Перечень мер по повышению защищенности ИТ инфраструктуры организации от Минобрнауки

Перечень мер по повышению защищенности информационной инфраструктуры организаций, подведомственных Минобрнауки России

1. С целью предотвращения реализации угроз безопасности информации, связанных с эксплуатацией уязвимостей, просим обратить внимание на необходимость устранения следующих уязвимостей:

1.1. Уязвимость программных продуктов Mozilla (BDU:2022-01146, уровень опасности по CVSS 2.0 — высокий, по CVSS 3.0 — высокий), связанная с обращением к уже освобождённой области памяти (Use-after-free) в коде для обработки параметра XSLT, может позволить нарушителю, действующему удаленно, выполнить произвольный код.

В целях предотвращения возможности эксплуатации указанной уязвимости необходимо: обеспечить доступ только к доверенным Интернет-ресурсам; осуществить настройку средств межсетевого экранирования прикладного уровня, позволяющую блокировать специально сформированные сетевые пакеты; осуществлять запуск браузера от имени пользователя с минимальными привилегиями.

1.2. Уязвимость программных продуктов Mozilla (BDU:2022-01147, уровень опасности по CVSS 2.0 — высокий, по CVSS 3.0 — высокий), связанная с обращением к уже освобожденной памяти в IPC фреймворке WebGPU может позволить нарушителю, действующему удалено, выйти из изолированной программной среды. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо: обеспечить доступ только к доверенным Интернет-ресурсам; осуществить настройку средств межсетевого экранирования прикладного уровня, позволяющую блокировать специально сформированные сетевые пакеты; осуществлять запуск браузера от имени пользователя с минимальными привилегиями.

1.3. Уязвимость API кластерной базы данных устройств Cisco Expressway Series и Cisco Telepresence VCS (BDU:2022-01148, уровень опасности по CVSS 2.0 — высокий, по CVSS 3.0 — высокий), связанная с недостаточной проверкой введенных пользователем командных аргументов, может позволить нарушителю, действующему удалено, перезаписать произвольные файлы на базовой операционной системе в качестве root-пользователя. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо: ограничить доступ к API: организовать доступ к веб-интерфейсу только из определенного сегмента сети (сегментирование сети); осуществить настройку средств межсетевого экранирования прикладного уровня, позволяющую блокировать специально сформированные сетевые пакеты; использовать системы обнаружения и предотвращения вторжений.

1.4. Уязвимость веб-интерфейса управления устройствами Cisco Expressway Series и Cisco Telepresence VCS (BDU:2022-01149, уровень опасности по CVSS 2.0 — высокий, по CVSS 3.0 — высокий), связанная с недостаточной проверкой введенных пользователем командных аргументов, может позволить нарушителю, действующему удаленно, выполнить произвольный код в качестве root-пользователя. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо: ограничить доступ к API: организовать доступ к веб-интерфейсу только из определенного сегмента сети (сегментирование сети); осуществить настройку средств межсетевого экранирования прикладного уровня, позволяющую блокировать специально сформированные сетевые пакеты; использовать системы обнаружения и предотвращения вторжений.

1.5. Уязвимость ядра операционной системы Linux (версии от 5.8 до 5.16.11, от 5.8 до 5.15.25 и от 5.8 до 5.10.102) (BDU:2022-01166, уровень опасности по CVSS 2.0 — средний, по CVSS 3.0 — высокий), позволяющая авторизованному нарушителю (непривилегированному пользователю) выполнить произвольный код с привилегиями root. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо:

— отключить неиспользуемые учетные записи, а также учетные записи недоверенных пользователей;

— обеспечить принудительную смену паролей пользователей;

— ограничить удаленный доступ к операционной системе (SSH и другие протоколы);

— ограничить доступ к командной строке для недоверенных пользователей;

— использовать антивирусные средства защиты;

— осуществлять мониторинг действий пользователей;

— использовать системы управления доступом (таких, как SELinux, AppArmor и другие системы управления доступа).

В целях предотвращения возможности эксплуатации указанной уязвимости в операционных системах Android необходимо:

— устанавливать приложений только из доверенных источников;

— использовать антивирусные средства защиты.

1.6. Уязвимости микропрограммного обеспечения BIOS ноутбуков DELL (BDU:2022-01431, BDU:2022-01432, BDU:2022-01433, BDU:2022-01434, BDU:2022- 01435, уровень опасности по CVSS 2.0 — средний, по CVSS 3.0 — высокий) — связаны с выходом операции за границы буфера в памяти и могут быть реализованы локально внутренними нарушителями. Эксплуатация указанных уязвимостей может позволить нарушителю выполнить произвольный код. В случае наличия в информационной инфраструктуре ноутбуков DELL необходимо принять следующие дополнительные меры защиты информации: ограничить доступ к уязвимым устройствам, в том числе, с применением средств доверенной загрузки; отключить неиспользуемые учетные записи пользователей, в том числе администраторов информационных систем, а также учетные записи недоверенных пользователей; обеспечить принудительную смену паролей пользователей; осуществлять мониторинг действий пользователей; использовать антивирусные средства защиты информации.

1.7. Уязвимость механизма маршрутизации модуля Spring для продвижения бизнес-логики с помощью функций Spring Cloud Function (BDU:2022-01628, уровень опасности
по CVSS 2.0 — средний, по CVSS 3.0 — средний), связанная с недостатками процедуры нейтрализации особых элементов в выходных данных, используемых входящим компонентом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к локальным ресурсам или вызвать отказ в обслуживании с помощью специально созданного SpEL-выражения. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо использовать средства межсетевого экранирования прикладного уровня в режиме блокировки для фильтрации HTTP-запросов.

1.8. Уязвимость программной платформы Spring Framework (BDU:2022-01627, уровень опасности по CVSS 2.0 — средний, по CVSS 3.0 — средний), связанная с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально созданного SpEL-выражения. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо использовать средства межсетевого экранирования прикладного уровня в режиме блокировки для фильтрации HTTP-запросов.

1.9. Уязвимость «нулевого дня» модуля Spring Core программной платформы Spring Framework (BDU:2022-01631, уровень опасности по CVSS 2.0 — критический, по CVSS 3.0 — высокий), связанная с применением входных данных с внешним управлением для выбора классов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо: осуществить настройку средств межсетевого экранирования прикладного уровня, позволяющую фильтровать строки, содержащие значения: «class.», «Class.», «.class.», и «.Class.»; модифицировать контроллер Spring Framework в части аннотации @InitBinder путем дополнения вызова метода dataBinder.setDisallowedFields строками: «class.», «Class.», «.class.», и «.Class.»; добавить в проект глобального класса, обеспечивающего вызов метода dataBinder.setDisallowedFields для добавления в «черный список» строк: «class.», «Class.», «.class.», и «.Class.»; использовать JDK версии 8 или более ранние версии.

1.10. Уязвимость компонента tc_new_tfilter ядра Linux (BDU:2022-01644, уровень опасности по CVSS 2.0 — средний, по CVSS 3.0 — средний), связанная с возможностью использования памяти после освобождения. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо: отключить неиспользуемые учетные записи, а также учетные записи недоверенных пользователей; обеспечить принудительную смену паролей пользователей; ограничить удаленный доступ к операционной системе (SSH и другие протоколы); ограничить доступ к командной строке для недоверенных пользователей; использовать антивирусные средства защиты информации; осуществлять мониторинг действий пользователей; использовать системы управления доступом (SELinux, AppArmor и другие системы).

2. С целью предотвращения реализации угроз безопасности информации, связанных с фишингом, необходимо принять следующие дополнительные меры защиты информации:

2.1. Организовать единый почтовый ящик электронной почты внутри ведомства (организации), на который работники направляют подозрительные электронные письма.

