Служба KZ-CERT устранила вирусную рассылку, имитирующую документ Минздрава

Рассылка была нацелена на госорганы, нацкомпании, предприятия частного и банковского сектора.

Редакция "Литер"

18.06.2020, 21:06

Служба KZ-CERT устранила вирусную рассылку, имитирующую документ Минздрава

Служба реагирования на компьютерные инциденты KZ-CERT устранила вирусную рассылку, имитирующую документ Министерства здравоохранения Казахстана, передает Liter.kz.

"В адрес Службы реагирования на компьютерные инциденты KZ-CERT поступило обращение о зафиксированной вредоносной фишинговой рассылке с электронного адреса Birtanov.e@dsm.gov.kz с темой письма «кововид-19 қорғаныс құралдарын тегін тарату (Қазақстан Республикасы Денсаулық сақтау министрлігі)". В ходе анализа эксперты Службы KZ-CERT выяснили, что данная рассылка осуществлялась с применением методов email-спуфинга (подмены), в результате которого подделывался реальный электронный адрес отправителя. Проверка активности рассылки позволила выявить два скомпрометированных почтовых сервера в казахстанском сегменте Интернет, с которых активно осуществлялась рассылка с подменой реального адреса отправителя на Birtanov.e@dsm.gov.kz", - отмечается в сообщении KZ-CERT.

С электронного адреса Birtanov.e@dsm.gov.kz обнаружена рассылка писем в адрес 206 адресатов государственных органов РК, которые были успешно заблокированы и до конечных пользователей не доставлены. Данная вирусная рассылка в основном была нацелена на госорганы РК, компании квазигосударственного, частного, банковского сектора.

"Осуществленный Службой KZ-CERT анализ файла, находившегося в письме в виде безобидной презентации, был идентифицирован как вредоносное программное обеспечение. Стоит отметить, что вредоносное вложение относится к типу вирусов-стиллеров. Особенностью данного ВПО является то, что оно получает доступ к некоторым системным ресурсам компьютера жертвы, что позволяет злоумышленникам получить доступ к конфиденциальным данным пользователя с дальнейшей отправкой на командный сервер злоумышленников", - сообщили в KZ-CERT.

Отмечается, что источники вредоносной рассылки успешно нейтрализованы и новых аналогичных рассылок с указанного адреса не зафиксировано. Владельцам скомпрометированных серверов даны рекомендации по устранению и недопущению компрометации в будущем.

Казахстанским интернет-пользователям рекомендуют соблюдать правила кибергигиены для сохранения безопасности личных данных.

Если вы стали жертвой инцидента информационной безопасности, в KZ-CERT просят сообщить им об этом по бесплатному номеру 1400 (круглосуточно), направить письмо на email: incident@kz-cert.kz. Можно также отправить в службу заявку по ссылке: http://www.cert.gov.kz/notify-incident.