Перечень мер по повышению защищенности ИТ инфраструктуры организации от Минобрнауки
Перечень мер по повышению защищенности информационной инфраструктуры организаций, подведомственных Минобрнауки России
- С целью предотвращения реализации угроз безопасности информации, связанных с эксплуатацией уязвимостей, просим обратить внимание на необходимость устранения следующих уязвимостей:
1.1. Уязвимость программных продуктов Mozilla (BDU:2022-01146, уровень опасности по CVSS 2.0 — высокий, по CVSS 3.0 — высокий), связанная с обращением к уже освобождённой области памяти (Use-after-free) в коде для обработки параметра XSLT, может позволить нарушителю, действующему удаленно, выполнить произвольный код.
В целях предотвращения возможности эксплуатации указанной уязвимости необходимо: обеспечить доступ только к доверенным Интернет-ресурсам; осуществить настройку средств межсетевого экранирования прикладного уровня, позволяющую блокировать специально сформированные сетевые пакеты; осуществлять запуск браузера от имени пользователя с минимальными привилегиями.
1.2. Уязвимость программных продуктов Mozilla (BDU:2022-01147, уровень опасности по CVSS 2.0 — высокий, по CVSS 3.0 — высокий), связанная с обращением к уже освобожденной памяти в IPC фреймворке WebGPU может позволить нарушителю, действующему удалено, выйти из изолированной программной среды. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо: обеспечить доступ только к доверенным Интернет-ресурсам; осуществить настройку средств межсетевого экранирования прикладного уровня, позволяющую блокировать специально сформированные сетевые пакеты; осуществлять запуск браузера от имени пользователя с минимальными привилегиями.
1.3. Уязвимость API кластерной базы данных устройств Cisco Expressway Series и Cisco Telepresence VCS (BDU:2022-01148, уровень опасности по CVSS 2.0 — высокий, по CVSS 3.0 — высокий), связанная с недостаточной проверкой введенных пользователем командных аргументов, может позволить нарушителю, действующему удалено, перезаписать произвольные файлы на базовой операционной системе в качестве root-пользователя. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо: ограничить доступ к API: организовать доступ к веб-интерфейсу только из определенного сегмента сети (сегментирование сети); осуществить настройку средств межсетевого экранирования прикладного уровня, позволяющую блокировать специально сформированные сетевые пакеты; использовать системы обнаружения и предотвращения вторжений.
1.4. Уязвимость веб-интерфейса управления устройствами Cisco Expressway Series и Cisco Telepresence VCS (BDU:2022-01149, уровень опасности по CVSS 2.0 — высокий, по CVSS 3.0 — высокий), связанная с недостаточной проверкой введенных пользователем командных аргументов, может позволить нарушителю, действующему удаленно, выполнить произвольный код в качестве root-пользователя. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо: ограничить доступ к API: организовать доступ к веб-интерфейсу только из определенного сегмента сети (сегментирование сети); осуществить настройку средств межсетевого экранирования прикладного уровня, позволяющую блокировать специально сформированные сетевые пакеты; использовать системы обнаружения и предотвращения вторжений.
1.5. Уязвимость ядра операционной системы Linux (версии от 5.8 до 5.16.11, от 5.8 до 5.15.25 и от 5.8 до 5.10.102) (BDU:2022-01166, уровень опасности по CVSS 2.0 — средний, по CVSS 3.0 — высокий), позволяющая авторизованному нарушителю (непривилегированному пользователю) выполнить произвольный код с привилегиями root. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо:
— отключить неиспользуемые учетные записи, а также учетные записи недоверенных пользователей;
— обеспечить принудительную смену паролей пользователей;
— ограничить удаленный доступ к операционной системе (SSH и другие протоколы);
— ограничить доступ к командной строке для недоверенных пользователей;
— использовать антивирусные средства защиты;
— осуществлять мониторинг действий пользователей;
— использовать системы управления доступом (таких, как SELinux, AppArmor и другие системы управления доступа).
В целях предотвращения возможности эксплуатации указанной уязвимости в операционных системах Android необходимо:
— устанавливать приложений только из доверенных источников;
— использовать антивирусные средства защиты.
1.6. Уязвимости микропрограммного обеспечения BIOS ноутбуков DELL (BDU:2022-01431, BDU:2022-01432, BDU:2022-01433, BDU:2022-01434, BDU:2022- 01435, уровень опасности по CVSS 2.0 — средний, по CVSS 3.0 — высокий) — связаны с выходом операции за границы буфера в памяти и могут быть реализованы локально внутренними нарушителями. Эксплуатация указанных уязвимостей может позволить нарушителю выполнить произвольный код. В случае наличия в информационной инфраструктуре ноутбуков DELL необходимо принять следующие дополнительные меры защиты информации: ограничить доступ к уязвимым устройствам, в том числе, с применением средств доверенной загрузки; отключить неиспользуемые учетные записи пользователей, в том числе администраторов информационных систем, а также учетные записи недоверенных пользователей; обеспечить принудительную смену паролей пользователей; осуществлять мониторинг действий пользователей; использовать антивирусные средства защиты информации.
1.7. Уязвимость механизма маршрутизации модуля Spring для продвижения бизнес-логики с помощью функций Spring Cloud Function (BDU:2022-01628, уровень опасности
по CVSS 2.0 — средний, по CVSS 3.0 — средний), связанная с недостатками процедуры нейтрализации особых элементов в выходных данных, используемых входящим компонентом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к локальным ресурсам или вызвать отказ в обслуживании с помощью специально созданного SpEL-выражения. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо использовать средства межсетевого экранирования прикладного уровня в режиме блокировки для фильтрации HTTP-запросов.
1.8. Уязвимость программной платформы Spring Framework (BDU:2022-01627, уровень опасности по CVSS 2.0 — средний, по CVSS 3.0 — средний), связанная с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании с помощью специально созданного SpEL-выражения. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо использовать средства межсетевого экранирования прикладного уровня в режиме блокировки для фильтрации HTTP-запросов.
1.9. Уязвимость «нулевого дня» модуля Spring Core программной платформы Spring Framework (BDU:2022-01631, уровень опасности по CVSS 2.0 — критический, по CVSS 3.0 — высокий), связанная с применением входных данных с внешним управлением для выбора классов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо: осуществить настройку средств межсетевого экранирования прикладного уровня, позволяющую фильтровать строки, содержащие значения: «class.», «Class.», «.class.», и «.Class.»; модифицировать контроллер Spring Framework в части аннотации @InitBinder путем дополнения вызова метода dataBinder.setDisallowedFields строками: «class.», «Class.», «.class.», и «.Class.»; добавить в проект глобального класса, обеспечивающего вызов метода dataBinder.setDisallowedFields для добавления в «черный список» строк: «class.», «Class.», «.class.», и «.Class.»; использовать JDK версии 8 или более ранние версии.
1.10. Уязвимость компонента tc_new_tfilter ядра Linux (BDU:2022-01644, уровень опасности по CVSS 2.0 — средний, по CVSS 3.0 — средний), связанная с возможностью использования памяти после освобождения. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии. В целях предотвращения возможности эксплуатации указанной уязвимости необходимо: отключить неиспользуемые учетные записи, а также учетные записи недоверенных пользователей; обеспечить принудительную смену паролей пользователей; ограничить удаленный доступ к операционной системе (SSH и другие протоколы); ограничить доступ к командной строке для недоверенных пользователей; использовать антивирусные средства защиты информации; осуществлять мониторинг действий пользователей; использовать системы управления доступом (SELinux, AppArmor и другие системы).
- С целью предотвращения реализации угроз безопасности информации, связанных с фишингом, необходимо принять следующие дополнительные меры защиты информации:
2.1. Организовать единый почтовый ящик электронной почты внутри ведомства (организации), на который работники направляют подозрительные электронные письма.
2.2. Проинформировать работников ведомства (организации) о необходимости:
направления всех подозрительных электронных писем на почтовый ящик электронной почты, указанный в пункте 2.1 настоящих рекомендаций;
внимательно проверять адрес отправителя, даже в случае совпадения имени с уже известным контактом;
не открывать письма от неизвестных адресатов;
проверять письма, в которых содержатся призывы к действиям (например, «открой», «прочитай», «ознакомься»), а также с темами про финансы, банки, геополитическую обстановку или угрозы;
не переходить по ссылкам, которые содержаться в электронных письмах, особенно если они длинные или наоборот, используют сервисы сокращения ссылок (bit.ly, tinyurl.com и т.д.);
не нажимать на ссылки из письма, если они заменены на слова, не наводить на них мышкой и просматривать полный адрес сайтов;
проверять ссылки, даже если письмо получено от другого пользователя информационной системы;
не открывать вложения, особенно если в них содержаться документы с макросами, архивы с паролями, а также файлы с расширениями RTF, LNK, CHM, VHD;
внимательно относится к письмам на иностранном языке, с большим количеством получателей и орфографическими ошибками.
2.3. Настроить в средствах антивирусной защиты, антиспама (при наличии) проверку всех поступающих на почту вложений
2.4. Активировать (при возможности) механизмы проверки электронной почты, проверки подлинности домена-отправителя (например, использовать технологии DKIM, DMARC, SPF), а также настроить проверку входящих писем с использованием этих технологий.
2.5. Заблокировать (при возможности) получение пользователя информационной системы в электронных письмах вложений с расширениями ADE, ADP, .APK, APPX, APPXBUNDLE, BAT, CAB, CHM, CMD, COM, CPL, DLL, DMG, EX, EX_, EXE, HTA, INS, ISP, ISO, JAR, JS, JSE, LIB, LNK, MDE, MSC, MSI, MSIX, MSIXBUNDLE, MSP, MST, NSH, PIF, PS1, SCR, SCT, SHB, SYS, VB, VBE, VBS, VHD, VXD, WSC, WSF, WSH.
2.6. Заблокировать доставку писем от доменов-отправителей, страной происхождения которых являются США и страны Европейского союза
- С целью предотвращения реализации угроз безопасности информации, связанных с утечкой защищаемой информации, необходимо принять следующие дополнительные меры защиты информации:
3.1. Запретить возможность размещения защищаемой информации в облачных сервисах, а также ее передачу через мессенджеры, Google Docs и другие сервисы.
3.2. Обеспечить контроль содержимого файлов, передаваемых посредством электронной почты, с применением систем предотвращения утечки информации (DLP-систем).
3.3. Провести аудит подключаемых к автоматизированным рабочим местам съемных машинных носителей информации и анализ записываемой на них информации (например, реализовать технологию «теневого копирования»).
3.4. Обеспечить отслеживание геолокации пользователей, осуществляющих удаленное подключение к информационной инфраструктуре.
3.5. Обеспечить мониторинг информационных ресурсов, расположенных в сети «Интернет», на предмет выявления утечек защищаемой информации ведомства (организации), и оперативное принятие мер по предотвращению ущерба от такой утечки.
В случае выявления фактов утечки защищаемой информации в ведомстве (организации) необходимо выполнить следующие первоочередные мероприятия:
сменить учетные данные пользователей и администраторов информационных систем и реализовать двухфакторную аутентификацию (при возможности);
при утечке конфигурационной информации обеспечить мониторинг запросов на доступ к информационной инфраструктуре и оперативное реагирование на попытки несанкционированного доступа к ней.
- По результатам мониторинга угроз безопасности информации в сети «Интернет», зарубежными хакерскими группировками осуществляется подготовка к проведению компьютерных атак на информационную инфраструктуру Российской Федерации, направленных на получение конфиденциальной информации, а также на нарушение функционирования и вывод из строя информационной инфраструктуры Российской Федерации.
Предполагается, что проведение компьютерных атак планируется осуществлять через внедрение в обновления иностранного программного обеспечения вредоносного программного обеспечения.
При этом распространение обновлений с вредоносными вложениями может осуществляться через центры обновлений (официальные сайты) разработчиков иностранного программного обеспечения, размещаемые в сети «Интернет».
Указанные компьютерные атаки, а также угрозы безопасности информации планируется осуществлять через программное обеспечение компании Microsoft, MongoDB, а также «фишинговые» электронные письма, содержащие вредоносные вложения.
В целях предотвращения реализации угроз безопасности информации, направленных на утрату доступа к информации, содержащейся в государственных информационных системах, а также на объектах критической информационный инфраструктуры Российской Федерации, рекомендуется принять следующие дополнительные меры по защите информации:
обеспечить создание резервных копий защищаемой информации, обрабатываемой в системе управления базами данных MongoDB;
запретить возможность обработки и хранения защищаемой информации в облачных сервисах MongoDB Atlas;
отключить возможность автоматического обновления программного обеспечения компании Microsoft.
Кроме того, отмечается, что участились случаи рассылки с адреса электронной почты noreply@mvd.msk.ru вредоносного вложения с наименованием файла «Федеральный Антивирус Аврора.exe».
- В целях предотвращения заражения вредоносным программным обеспечением считаем необходимым не открывать письма с указанного электронного адреса
В целях предотвращения реализации указанных угроз безопасности информации считаем необходимым принять следующие дополнительные меры по защите информации:
5.1. В свободно распространяемые библиотеки для разработки программного обеспечения с использованием репозитория программных модулей npm (в частности, Vue.js) встраивается вредоносный код при их загрузке/обновлении с российских IP-адресов.
В качестве компенсирующих мер при организации разработки программного обеспечения с использованием npm-модулей может быть создан собственный npmсервер, содержащий доверенные версии библиотек.
При проверке библиотек рекомендуется обращать внимание на последние внесенные изменения, в частности, участки кода, влияющие на выполнение программы
в зависимости от установленного часового пояса.
Учитывая изложенное, необходимо принять следующие дополнительные меры защиты информации по обеспечению защиты информации в информационных системах, при эксплуатации в них иностранного и открытого программного обеспечения, также модулей, плагинов, библиотек (далее – программное обеспечение):
перед установкой программного обеспечения в информационную систему рекомендуется проверять его на предмет наличия вредоносного программного обеспечения;
перед установкой программного обеспечения в информационную систему рекомендуется проверить корректность его работы на макете или тестовом стенде (при наличии);
при проверке библиотек рекомендуется обращать внимание на последние внесенные изменения, в частности, участки кода, влияющие на выполнение программы в зависимости от установленного часового пояса, например: «country»: { «code»: «RU», «name»: «Russia», «ip»: «»
5.2. Доступ нарушителей к информационным системам осуществляется через систему удаленного доступа к рабочему столу средств вычислительной техники, в частности через незащищенный VNC-сервер.
Для поиска систем удаленного доступа нарушители используют системы поиска доступных Интернет-ресурсов shodan.io.
В целях предотвращения возможности использования систем удаленного доступа для реализации угроз безопасности информации необходимо ограничить доступ к системам удаленного доступа из сети Интернет. В случае невозможности ограничения удаленного доступа из сети Интернет, осуществлять такой доступ с использованием VPN-cетей.
5.3. Выявлены факты внедрения вредоносного программного обеспечения в свободно распространяемое программное обеспечения (например, в пакетах nodeipc, WordPress плагин Mistape, filestash и другие пакеты). Учитывая изложенное, необходимо принять следующие дополнительные меры защиты информации:
при установке обновлений открытого программного обеспечения проверить их на предмет наличия вредоносного программного обеспечения;
при проверке обновлений открытого программного обеспечения рекомендуется обращать внимание на последние внесенные изменения, в частности, участки кода, влияющие на выполнение программы в зависимости от установленного часового пояса;
рекомендуем устанавливать обновления программного обеспечения только после их тестирования на макете или тестовом стенде (при наличии).
- В целях недопущения нарушения функционирования веб-сайтов (порталов) подведомственных Минобрнауки России организаций, а также компрометации размещаемой на них информации необходимо принять следующие дополнительные меры защиты информации:
6.1. Обеспечить размещение информационной инфраструктуры, на которой функционируют веб-сайты (порталы), на территории Российской Федерации.
6.2. Для корректной работы веб-сайтов (порталов) обеспечить использованием DNS-серверов, размещенных на территории Российской Федерации. Также убедиться в отсутствии в цепочке серверов различных публичных иностранных серверов, например, DNS forwarding 8.8.8.8.
6.3. Обеспечить применение отечественного регистратора, который управляет доменными именами веб-сайтов (порталов).
6.4. В случае использования в качестве для публичных ресурсов основных доменных зон .com, .org и т.п., необходимо рассмотреть вариант преимущественного использования доменной зоны .ru.
6.5. Провести инвентаризацию информационных ресурсов на предмет использования иностранных облачных решений. В случае наличия таких решений разработать план по переходу на отечественные облачные решения.
6.6. Провести инвентаризацию информационных ресурсов на предмет применения иностранного программного обеспечения такого, как мессенджеры, системы управления взаимоотношениями с клиентами (CRM), средства коллективной работы, офисное программное обеспечение, интегрированная среда разработки (IDE) и т.д. В случае наличия таких решений разработать план по переходу на отечественные аналоги.
6.7. Обеспечить создание локальных хранилищ дистрибутивов программного обеспечения и используемого программного обеспечения с открытым исходным кодом.
6.8. При аренде вычислительных инфраструктуры проработать вопросы организации взаимодействия в случае отказа хостинга размещать веб-сайты (портала), имеющие отношение к компаниям, находящимся под санкциями.
- В целях защиты веб-приложений и службы доменных имен (DNS), входящих в состав информационных систем и сетей организаций, подведомственных Минобрнауки России, необходимо:
7.1. Для веб-приложений:
7.1.1. Использовать защищенные протоколы TLS v1.2 (и выше) при прохождении процедуры аутентификации пользователей в веб-приложении.
7.1.2. Запретить предоставлять в выводе сообщений об ошибках следующую информацию:
— данные о структуре файловой системы (информация о версии операционной системы, директориях с системными файлами и системным программным обеспечением, включая пути к директориям и файлам)
— фрагменты программного или конфигурационного кода;
— сообщения об ошибках при передаче запросов в СУБД;
— SQL-выражения, используемые при доступе к базе данных.
7.1.3. Выдавать пользователю страницу-заглушку с кодом НТТР-ответа веб-сервера «200» при обработке ошибок веб-сервером.
7.1.4. По возможности ограничить использование при обработке веб сервером данных в формате XML внешних сущностей (External Entity), внешних параметров сущностей (External Parameter Entity) и внешних описаний типа документа (External Doctype), а также JSON.
7.1.5. Запретить кеширование веб-форм ввода конфиденциальной информации. Выставить атрибут HTTPOnly у параметров cookie, значения которых не должны быть доступны сценариям, выполняемым браузером. У параметров cookie, содержащих чувствительную информацию, необходимо выставить атрибут secure.
7.1.6. Проводить проверку корректности вводимых пользователем данных как на стороне клиента (с использованием сценариев, исполняемых браузером), так и на стороне сервера.
7.1.7. Использовать директивы в заголовках сообщений HTTP, определяющие применяемую кодировку. Исключить использование разных кодировок для разных источников входных данных.
7.1.8. Использовать параметризованные запросы (например, хранимые процедуры) для построения SQL-запросов. В случае отсутствия такой возможности, организовать процедуру предварительной обработки получаемых от пользователя данных (путем удаления метасимволов « ` – / *», а также следующих SQL-операторов: SELECT, UNION, ALTER, UPDATE, EXEC, DROP, DELETE и INSERT).
7.1.9. Осуществлять преобразование HTML-кода входного потока данных следующим образом:
— заменить < > на < и >
— заменить () на ( и )
— заменить # на #
— заменить & на &
7.1.10. Осуществлять фильтрацию входного потока данных (например, с использованием методов Server.HTMLEncode и HttpServerUtility.HTMLEncode в ASP и ASP.NET).
