Поддержать TUT.BY
70 дней за решеткой. Катерина Борисевич
Коронавирус: свежие цифры
  1. «Сложно найти девушку, не все хотят тут жить». Как айтишник переехал в 120-летний дом на хуторе
  2. «Внезапно возникший предварительный сговор». Прокурор потребовала семь лет колонии за захват грузовика на протестах
  3. Лукашенко говорит о боевиках и взрывах, а Новая Боровая — о тайне зеленых человечков. Что происходит в Беларуси
  4. Макей о «лагерях для острокопытных»: Не верю фейковым новостям, которые исходят из уст оппонентов власти
  5. Министр по чрезвычайным ситуациям Ващенко освобожден от должности
  6. Ужесточение законов, возможность амнистии и 6 млн за действующую власть. Что сказал Лукашенко — очень коротко
  7. Опознана одна из девушек, которая часто появляется в окружении Лукашенко. Она тоже срезала ленточки во дворах
  8. Какую квартиру не надо покупать, если вы хотите продать ее через 10 лет. Вот 5 главных пунктов
  9. «Понял, что поменял шило на мыло». Три уехавших врача рассказывают, как изменилась их жизнь после выборов
  10. Распалась невероятная биатлонная пара: «Она — лучшая девушка в мире»
  11. «90% не смогут работать». Рестораторы заявили о проекте Совмина, который ограничит работу общепита
  12. Как семья из маленькой деревни спасла 42 животных — на зарплату лесника и пособие по инвалидности
  13. «Службой был доволен, не жаловался». Что известно о погибшем в части в Островце 18-летнем срочнике
  14. В Беларуси повышают минимальные трудовые и социальные пенсии
  15. Geely GS оказался дешевле, но крупнее Coolray. Первый тест-драйв новинки от «БЕЛДЖИ»
  16. «Насилие было с обеих сторон: курсанту прилетел кирпич в лицо». Бывший пограничник — о службе
  17. Люди в красно-зеленом клеили госфлаги на окна в Новой Боровой. Кто это мог быть и все ли по закону?
  18. Конфликт в столичной маршрутке. Водитель хотел высадить пассажира из-за неприятного запаха
  19. Новые поправки в УК, УПК, а также в трудовое и избирательное законодательство внесут в течение двух месяцев
  20. Громко хлопают в ладоши. Как белорусов судят по «политической» 342-й статье
  21. В Беларуси больше не будут производить Geely Emgrand 7 и Emgrand X7
  22. «Не подпишешь — премии не увидишь». Письмо профсоюзов по санкциям подписали больше 110 тысяч человек
  23. Бегуна из Новополоцка ждет суд за фото с забега Zombie Run. Соседи считают их «исключительно циничными»
  24. «Я одна здесь уже 10 лет». История Галины, которая живет в мертвой деревне. Почти
  25. Идет ли на спад вторая волна COVID-19: о чем говорят данные Минздрава и врачи
  26. Прививка от коронавируса в Беларуси: ответы на простые вопросы
  27. Доллар заметно подорожал на торгах 28 января. Обменники отреагировали повышением курсов
  28. Журналистов не пустили на суд экс-директора отделения Белгазпромбанка в Могилеве — «ради безопасности»
  29. Глава МИД: Некоторые послы стран ЕС размещают у себя посты конкретной антигосударственной направленности
  30. Подорожают многие продукты и лекарства, обновят базу тунеядцев, повысят пенсии. Изменения февраля


В Байнете фиксируется новая кампания по рассылке и заражению вредоносным программным обеспечением (далее — ВПО) пользователей национального сегмента сети Интернет. Рассылки направлены на физических лиц, предприятия частного и государственного секторов, а также силовые ведомства, госорганы и организации. Об этом сообщает национальная команда реагирования на компьютерные инциденты CERT.BY.

Фото: Markus Spiske / Unsplash
Фото: Markus Spiske / Unsplash

Фишинговая рассылка

Сообщения, содержащие вредоносные ссылки, составлены на русском языке, злоумышленники используют стандартный прием социальной инженерии, используя актуальную в данный период тематику. Ниже представлен список тем, которые злоумышленники использовали в сообщениях своей рассылки:

  • «Материалы — введение поправок»
  • «Материалы для публикации»
  • «Еще одна жертва протестов в Беларуси!»

Примеры писем со ссылками на скачивание ВПО представлены ниже. Причем следует обратить внимание на адрес, по которому происходит переход при нажатии на ссылку «materialy.zip».

Распространение

Рассматриваемая кампания направлена на очень большое количество пользователей национального сегмента сети Интернет. Среди адресатов рассылки оказались физические лица, сотрудники предприятий частного и государственного секторов различной направленности, а также силовых ведомств, госорганов и организаций.