2.2. Проинформировать работников ведомства (организации) о необходимости:

направления всех подозрительных электронных писем на почтовый ящик электронной почты, указанный в пункте 2.1 настоящих рекомендаций;

внимательно проверять адрес отправителя, даже в случае совпадения имени с уже известным контактом;

не открывать письма от неизвестных адресатов;

проверять письма, в которых содержатся призывы к действиям (например, «открой», «прочитай», «ознакомься»), а также с темами про финансы, банки, геополитическую обстановку или угрозы;

не переходить по ссылкам, которые содержаться в электронных письмах, особенно если они длинные или наоборот, используют сервисы сокращения ссылок (bit.ly, tinyurl.com и т.д.);

не нажимать на ссылки из письма, если они заменены на слова, не наводить на них мышкой и просматривать полный адрес сайтов;

проверять ссылки, даже если письмо получено от другого пользователя информационной системы;

не открывать вложения, особенно если в них содержаться документы с макросами, архивы с паролями, а также файлы с расширениями RTF, LNK, CHM, VHD;

внимательно относится к письмам на иностранном языке, с большим количеством получателей и орфографическими ошибками.

2.3. Настроить в средствах антивирусной защиты, антиспама (при наличии) проверку всех поступающих на почту вложений

2.4. Активировать (при возможности) механизмы проверки электронной почты, проверки подлинности домена-отправителя (например, использовать технологии DKIM, DMARC, SPF), а также настроить проверку входящих писем с использованием этих технологий.

2.5. Заблокировать (при возможности) получение пользователя информационной системы в электронных письмах вложений с расширениями ADE, ADP, .APK, APPX, APPXBUNDLE, BAT, CAB, CHM, CMD, COM, CPL, DLL, DMG, EX, EX_, EXE, HTA, INS, ISP, ISO, JAR, JS, JSE, LIB, LNK, MDE, MSC, MSI, MSIX, MSIXBUNDLE, MSP, MST, NSH, PIF, PS1, SCR, SCT, SHB, SYS, VB, VBE, VBS, VHD, VXD, WSC, WSF, WSH.

2.6. Заблокировать доставку писем от доменов-отправителей, страной происхождения которых являются США и страны Европейского союза

3. С целью предотвращения реализации угроз безопасности информации, связанных с утечкой защищаемой информации, необходимо принять следующие дополнительные меры защиты информации:

3.1. Запретить возможность размещения защищаемой информации в облачных сервисах, а также ее передачу через мессенджеры, Google Docs и другие сервисы.

3.2. Обеспечить контроль содержимого файлов, передаваемых посредством электронной почты, с применением систем предотвращения утечки информации (DLP-систем).

3.3. Провести аудит подключаемых к автоматизированным рабочим местам съемных машинных носителей информации и анализ записываемой на них информации (например, реализовать технологию «теневого копирования»).

3.4. Обеспечить отслеживание геолокации пользователей, осуществляющих удаленное подключение к информационной инфраструктуре.

3.5. Обеспечить мониторинг информационных ресурсов, расположенных в сети «Интернет», на предмет выявления утечек защищаемой информации ведомства (организации), и оперативное принятие мер по предотвращению ущерба от такой утечки.

В случае выявления фактов утечки защищаемой информации в ведомстве (организации) необходимо выполнить следующие первоочередные мероприятия:

сменить учетные данные пользователей и администраторов информационных систем и реализовать двухфакторную аутентификацию (при возможности);

при утечке конфигурационной информации обеспечить мониторинг запросов на доступ к информационной инфраструктуре и оперативное реагирование на попытки несанкционированного доступа к ней.

4. По результатам мониторинга угроз безопасности информации в сети «Интернет», зарубежными хакерскими группировками осуществляется подготовка к проведению компьютерных атак на информационную инфраструктуру Российской Федерации, направленных на получение конфиденциальной информации, а также на нарушение функционирования и вывод из строя информационной инфраструктуры Российской Федерации.

Предполагается, что проведение компьютерных атак планируется осуществлять через внедрение в обновления иностранного программного обеспечения вредоносного программного обеспечения.

При этом распространение обновлений с вредоносными вложениями может осуществляться через центры обновлений (официальные сайты) разработчиков иностранного программного обеспечения, размещаемые в сети «Интернет».

Указанные компьютерные атаки, а также угрозы безопасности информации планируется осуществлять через программное обеспечение компании Microsoft, MongoDB, а также «фишинговые» электронные письма, содержащие вредоносные вложения.

В целях предотвращения реализации угроз безопасности информации, направленных на утрату доступа к информации, содержащейся в государственных информационных системах, а также на объектах критической информационный инфраструктуры Российской Федерации, рекомендуется принять следующие дополнительные меры по защите информации:

обеспечить создание резервных копий защищаемой информации, обрабатываемой в системе управления базами данных MongoDB;

запретить возможность обработки и хранения защищаемой информации в облачных сервисах MongoDB Atlas;

отключить возможность автоматического обновления программного обеспечения компании Microsoft.

Кроме того, отмечается, что участились случаи рассылки с адреса электронной почты noreply@mvd.msk.ru вредоносного вложения с наименованием файла «Федеральный Антивирус Аврора.exe».

5. В целях предотвращения заражения вредоносным программным обеспечением считаем необходимым не открывать письма с указанного электронного адреса

 В целях предотвращения реализации указанных угроз безопасности информации считаем необходимым принять следующие дополнительные меры по защите информации:

5.1. В свободно распространяемые библиотеки для разработки программного обеспечения с использованием репозитория программных модулей npm (в частности, Vue.js) встраивается вредоносный код при их загрузке/обновлении с российских IP-адресов.

В качестве компенсирующих мер при организации разработки программного обеспечения с использованием npm-модулей может быть создан собственный npmсервер, содержащий доверенные версии библиотек.

При проверке библиотек рекомендуется обращать внимание на последние внесенные изменения, в частности, участки кода, влияющие на выполнение программы
в зависимости от установленного часового пояса.

Учитывая изложенное, необходимо принять следующие дополнительные меры защиты информации по обеспечению защиты информации в информационных системах, при эксплуатации в них иностранного и открытого программного обеспечения, также модулей, плагинов, библиотек (далее – программное обеспечение):

перед установкой программного обеспечения в информационную систему рекомендуется проверять его на предмет наличия вредоносного программного обеспечения;

 перед установкой программного обеспечения в информационную систему рекомендуется проверить корректность его работы на макете или тестовом стенде (при наличии);

при проверке библиотек рекомендуется обращать внимание на последние внесенные изменения, в частности, участки кода, влияющие на выполнение программы в зависимости от установленного часового пояса, например: «country»: { «code»: «RU»,  «name»: «Russia»,  «ip»: «»

5.2. Доступ нарушителей к информационным системам осуществляется через систему удаленного доступа к рабочему столу средств вычислительной техники, в частности через незащищенный VNC-сервер.

Для поиска систем удаленного доступа нарушители используют системы поиска доступных Интернет-ресурсов shodan.io.

В целях предотвращения возможности использования систем удаленного доступа для реализации угроз безопасности информации необходимо ограничить доступ к системам удаленного доступа из сети Интернет. В случае невозможности ограничения удаленного доступа из сети Интернет, осуществлять такой доступ с использованием VPN-cетей.

5.3. Выявлены факты внедрения вредоносного программного обеспечения в свободно распространяемое программное обеспечения (например, в пакетах nodeipc, WordPress плагин Mistape, filestash и другие пакеты). Учитывая изложенное, необходимо принять следующие дополнительные меры защиты информации:

при установке обновлений открытого программного обеспечения проверить их на предмет наличия вредоносного программного обеспечения;

при проверке обновлений открытого программного обеспечения рекомендуется обращать внимание на последние внесенные изменения, в частности, участки кода, влияющие на выполнение программы в зависимости от установленного часового пояса;

рекомендуем устанавливать обновления программного обеспечения только после их тестирования на макете или тестовом стенде (при наличии).

6. В целях недопущения нарушения функционирования веб-сайтов (порталов) подведомственных Минобрнауки России организаций, а также компрометации размещаемой на них информации необходимо принять следующие дополнительные меры защиты информации:

6.1. Обеспечить размещение информационной инфраструктуры, на которой функционируют веб-сайты (порталы), на территории Российской Федерации.

6.2. Для корректной работы веб-сайтов (порталов) обеспечить использованием DNS-серверов, размещенных на территории Российской Федерации. Также убедиться в отсутствии в цепочке серверов различных публичных иностранных серверов, например, DNS forwarding 8.8.8.8.

6.3. Обеспечить применение отечественного регистратора, который управляет доменными именами веб-сайтов (порталов).

6.4. В случае использования в качестве для публичных ресурсов основных доменных зон .com, .org и т.п., необходимо рассмотреть вариант преимущественного использования доменной зоны .ru.

6.5. Провести инвентаризацию информационных ресурсов на предмет использования иностранных облачных решений. В случае наличия таких решений разработать план по переходу на отечественные облачные решения.

6.6. Провести инвентаризацию информационных ресурсов на предмет применения иностранного программного обеспечения такого, как мессенджеры, системы управления взаимоотношениями с клиентами (CRM), средства коллективной работы, офисное программное обеспечение, интегрированная среда разработки (IDE) и т.д. В случае наличия таких решений разработать план по переходу на отечественные аналоги.

6.7. Обеспечить создание локальных хранилищ дистрибутивов программного обеспечения и используемого программного обеспечения с открытым исходным кодом.

6.8. При аренде вычислительных инфраструктуры проработать вопросы организации взаимодействия в случае отказа хостинга размещать веб-сайты (портала), имеющие отношение к компаниям, находящимся под санкциями.

7. В целях защиты веб-приложений и службы доменных имен (DNS), входящих в состав информационных систем и сетей организаций, подведомственных Минобрнауки России, необходимо:

7.1. Для веб-приложений:

7.1.1. Использовать защищенные протоколы TLS v1.2 (и выше) при прохождении процедуры аутентификации пользователей в веб-приложении.

7.1.2. Запретить предоставлять в выводе сообщений об ошибках следующую информацию:

— данные о структуре файловой системы (информация о версии операционной системы, директориях с системными файлами и системным программным обеспечением, включая пути к директориям и файлам)

— фрагменты программного или конфигурационного кода;

— сообщения об ошибках при передаче запросов в СУБД;

— SQL-выражения, используемые при доступе к базе данных.

7.1.3. Выдавать пользователю страницу-заглушку с кодом НТТР-ответа веб-сервера «200» при обработке ошибок веб-сервером.

7.1.4. По возможности ограничить использование при обработке веб сервером данных в формате XML внешних сущностей (External Entity), внешних параметров сущностей (External Parameter Entity) и внешних описаний типа документа (External Doctype), а также JSON.

7.1.5. Запретить кеширование веб-форм ввода конфиденциальной информации. Выставить атрибут HTTPOnly у параметров cookie, значения которых не должны быть доступны сценариям, выполняемым браузером. У параметров cookie, содержащих чувствительную информацию, необходимо выставить атрибут secure.

7.1.6. Проводить проверку корректности вводимых пользователем данных как на стороне клиента (с использованием сценариев, исполняемых браузером), так и на стороне сервера.

7.1.7. Использовать директивы в заголовках сообщений HTTP, определяющие применяемую кодировку. Исключить использование разных кодировок для разных источников входных данных.

7.1.8. Использовать параметризованные запросы (например, хранимые процедуры) для построения SQL-запросов. В случае отсутствия такой возможности, организовать процедуру предварительной обработки получаемых от пользователя данных (путем удаления метасимволов « ` – / *», а также следующих SQL-операторов: SELECT, UNION, ALTER, UPDATE, EXEC, DROP, DELETE и INSERT).

7.1.9. Осуществлять преобразование HTML-кода входного потока данных следующим образом:

— заменить < > на &lt и &gt;

— заменить () на &#40; и &#41;

— заменить # на &#35;

— заменить & на &#38;

7.1.10. Осуществлять фильтрацию входного потока данных (например, с использованием методов Server.HTMLEncode и HttpServerUtility.HTMLEncode в ASP и ASP.NET).

7.1.11. Запретить пользователю ввод данных, в которых допустимы HTML-теги <IMG> или <TABLE>;

7.1.12. Для подсистем управления сессиями пользователей:

— организовать авторизованному пользователю веб-приложения возможность самостоятельного завершения сеанса работы в веб-приложении.

— обеспечить гарантированное удаление идентификатора соответствующей сессии по завершении сеанса работы клиента веб-приложения.

— ограничить время жизни активной сессии пользователя.

7.1.13. Для подсистем разграничения доступа:

— организовать доступ к защищенным ресурсам веб-приложения только после прохождения процедуры аутентификации;

— обеспечить хранение аутентификационных данных пользователей веб-приложения только в криптографически защищенном виде;

— исключить хранение аутентификационных данных (от веб-приложений, СУБД, ТКО, FTP и т.п.) в файлах конфигурации, доступных путем обращения к ним по URL;

— исключить хранение в HTML-страницах аутентификационных данных, а также информации, позволяющей сделать вывод о структуре каталогов веб-приложения на веб-сервере;

— в случае, если в веб-приложении предусматривается возможность внесения изменений пользователем в принадлежащий ему профиль, внесенные изменения необходимо подтверждать дополнительной процедурой аутентификации;

— запретить использование заголовка REFERER в качестве основного механизма авторизации.

7.1.14. Отказаться от использования на веб-ресурсах (в том числе вебсайтах) компонентов и контента, подгружаемых с внешних, не контролируемых организацией, ресурсов.

7.1.15. В случае невозможности отказа от использования указанных компонентов
и контента осуществлять их проверку на предмет вредоносного воздействия
на отображаемую в браузерах пользователя информацию и возможность кражи аутентификационных данных и файлов-cookie пользователей. Далее осуществлять периодическую проверку их хэш-сумм. В случае изменения хэш-сумм – блокировать использование указанных компонентов и контента на веб-ресурсе и осуществлять
их повторную проверку функциональности. В случае отсутствия потенциально вредоносного функционала – проводить дальнейшее сравнение по новой хэш-сумме.

7.2. Для службы доменных имен (DNS).

7.2.1. Обеспечить наличие у организации прав на свои доменные имена.

7.2.2. Обеспечить разнесение ролей DNS-серверов «User Primary DNS Server» и «Domain Primary DNS Server» на разные физические и/или виртуальные серверы.

7.2.3. В части «Domain Primary DNS Server»:

— запретить рекурсивные запросы разрешения доменных имён;

— запретить разрешение доменных имён объектов, не относящихся к информационным ресурсам организации;

— настроить механизмы защиты от спуфинг-атак;

— запретить уведомления и перенос зон произвольными объектами сети Интернет. Настроить список доверенных DNS-серверов;

— настроить правила предварительной фильтрации поступающих запросов (Таблица № 1).

Таблица № 1: Правила фильтрации запросов.

Описание	IP-адрес источника	Сетевой порт источника	IP-адрес назначения	Сетевой порт назначения
Входящий запрос	Любой	53/udp; 53/tcp; >1023/udp; >1023/tcp.	IP-адрес DNSсервера	53/udp; 53/tcp.
Ответ на запрос	IP-адрес DNSсервера	53/udp; 53/tcp.	Любой	53/udp; 53/tcp; >1023/udp; >1023/tcp.

7.2.4. Запретить в качестве «User Primary DNS Server» использовать DNS-серверы, расположенные за пределами Российской Федерации (например, перейти на использование НСДИ).

7.3. Кроме того, злоумышленники используют методы социальной инженерии, получают доступ к электронной почте пользователей и отправляют от их имени фишинговые электронные письма с вредоносным вложением. Одно из таких писем имеет следующие индикаторы компрометации:

«Приказ №21 от 29-03-2022.docx, md5: 23c16062cd05f15d6ddd8e843c2267c9, url: https://roskazna[.]net/acpx/t.php?t=afe6b1892cdc57c660d6ac5dd69b1fb4356 001bee7910d983619d69ddc294c3359a20345fd3a8ee67c8228a7058dc7ce&action=show_document&z=1&x=2500».

В целях недопущения нарушения функционирования информационной инфраструктуры Российской Федерации, а также компрометации размещаемой на них информации необходимо принять следующие дополнительные меры защиты информации: обновить базы антивирусных средств защиты до актуальных версий; проверить журналы DNS-серверов с целью выявления обращений к указанном почтовым серверам.

8. Согласно поступившей информации, одним из векторов проведения компьютерных атак в отношении информационной инфраструктуры Российской Федерации является внедрение вредоносного программного обеспечения. Злоумышленники используют методы социальной инженерии, отправляя жертвам фишинговые электронные письма с вредоносным вложением.

Указанные электронные письма с вредоносным вложением направляются со следующих зарегистрированных почтовых серверов: mx.roztec[.]ru, mx.nacimibio[.]ru, mail.kazkad[.]ru, mlrmailer[.]com, mail.mlrmailer[.]com, sender-gosuslugi[.]ru, mail.sender-gosuslugi[.]ru, mail.gazpromlpg.ruoe[.]ru, mail.npoem.ruoe[.]ru, email.tpprf.ruoe[.]ru, dionis.r31.rosreestr.ruoe[.]ru, mx.vertical.ruoe[.]ru, mail.muctr.ruoe[.]ru, mail.tcmu.ruoe[.]ru, mail.it-vbc.ruoe[.]ru, mail.ktrv.ruoe[.]ru, mail.hi-tech[.]ruoe.org, mail.acti.ruoe[.]ru, mail.am-tec.ruoe[.]ru, mail.sevastopolteplo.ruoe[.]ru, olymp.deloports.ruoe[.]ru, outlook.ekassir.uercus[.]com, post.sberbank-tele.uercus[.]com, mail-kras.bbr.ruoe[.]ru, email.okb-nouator[.]ru, mail.kronshadt[.]ru, mail.tscrimea.ruoe[.]ru, mail.gazpromviet.uercus[.]com, mail.volnamobile.ruoe[.]ru, mail.5-tv.ruoe[.]ru, exchange-log.rzdlog.ruoe[.]ru, mail.rossiya-airlines.uercus[.]com, mail.dynasystems.ruoe[.]ru, mail.ventocloud.ruoe[.]ru, mail.omg.transneft.ruoe[.]ru, mail.digital.gov.ruoe[.]ru, mail.tass.ruoe[.]ru, post2.interfax.ruoe[.]ru, mail.iz.ruoe[.]ru, app.aif.ruoe[.]ru, mail.tvrain.ruoe[.]ru, mail.life.ruoe[.]ru, mail.vniiem.ruoe[.]ru mail.aviaremont.ruoe[.]ru, smtp.mikron.ruoe[.]ru, mail.kmz.ruoe[.]ru, mail.vympelrybinsk.ruoe[.]ru, mail.goz.ruoe[.]ru, mail.ach.gov.ruoe[.]ru, mail.fadm.gov.ruoe[.]ru, mail.rst.gov.ruoe[.]ru, mail.minstroyrf.ruoe[.]ru, mail.minobrnauki.gov.ruoe[.]ru, postman.rosleshoz.ruoe[.]ru, mail.21.mchs.gov.ruoe[.]ru, email.mkrf.ruoe[.]ru, mail.knaaz[.]ruoe.org, mail.nicevt.ruoe[.]ru, mail.gardatech.ruoe[.]ru, mail.dtln.ruoe[.]ru, webmail.planar-elements.ruoe[.]ru, mx13.m13.ruoe[.]ru, mail.informseti.ruoe[.]ru, mail.cloud.mts.ruoe[.]ru, exchange.avito.ruoe[.]ru.

В целях недопущения нарушения функционирования информационной инфраструктуры Российской Федерации, а также компрометации размещаемой на них информации необходимо принять следующие дополнительные меры защиты информации: обновить базы антивирусных средств защиты до актуальных версий; проверить журналы DNS-серверов с целью выявления обращений к указанном почтовым серверам.