7.1.11. Запретить пользователю ввод данных, в которых допустимы HTML-теги <IMG> или <TABLE>;
7.1.12. Для подсистем управления сессиями пользователей:
— организовать авторизованному пользователю веб-приложения возможность самостоятельного завершения сеанса работы в веб-приложении.
— обеспечить гарантированное удаление идентификатора соответствующей сессии по завершении сеанса работы клиента веб-приложения.
— ограничить время жизни активной сессии пользователя.
7.1.13. Для подсистем разграничения доступа:
— организовать доступ к защищенным ресурсам веб-приложения только после прохождения процедуры аутентификации;
— обеспечить хранение аутентификационных данных пользователей веб-приложения только в криптографически защищенном виде;
— исключить хранение аутентификационных данных (от веб-приложений, СУБД, ТКО, FTP и т.п.) в файлах конфигурации, доступных путем обращения к ним по URL;
— исключить хранение в HTML-страницах аутентификационных данных, а также информации, позволяющей сделать вывод о структуре каталогов веб-приложения на веб-сервере;
— в случае, если в веб-приложении предусматривается возможность внесения изменений пользователем в принадлежащий ему профиль, внесенные изменения необходимо подтверждать дополнительной процедурой аутентификации;
— запретить использование заголовка REFERER в качестве основного механизма авторизации.
7.1.14. Отказаться от использования на веб-ресурсах (в том числе вебсайтах) компонентов и контента, подгружаемых с внешних, не контролируемых организацией, ресурсов.
7.1.15. В случае невозможности отказа от использования указанных компонентов
и контента осуществлять их проверку на предмет вредоносного воздействия
на отображаемую в браузерах пользователя информацию и возможность кражи аутентификационных данных и файлов-cookie пользователей. Далее осуществлять периодическую проверку их хэш-сумм. В случае изменения хэш-сумм – блокировать использование указанных компонентов и контента на веб-ресурсе и осуществлять
их повторную проверку функциональности. В случае отсутствия потенциально вредоносного функционала – проводить дальнейшее сравнение по новой хэш-сумме.
7.2. Для службы доменных имен (DNS).
7.2.1. Обеспечить наличие у организации прав на свои доменные имена.
7.2.2. Обеспечить разнесение ролей DNS-серверов «User Primary DNS Server» и «Domain Primary DNS Server» на разные физические и/или виртуальные серверы.
7.2.3. В части «Domain Primary DNS Server»:
— запретить рекурсивные запросы разрешения доменных имён;
— запретить разрешение доменных имён объектов, не относящихся к информационным ресурсам организации;
— настроить механизмы защиты от спуфинг-атак;
— запретить уведомления и перенос зон произвольными объектами сети Интернет. Настроить список доверенных DNS-серверов;
— настроить правила предварительной фильтрации поступающих запросов (Таблица № 1).
Таблица № 1: Правила фильтрации запросов.
Описание | IP-адрес источника | Сетевой порт источника | IP-адрес назначения | Сетевой порт назначения |
Входящий запрос | Любой | 53/udp; 53/tcp; >1023/udp; >1023/tcp. | IP-адрес DNSсервера | 53/udp; 53/tcp. |
Ответ на запрос | IP-адрес DNSсервера | 53/udp; 53/tcp. | Любой | 53/udp; 53/tcp; >1023/udp; >1023/tcp. |
7.2.4. Запретить в качестве «User Primary DNS Server» использовать DNS-серверы, расположенные за пределами Российской Федерации (например, перейти на использование НСДИ).
7.3. Кроме того, злоумышленники используют методы социальной инженерии, получают доступ к электронной почте пользователей и отправляют от их имени фишинговые электронные письма с вредоносным вложением. Одно из таких писем имеет следующие индикаторы компрометации:
«Приказ №21 от 29-03-2022.docx, md5: 23c16062cd05f15d6ddd8e843c2267c9, url: https://roskazna[.]net/acpx/t.php?t=afe6b1892cdc57c660d6ac5dd69b1fb4356 001bee7910d983619d69ddc294c3359a20345fd3a8ee67c8228a7058dc7ce&action=show_document&z=1&x=2500».
В целях недопущения нарушения функционирования информационной инфраструктуры Российской Федерации, а также компрометации размещаемой на них информации необходимо принять следующие дополнительные меры защиты информации: обновить базы антивирусных средств защиты до актуальных версий; проверить журналы DNS-серверов с целью выявления обращений к указанном почтовым серверам.
- Согласно поступившей информации, одним из векторов проведения компьютерных атак в отношении информационной инфраструктуры Российской Федерации является внедрение вредоносного программного обеспечения. Злоумышленники используют методы социальной инженерии, отправляя жертвам фишинговые электронные письма с вредоносным вложением.
Указанные электронные письма с вредоносным вложением направляются со следующих зарегистрированных почтовых серверов: mx.roztec[.]ru, mx.nacimibio[.]ru, mail.kazkad[.]ru, mlrmailer[.]com, mail.mlrmailer[.]com, sender-gosuslugi[.]ru, mail.sender-gosuslugi[.]ru, mail.gazpromlpg.ruoe[.]ru, mail.npoem.ruoe[.]ru, email.tpprf.ruoe[.]ru, dionis.r31.rosreestr.ruoe[.]ru, mx.vertical.ruoe[.]ru, mail.muctr.ruoe[.]ru, mail.tcmu.ruoe[.]ru, mail.it-vbc.ruoe[.]ru, mail.ktrv.ruoe[.]ru, mail.hi-tech[.]ruoe.org, mail.acti.ruoe[.]ru, mail.am-tec.ruoe[.]ru, mail.sevastopolteplo.ruoe[.]ru, olymp.deloports.ruoe[.]ru, outlook.ekassir.uercus[.]com, post.sberbank-tele.uercus[.]com, mail-kras.bbr.ruoe[.]ru, email.okb-nouator[.]ru, mail.kronshadt[.]ru, mail.tscrimea.ruoe[.]ru, mail.gazpromviet.uercus[.]com, mail.volnamobile.ruoe[.]ru, mail.5-tv.ruoe[.]ru, exchange-log.rzdlog.ruoe[.]ru, mail.rossiya-airlines.uercus[.]com, mail.dynasystems.ruoe[.]ru, mail.ventocloud.ruoe[.]ru, mail.omg.transneft.ruoe[.]ru, mail.digital.gov.ruoe[.]ru, mail.tass.ruoe[.]ru, post2.interfax.ruoe[.]ru, mail.iz.ruoe[.]ru, app.aif.ruoe[.]ru, mail.tvrain.ruoe[.]ru, mail.life.ruoe[.]ru, mail.vniiem.ruoe[.]ru mail.aviaremont.ruoe[.]ru, smtp.mikron.ruoe[.]ru, mail.kmz.ruoe[.]ru, mail.vympelrybinsk.ruoe[.]ru, mail.goz.ruoe[.]ru, mail.ach.gov.ruoe[.]ru, mail.fadm.gov.ruoe[.]ru, mail.rst.gov.ruoe[.]ru, mail.minstroyrf.ruoe[.]ru, mail.minobrnauki.gov.ruoe[.]ru, postman.rosleshoz.ruoe[.]ru, mail.21.mchs.gov.ruoe[.]ru, email.mkrf.ruoe[.]ru, mail.knaaz[.]ruoe.org, mail.nicevt.ruoe[.]ru, mail.gardatech.ruoe[.]ru, mail.dtln.ruoe[.]ru, webmail.planar-elements.ruoe[.]ru, mx13.m13.ruoe[.]ru, mail.informseti.ruoe[.]ru, mail.cloud.mts.ruoe[.]ru, exchange.avito.ruoe[.]ru.
В целях недопущения нарушения функционирования информационной инфраструктуры Российской Федерации, а также компрометации размещаемой на них информации необходимо принять следующие дополнительные меры защиты информации: обновить базы антивирусных средств защиты до актуальных версий; проверить журналы DNS-серверов с целью выявления обращений к указанном почтовым серверам.