, это не единичный случай, когда злоумышленники осуществляют рассылку с помощью подмены (email-spoofing) адреса отправителя. При этом для максимального охвата рассылки осуществляются от имени популярных брендов. В данном случае рассылка осуществлялась от имени вымышленного работника банка о том, что банк запрашивает коммерческие предложения для осуществления закупа услуги и, якобы, техническая спецификация приложена файлом.

    «Проведенный анализ данного файла позволил установить, что он относится в вредоносному программному обеспечению типа LOKIBOT. Хотелось бы обратить внимание на то, что при запуске процесса LOKIBOT на сервер злоумышленника направляется различная информация, полученная с компьютера пользователя. Зачастую это персональные данные и служебная конфиденциальная информация, в том числе и сохраненные пароли», — пояснили в KZ-CERT.

    Спам-рассылки и письма с вредоносными вложениями в отношении государственных органов, обнаруженные посредством единого шлюза электронной почты «электронного правительства» (ЕШЭП), находящегося на стороне АО «ГТС», помещены в карантин и до целевых получателей не доставлены. С целью устранения вредоносной активности направлены оповещения в адрес владельцев ИР и зарубежных организаций стран, на территории которых расположены источники вредоносной активности.

    Для проверки наличия вышеуказанного вредоносного программного обеспечения в сети вашей организации KZ-CERT рекомендует:

    — Проверить список запущенных процессов на наличие процесса Tender.doc.exe, а также наличие файла по следующему пути «C:\Users\admin\AppData\Local\Temp\OrypwQoZAVfVbUNeVeZreUowcWAXopLuuztTZrTcHwcTZwOKdyXeZNTTciiorr.exe».
    — Проверить наличие соединений сети вашей организации с управляющими серверами злоумышленников (51.195.53.221, 199.101.134.238, 192.124.249.24).
    — Просканировать хосты с помощью антивирусного программного обеспечения на наличие ВПО.

    Подписывайтесь на каналы Profit.kz в Facebook и Telegram.