Tisztelt Ügyfelünk!
A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) tájékoztatást ad ki a Pécsi Tudományegyetem nevével visszaélő, káros csatolmányt tartalmazó levelekkel kapcsolatban.
Intézetünk számos bejelentést kapott a Pécsi Tudományegyetem nevében kiküldött, káros csatolmányt tartalmazó levelekkel kapcsolatban. A levél csatolmányában egy excel fájl (Ajánlatkérés 2021.xlsm) található, amely egy trójai típusú malware-t, a Lokibot egyik variánsát tartalmazza.
A káros csatolmányú levelek kiszűrése érdekében a Nemzeti Kibervédelmi Intézet az alább indikátorok tiltását / szűrését javasolja:
Ip: 136[.]243[.]159[.]53
Url: hxxp://136[.]243[.]159[.]53/~element/page[.]php?id=172
Beérkezett excel állomány: “Ajánlatkérés 2021.xlsm”
md5: c905b387d8889b669fbed95a6a252d30
sha256: 995e9fafe57d7228634d9acd7035bb4f3462dfff4d2061f78552869952523324
Futtatható fájl: Jtcrizlraiobuopr[.]exe
sha256: d51f9cd3b67f68e9df9af50fd1bf3b4f5676ac55f352ae0d44fc431f5e7986df
A fenti indikátorok szűrésén túl javasolt a fogadó oldalon az SPF rekordok ellenőrzésének kikényszerítése. Az SPF beállítások megfelelő alkalmazásával biztosítható, hogy ha olyan szervezet nevében érkezik levél, akinek van beállított SPF rekordja, akkor a fogadó oldali levelezőrendszer azt visszaellenőrizve meg tudja állapítani a feladó valódiságát. További, SPF rekorddal kapcsolatos információk a https://nki.gov.hu/it-biztonsag/tartalom/eszkoztar/spf/ oldalon érhetőek el. Az elektronikus levelezés biztonsági beállításaival kapcsolatban további javaslatok a Közigazgatási Kibervédelmi Eszköztárban találhatóak.
További hivatkozások:
A tájékoztató szövege letölthető pdf formátumban.
