НКЦКИ предупреждает об угрозе внедрения ВПО Dark Crystal Rat
Национальный координационный центр по компьютерным инцидентам (НКЦКИ) предупреждает о новой кампании злоумышленников, направленной на внедрение вредоносного программного обеспечения (ВПО) Dark Crystal Rat в информационные системы различных организаций в Российской Федерации.
Для распространения ВПО злоумышленники используют методы социальной инженерии, отправляя жертвам фишинговые электронные письма с вредоносными ссылками от имени федеральных органов исполнительной власти.
При переходе по ссылкам на компьютер жертвы загружаются модули ВПО. Они имеют защиту от запуска в отладчике и виртуальной среде, собирают адреса криптовалютных кошельков, списки запущенных процессов, сетевые подключения, перечень USB-устройств, сведения об операционной системе и т. п. Собранные данные перенаправляются на подконтрольные злоумышленникам ресурсы.
Примеры адресов электронной почты, с которых происходит рассылка фишинговых писем:
Примеры заголовков фишинговых писем:
О случаях выявления признаков компрометации ИТС организации необходимо сообщить в НКЦКИ.
Подробное описание модулей вредоносного программного обеспечения и индикаторы компрометации приведены в бюллетене НКЦКИ.
Скачать бюллетень НКЦКИ в формате PDF:
Для распространения ВПО злоумышленники используют методы социальной инженерии, отправляя жертвам фишинговые электронные письма с вредоносными ссылками от имени федеральных органов исполнительной власти.
При переходе по ссылкам на компьютер жертвы загружаются модули ВПО. Они имеют защиту от запуска в отладчике и виртуальной среде, собирают адреса криптовалютных кошельков, списки запущенных процессов, сетевые подключения, перечень USB-устройств, сведения об операционной системе и т. п. Собранные данные перенаправляются на подконтрольные злоумышленникам ресурсы.
Примеры адресов электронной почты, с которых происходит рассылка фишинговых писем:
Примеры заголовков фишинговых писем:
- «Приказ ФСБ РФ «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты»».
- «Обеспечение национальной безопасности Российский Федерации».
НКЦКИ рекомендует принять следующие меры по нейтрализации угрозы:
- Обеспечить регулярное обновление баз данных используемых средств антивирусной защиты до актуального состояния.
- Осуществлять оценку риска заражения ВПО путем анализа не только вложений в электронных письмах, но и содержащихся в них web-ссылок.
- Скачивать и открывать файлы только из проверенных источников.
- Проверить на ресурсах ИТС и в сетевом трафике наличие индикаторов вредоносной активности, представленных в бюллетене НКЦКИ.
- Проинформировать сотрудников организации об опасности перехода по ссылкам и открытия вложений в электронных письмах, полученных даже от известных отправителей.
О случаях выявления признаков компрометации ИТС организации необходимо сообщить в НКЦКИ.
Подробное описание модулей вредоносного программного обеспечения и индикаторы компрометации приведены в бюллетене НКЦКИ.
Скачать бюллетень НКЦКИ в формате PDF:
18.03.2022