• В Беларуси
  • Наука
  • Интернет и связь
  • Гаджеты
  • Игры
  • Офтоп
  • Оружие
  • Архив новостей
    ПНВТСРЧТПТСБВС
  1. Помните, в Жодино милиционер ударил женщину? На одну из участниц той истории завели дело
  2. «Череп маленький — мозг не помещается». История мамы парня, который родился с микроцефалией
  3. «Однушки» — от 170 долларов. Что сейчас происходит на рынке аренды квартир в Минске и что дальше
  4. Как самому недорого создать эффектный сад без помощи ландшафтного дизайнера. Вот простые советы
  5. Гинеколог — о заболевании, которое может не иметь симптомов и при этом мешать женщине родить
  6. Новые выборы уже в этом году и права человека. Парламентская ассамблея Совета Европы приняла резолюции по Беларуси
  7. Преподаватель гомельского медунивера от руки рисует лекции для студентов — и им нравится
  8. Проект Суперлиги оказался полным провалом. Турнир отменили, а клубы испортили себе репутацию
  9. Точки над i. От назначенной на четверг встречи Лукашенко и Путина ждут судьбоносных решений
  10. Белорусы жалуются на задержку пенсий и пособий. В Минтруда пояснили, в чем дело
  11. Возле гипермаркета Green в Чижовке затопило проезжую часть. Водоснабжение нарушено в трех районах Минска
  12. В Беларуси запретили продажу популярного печенья, которое было во многих магазинах. Что с ним не так
  13. Вводят новшества по валютному рынку. Что они означают для белорусов
  14. В России — акции в поддержку Навального: более тысячи человек задержаны
  15. Замглавы МИД Литвы: Посол США, не получившая белорусскую визу, возможно, временно будет проживать в Вильнюсе
  16. Власти смогут вводить ограничения и запреты по валютному рынку. Среди причин — падение рубля
  17. В Минске и окрестностях — много силовиков и колонны техники. В МВД говорят, что «плановые учения»
  18. «В пандемию люди соскучились по общению». В Минске открылся клуб с настолками и баром, сходили туда
  19. Знакомьтесь с отважной белоруской, которая решилась взойти на самую высокую вершину земли
  20. Пособие на погребение снова сократилось. В ФСЗН рассказали, сколько оно сейчас составляет
  21. «Остеопороз может привести к инвалидности». Поговорили с врачом о еще одной эпидемии 21-го века
  22. Многодетная семья всего за год переехала из «двушки» в свой дом. Вот их история и все расчеты
  23. В Оршанском РУВД в кабинете нашли тело сотрудника милиции. СК проводит проверку
  24. Отдых в пандемию: можно ли съездить в автобусный тур и обязательна ли самоизоляция после возвращения
  25. 35 лет после Чернобыля. История женщины, родившей сына в апреле 1986-го
  26. КГБ: по «делу о госперевороте» обвинения предъявлены четырем лицам. Все они дают признательные показания
  27. «Все границы перешли!» Путин о «попытке госпереворота и убийства Лукашенко» в Беларуси
  28. В Минздраве рассказали о количестве привившихся от коронавируса и поствакцинальных реакциях
  29. Убита телохранителем, погиб от рук племянника. Как глав государств убивают на посту
  30. В Минске заметили эксклюзивный внедорожник с клиренсом полметра и ценой почти полмиллиона евро


В Байнете фиксируется новая кампания по рассылке и заражению вредоносным программным обеспечением (далее — ВПО) пользователей национального сегмента сети Интернет. Рассылки направлены на физических лиц, предприятия частного и государственного секторов, а также силовые ведомства, госорганы и организации. Об этом сообщает национальная команда реагирования на компьютерные инциденты CERT.BY.

Фото: Markus Spiske / Unsplash
Фото: Markus Spiske / Unsplash

Фишинговая рассылка

Сообщения, содержащие вредоносные ссылки, составлены на русском языке, злоумышленники используют стандартный прием социальной инженерии, используя актуальную в данный период тематику. Ниже представлен список тем, которые злоумышленники использовали в сообщениях своей рассылки:

  • «Материалы — введение поправок»
  • «Материалы для публикации»
  • «Еще одна жертва протестов в Беларуси!»

Примеры писем со ссылками на скачивание ВПО представлены ниже. Причем следует обратить внимание на адрес, по которому происходит переход при нажатии на ссылку «materialy.zip».

Распространение

Рассматриваемая кампания направлена на очень большое количество пользователей национального сегмента сети Интернет. Среди адресатов рассылки оказались физические лица, сотрудники предприятий частного и государственного секторов различной направленности, а также силовых ведомств, госорганов и организаций.

Ниже представлен список некоторых из них:

  • Министерство транспорта и коммуникаций;
  • Министерство труда;
  • Государственный комитет по имуществу;
  • Мингорисполком;
  • Национальная государственная телерадиокомпания;
  • Министерство обороны;
  • ряд других силовых структур, физических и юридических лиц.

В ходе расследования названных инцидентов выявлено несколько десятков хостов в нашем сегменте сети Интернет, которые, предположительно, заражены ВПО, распространяемым в указанных фишинговых письмах. На данный момент проводится оповещение пользователей и проверка информации.

Признаки фишинговых писем и индикаторы компрометации (нажмите, чтобы развернуть)

Отправители (могут отличаться):

  • yulia.matveeva.94@mail.ru;
  • andrey.sitak@bk.ru;
  • vetlana.markelova.94@mail.ru;
  • mariya.novoselova89@inbox.ru;
  • ailebedev@inbox.ru;
  • sitak.sergey@mail.ru;
  • mariya.novoselova89@inbox.ru;
  • mdkuznetsov@bk.ru;
  • sashabahonovich@tut.by;
  • svetlana.markelova.94@mail.ru;
  • igor.sitak@bk.ru.

URLs:

  • hxxps://download-365[.]com/download_files/download.php?u=cf37dafa-939c-412e-a653-d6b01737c870
  • hxxps://download-365[.]com/download_files/download.php?u=3b81c594−3700−4056-a1e7−675865b8e4ec
  • hxxps://download-365[.]com/download_files/download.php?u=4df6e316−676d-4b9d-9ad3−8f8536ecd530
  • hxxps://download-365[.]com/filedownload/download.php?u=cf37dafa-939c-412e-a653-d6b01737c870
  • hxxps://download-365[.]com/filedownload/download.php?u=db810273−30b5−4887−894b-ec84e9bd7f96
  • hxxps://download-365[.]com/filedownload/download.php?u=033d4773-c8fd-405d-92ff-eec61edb6c75
  • hxxps://download-365[.]com/filedownload/download.php?u=33560fe7−48d1−46b4−8a4b-1847f3071374
  • hxxps://download-365[.]com/filedownload/download.php?u=befe7355−64c7−4be9-a700−5d85ee66a55e
  • hxxps://download-365[.]com/filedownload/download.php?f=rtf-dwnxcr28tw974234&u=e7794864−36dc-4adc-8b1b-ebabb832b5c2
  • hxxps://download-click[.]net/download/download.php?u=f195b4fb-b3cb-4549-b1c7−0f5c25d2cf90
  • hxxps://365downloading[.]com/download-zip4/download.php?u=2e1edfe9−32b3−46a3-bac7−9a88a8d221c4
  • hxxps://365downloading[.]com/download-doc3/download.php?u=8b001f5a-be0d-4eca-8190−6db8f8024532

Названия ссылок:

  • materialy.zip;
  • podgotovlennyye_materialy.zip.

Адрес командного центра ВПО (C&C):

185.38.151.11

Рекомендации

  • Остерегайтесь любых электронных писем, пытающихся заставить вас открывать вложения или переходить по ссылкам.
  • Всегда будьте внимательными и осторожными с любыми электронными письмами, отправителями которых являются как лица или организации, от которых вы обычно не получаете письма, так и от тех, с кем вы регулярно общаетесь (ящик отправителя может быть подделан либо скомпрометирован).
  • Соблюдайте правила «цифровой гигиены».

Дополнительно

В ходе расследования инцидентов, связанных с зафиксированной кампанией, установлено, что некоторые госорганы и организации используют сторонние почтовые сервисы (например: gmail.com, mail.ru, yandex.ru, tut.by и др.) в своей деятельности.

Государственные органы и организации обязаны соблюдать требования нормативных правовых актов Республики Беларусь, а применительно к описанной ситуации — руководствоваться указом Президента Республики Беларусь от 1 февраля 2010 г. № 60 «О мерах по совершенствованию использования национального сегмента сети Интернет», а именно:

  • в случае отсутствия возможности размещения почтовых сервисов на собственных площадях необходимо получать данную услугу у уполномоченных поставщиков интернет-услуг, расположенных в Республике Беларусь;
  • использовать рекомендации по обеспечению безопасности информации в локальных сетях, подключенных к сети Интернет и обрабатывающих общедоступную информацию (ссылка).

В случае получения писем с описанными признаками просим сообщить об этом в адрес CERT.BY, переслав на почту support@cert.by.

-15%
-30%
-40%
-20%
-20%
-50%
-10%
-10%
-10%
0073023