НКЦКИ предупреждает об угрозе внедрения ВПО Dark Crystal Rat

НКЦКИ предупреждает об угрозе внедрения ВПО Dark Crystal Rat

НКЦКИ предупреждает об угрозе внедрения ВПО Dark Crystal Rat

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) предупреждает о новой кампании злоумышленников, направленной на внедрение вредоносного программного обеспечения (ВПО) Dark Crystal Rat в информационные системы различных организаций в Российской Федерации.

Для распространения ВПО злоумышленники используют методы социальной инженерии, отправляя жертвам фишинговые электронные письма с вредоносными ссылками от имени федеральных органов исполнительной власти.

При переходе по ссылкам на компьютер жертвы загружаются модули ВПО. Они имеют защиту от запуска в отладчике и виртуальной среде, собирают адреса криптовалютных кошельков, списки запущенных процессов, сетевые подключения, перечень USB-устройств, сведения об операционной системе и т. п. Собранные данные перенаправляются на подконтрольные злоумышленникам ресурсы.

Примеры адресов электронной почты, с которых происходит рассылка фишинговых писем:

  • noreply@mvd.msk.ru;
  • noreply@fsbinfo.ru.

Примеры заголовков фишинговых писем:

  • «Приказ ФСБ РФ «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты»».
  • «Обеспечение национальной безопасности Российский Федерации».

НКЦКИ рекомендует принять следующие меры по нейтрализации угрозы:

  1. Обеспечить регулярное обновление баз данных используемых средств антивирусной защиты до актуального состояния.
  2. Осуществлять оценку риска заражения ВПО путем анализа не только вложений в электронных письмах, но и содержащихся в них web-ссылок.
  3. Скачивать и открывать файлы только из проверенных источников.
  4. Проверить на ресурсах ИТС и в сетевом трафике наличие индикаторов вредоносной активности, представленных в бюллетене НКЦКИ.
  5. Проинформировать сотрудников организации об опасности перехода по ссылкам и открытия вложений в электронных письмах, полученных даже от известных отправителей.

О случаях выявления признаков компрометации ИТС организации необходимо сообщить в НКЦКИ.

Подробное описание модулей вредоносного программного обеспечения и индикаторы компрометации приведены в бюллетене НКЦКИ.

Скачать бюллетень НКЦКИ в формате PDF: