Мемлекеттік техникалық қызмет

Бәріміз де білеміз, мемқызмет алу туралы сұрау салуға қол қою үшін  NCALayer-ді орнату қажет.  Мемлекеттік техникалық қызмет ашқан кезде NCALayer-ге арналған жаңарту ретінде «Trojan Downloader» түріндегі зиянды бағдарлама жүктеліп, іске қосылатын hxxps://ncalayer.info/update.php фишингтік интернет-ресурсты айқындады. GitHub кодының белгілі репозиторийін қамтитын шифрды ашу мен жүктеулер тізбегінен кейін компьютерге бұзылған нұсқасы хакерлік даркнет форумдарда таратылатын Venom RAT v6.0.1 зиянды бағдарламалық қамтылымы орнатылады.

Бұл зиянды бағдарламаның ерекшелігі оның кейлоггер, деректерді ұрлау, компьютерді қашықтан жасырын басқару (VNC), сондай-ақ веб-камераны басқару функционалының иесі болып табылатыны. Түпкілікті нәтижесінде зиянкестің пернетақтада терілетін акқпаратты оқуға, парольдерді, с.і. браузерлерден  көруге, сондай-ақ сыртқы қосымшаларды орнатуға мүмкіндігі бар.

Мұндай бағдарламалар сіздің жеке ақпаратыңызға қауіп төндіру ықтималдығы орын алатындықтан, оларды жүктемеуге, орнатпауға және күдікті сілтемелер бойынша өтпеуге қатаң ұсыным береміз.

KZ CERT компьютерлік инциденттерге ұлттық әрекет ету қызметі домендік аттың шетелдік тіркеушісіне қажет шаралар қабылдау туралы ақпарат жолдады. Сонымен бірге, ішкі ақпарат алмасу платформасының көмегімен мемлекеттік органдар мен ақпараттық қауіпсіздіктің жедел орталықтарына хабарламалар жіберілді.

Жолын кесу және детектрлеу кезінде техникалық мамандар үшін қосымша ақпарат:

Бақылау сомалары:

90FC32AFFDFE1F78C15B7D0D0D5C2EB0

DEC8D147133403AEAF4D6A3F568B96CE

11778B58E4DE1518F0B10129AB1D8D0D

BEE0C15CAED5C45356C7FD55290A2DBF

FFF67136941D5D16011E78DB9E2626F43ADFE3BC

1B9B17CEB20BB120C0113D90DC6E3751E50C98DC

DBB287CCAFA466DB2D049D3A11B791DD8D1694D7

5FDF1F9DE16AD67C3A40A0B57AAD8015978D4E60

63AD98FC47990E1B827A6C1B541D7A76F65722537EDAEF90FFDE5262F30383E2

FA086D24C7D52D75A4E6725517EE3A387A9D9CD5B0275FA010E1DFD81039DC46

4876B9C55E9B29F2C4CEEAA1FB498DEA8D4E4CD40356C92D23A4B15D9B70C51D

5917FD78B3281464E5231CFDDFA62A26DE5DCD8146EEDB7B58D40BBDB4424138

Файлдардың атаулары:

NCALayer.bat-жаңарту

%APPDATA%\NETFramework48\install.exe

%APPDATA%\OSDService\Init.exe

%APPDATA%\NETFramework48.zip

%APPDATA%\csrsv64.zip

%APPDATA%\OSDService.zip

Тізілім:

“ConsentPromptBehaviorAdmin” кілтінің параметрі HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System

“WinRAR32” кілтінің параметрі HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

“Init” кілтінің параметрі HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

Міндет:

Init

Желі:

95.214.27[.]222

95.214.27[.]223

95.214.27[.]220