AmanitaRubescens
@AmanitaRubescens
Шалтай-болтай

Что за киберзащитники?

Привет Друзья!
Кому приходило подобное письмо?
Какие действия предпринимали?

spoiler

Добрый день!
По каналам Национального координационного центра по компьютерным инцидентам (НКЦКИ) получены сведения о признаках внедрения вредоносного программного обеспечения (заражение ВПО CloudAtlas) в информационном ресурсе, который имеет сетевые реквизиты из вашего адресного пространства.
Технические сведения об атакованном ресурсе:
IPv4-адрес: **************
Технические сведения о центре управления ВПО:
IPv4-адрес: 91.206.178[.]219
Трафик прилагаем.
Просим рассмотреть предоставленные материалы и, в случае подтверждения наличия фактов заражения ВПО, направить в наш адрес любые значимые сведения о компьютерном инциденте, в том числе информацию о причинах и условиях, способствовавших его возникновению.
В случае, если по результатам рассмотрения данной информации будет подтверждено наличие компьютерного инцидента, произошедшего на объекте критической информационной инфраструктуры Российской Федерации, то его владелец (субъект КИИ) в соответствии с Федеральным законом от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" обязан уведомить об этом НКЦКИ установленным порядком.
В случае отсутствия сведений, подтверждающих факт заражения ВПО, также заинтересованы в обратной связи для повышения эффективности нашей работы.
Для дальнейшего взаимодействия по данному сообщению НКЦКИ сохраняйте в теме письма его регистрационный номер - ***********.
С уважением,
Команда Национального координационного центра по компьютерным инцидентам
107031, г. Москва, ул. Большая Лубянка, д. 1/3
incident@cert.gov.ru
Сайт: cert.gov.ru
Тел.: +7(980)162-28-40


Из приложенного файла pcap

668ced94e01d6545544671.png

Может кто пояснить на русском языке?
  • Вопрос задан
  • 275 просмотров
Пригласить эксперта
Ответы на вопрос 3
CityCat4
@CityCat4 Куратор тега Информационная безопасность
//COPY01 EXEC PGM=IEBGENER
Ну, тут надо начать с того - а действительно ли вы КИИ и действительно ли письмо пришло оттуда, откуда написано? А то на заборе написано XYZ, а за забором почему-то .wood
Ответ написан
Комментировать
vabka
@vabka
Токсичный шарпист
Ну это по крайней мере точно не фишинг.
https://cctld.ru/help/safety/competent/
Ответ написан
Комментировать
re-alter
@re-alter
// _ AppSec // Bug Bounty / Legal Hacking
Привет.

Если совсем "на пальцах", то есть основания полагать, что был атакован некий ресурс с последующим заражением ВПО (вредоносным программным обеспечением) APT Cloud Atlas. Требуется провести расследование инцидента, по итогам которого: а) либо факт атаки и компрометации подтверждается, и тогда нужно предоставить дополнительные данные по указанным контактам; б) либо информация не подтверждается, и об этом также нужно сообщить по предоставленным контактам.

Возможно, эта статья даст больше информации по сложившейся ситуации и какие-то отправные точки.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы