Tájékoztatás A Pécsi Tudományegyetem nevével visszaélő, káros csatolmányt tartalmazó levelekkel kapcsolatban

Tisztelt Ügyfelünk!

 

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) tájékoztatást ad ki a Pécsi Tudományegyetem nevével visszaélő, káros csatolmányt tartalmazó levelekkel kapcsolatban.

Intézetünk számos bejelentést kapott a Pécsi Tudományegyetem nevében kiküldött, káros csatolmányt tartalmazó levelekkel kapcsolatban. A levél csatolmányában egy excel fájl (Ajánlatkérés 2021.xlsm) található, amely egy trójai típusú malware-t, a Lokibot egyik variánsát tartalmazza.

A káros csatolmányú levelek kiszűrése érdekében a Nemzeti Kibervédelmi Intézet az alább indikátorok tiltását / szűrését javasolja:

Ip: 136[.]243[.]159[.]53  

Url:  hxxp://136[.]243[.]159[.]53/~element/page[.]php?id=172 

Beérkezett excel állomány: “Ajánlatkérés 2021.xlsm”

md5: c905b387d8889b669fbed95a6a252d30

sha256: 995e9fafe57d7228634d9acd7035bb4f3462dfff4d2061f78552869952523324

Futtatható fájl: Jtcrizlraiobuopr[.]exe

sha256: d51f9cd3b67f68e9df9af50fd1bf3b4f5676ac55f352ae0d44fc431f5e7986df

A fenti indikátorok szűrésén túl javasolt a fogadó oldalon az SPF rekordok ellenőrzésének kikényszerítése. Az SPF beállítások megfelelő alkalmazásával biztosítható, hogy ha olyan szervezet nevében érkezik levél, akinek van beállított SPF rekordja, akkor a fogadó oldali levelezőrendszer azt visszaellenőrizve meg tudja állapítani a feladó valódiságát. További, SPF rekorddal kapcsolatos információk a https://nki.gov.hu/it-biztonsag/tartalom/eszkoztar/spf/ oldalon érhetőek el. Az elektronikus levelezés biztonsági beállításaival kapcsolatban további javaslatok a Közigazgatási Kibervédelmi Eszköztárban találhatóak.

 További hivatkozások:

A tájékoztató szövege letölthető pdf formátumban.