Ниже представлен список некоторых из них:

  • Министерство транспорта и коммуникаций;
  • Министерство труда;
  • Государственный комитет по имуществу;
  • Мингорисполком;
  • Национальная государственная телерадиокомпания;
  • Министерство обороны;
  • ряд других силовых структур, физических и юридических лиц.

В ходе расследования названных инцидентов выявлено несколько десятков хостов в нашем сегменте сети Интернет, которые, предположительно, заражены ВПО, распространяемым в указанных фишинговых письмах. На данный момент проводится оповещение пользователей и проверка информации.

Признаки фишинговых писем и индикаторы компрометации (нажмите, чтобы развернуть)

Отправители (могут отличаться):

  • yulia.matveeva.94@mail.ru;
  • andrey.sitak@bk.ru;
  • vetlana.markelova.94@mail.ru;
  • mariya.novoselova89@inbox.ru;
  • ailebedev@inbox.ru;
  • sitak.sergey@mail.ru;
  • mariya.novoselova89@inbox.ru;
  • mdkuznetsov@bk.ru;
  • sashabahonovich@tut.by;
  • svetlana.markelova.94@mail.ru;
  • igor.sitak@bk.ru.

URLs:

  • hxxps://download-365[.]com/download_files/download.php?u=cf37dafa-939c-412e-a653-d6b01737c870
  • hxxps://download-365[.]com/download_files/download.php?u=3b81c594−3700−4056-a1e7−675865b8e4ec
  • hxxps://download-365[.]com/download_files/download.php?u=4df6e316−676d-4b9d-9ad3−8f8536ecd530
  • hxxps://download-365[.]com/filedownload/download.php?u=cf37dafa-939c-412e-a653-d6b01737c870
  • hxxps://download-365[.]com/filedownload/download.php?u=db810273−30b5−4887−894b-ec84e9bd7f96
  • hxxps://download-365[.]com/filedownload/download.php?u=033d4773-c8fd-405d-92ff-eec61edb6c75
  • hxxps://download-365[.]com/filedownload/download.php?u=33560fe7−48d1−46b4−8a4b-1847f3071374
  • hxxps://download-365[.]com/filedownload/download.php?u=befe7355−64c7−4be9-a700−5d85ee66a55e
  • hxxps://download-365[.]com/filedownload/download.php?f=rtf-dwnxcr28tw974234&u=e7794864−36dc-4adc-8b1b-ebabb832b5c2
  • hxxps://download-click[.]net/download/download.php?u=f195b4fb-b3cb-4549-b1c7−0f5c25d2cf90
  • hxxps://365downloading[.]com/download-zip4/download.php?u=2e1edfe9−32b3−46a3-bac7−9a88a8d221c4
  • hxxps://365downloading[.]com/download-doc3/download.php?u=8b001f5a-be0d-4eca-8190−6db8f8024532

Названия ссылок:

  • materialy.zip;
  • podgotovlennyye_materialy.zip.

Адрес командного центра ВПО (C&C):

185.38.151.11

Рекомендации

  • Остерегайтесь любых электронных писем, пытающихся заставить вас открывать вложения или переходить по ссылкам.
  • Всегда будьте внимательными и осторожными с любыми электронными письмами, отправителями которых являются как лица или организации, от которых вы обычно не получаете письма, так и от тех, с кем вы регулярно общаетесь (ящик отправителя может быть подделан либо скомпрометирован).
  • Соблюдайте правила «цифровой гигиены».

Дополнительно

В ходе расследования инцидентов, связанных с зафиксированной кампанией, установлено, что некоторые госорганы и организации используют сторонние почтовые сервисы (например: gmail.com, mail.ru, yandex.ru, tut.by и др.) в своей деятельности.

Государственные органы и организации обязаны соблюдать требования нормативных правовых актов Республики Беларусь, а применительно к описанной ситуации — руководствоваться указом Президента Республики Беларусь от 1 февраля 2010 г. № 60 «О мерах по совершенствованию использования национального сегмента сети Интернет», а именно:

  • в случае отсутствия возможности размещения почтовых сервисов на собственных площадях необходимо получать данную услугу у уполномоченных поставщиков интернет-услуг, расположенных в Республике Беларусь;
  • использовать рекомендации по обеспечению безопасности информации в локальных сетях, подключенных к сети Интернет и обрабатывающих общедоступную информацию (ссылка).

В случае получения писем с описанными признаками просим сообщить об этом в адрес CERT.BY, переслав на почту support@cert.by.

-10%
-5%
-30%
-10%
-20%
-30%
-15%
-40%
-20%
-10%
-35%