Bezbedan Balkan
Portal

Welcome, Guest
You have to register before you can post on our site.

Username/Email:
  

Password
  

Search Forums

(Advanced Search)

Forum Statistics
» Members: 154
» Latest member: mushy
» Forum threads: 1,853
» Forum posts: 4,806

Full Statistics

Latest Threads
Ranjivost u okviru portal...
Forum: Neadekvatno zaštićeni resursi
Last Post: seraphim
Yesterday, 03:09 PM
» Replies: 6
» Views: 594
Digitalni jaz: Kako razum...
Forum: Odgovor na incidente i svest o bezbednosti
Last Post: milos_rs
04-04-2025, 12:19 PM
» Replies: 0
» Views: 79
Kompromitovan mejl opštin...
Forum: Kompromitovani resursi
Last Post: VincaSec
04-03-2025, 08:57 PM
» Replies: 4
» Views: 856
opet kompromitovan mail.m...
Forum: Kompromitovani resursi
Last Post: VincaSec
04-03-2025, 08:24 PM
» Replies: 1
» Views: 208
Edukativna web igrica - L...
Forum: Odgovor na incidente i svest o bezbednosti
Last Post: milos_rs
04-03-2025, 02:16 PM
» Replies: 0
» Views: 79
aikbank.rs - novi sajt ba...
Forum: Neadekvatno zaštićeni resursi
Last Post: milos_rs
04-03-2025, 08:37 AM
» Replies: 0
» Views: 121
Sveopšte phishing/SPAM ka...
Forum: Phishing / Scam / Spam kampanje
Last Post: milos_rs
04-02-2025, 08:35 AM
» Replies: 2
» Views: 365
Novinari i aktivisti, kak...
Forum: Odgovor na incidente i svest o bezbednosti
Last Post: milos_rs
04-02-2025, 08:23 AM
» Replies: 0
» Views: 108
Netflix prevara
Forum: Phishing / Scam / Spam kampanje
Last Post: milos_rs
04-02-2025, 08:19 AM
» Replies: 19
» Views: 16,619
Incident u HR - email pos...
Forum: Kompromitovani resursi
Last Post: milos_rs
04-02-2025, 08:16 AM
» Replies: 1
» Views: 1,202

 
  nijeok.ba - Cyber Nasilje Nije OK!
Posted by: milos_rs - 03-12-2025, 12:29 PM - Forum: Odgovor na incidente i svest o bezbednosti - No Replies

https://nijeok.ba/

Quote:Portal je posvećen svim osobama, a posebno djevojčicama od 13 do 17 godina koje u toj dobi kreiraju svoj internet identitet. Kreiran je sa ciljem prevencije različitih oblika cyber nasilja, zaštite osoba i minimiziranje štete.
Print this item

  navodno procureli fajlovi ministarstva rudarstva i energetike
Posted by: milos_rs - 03-11-2025, 10:32 PM - Forum: Kompromitovani resursi - No Replies

"Hakerska" grupa Fedayeen Team je ovih dana dosta zauzeta otkrivanjem otvorenih direktorijuma po našim državnim sajtovima, i veoma su uspešni u tome jer takvih propusta očigledno ima pregršt. Ali bombastična saopštenja hakovanja i curenja tajnih podataka nisu na mestu, jer se do sada radilo o javnim podacima.

Mada ovako upakovano na jednom mestu može biti korisno nekome ko istražuje državne podatke, ovako ne mora da ide kroz zahtev za pristup informacijama od javnog značaja...

Ovaj put tvrde da su kompromitovali Ministarstvo Rudarstva i Energetike a jedino što su uradili je da su našli otvoren direktorijum...

njihova objava i prevod:


.png   mre4.png (Size: 189.75 KB / Downloads: 96)


.png   mre3.png (Size: 64.52 KB / Downloads: 95)

otvoreni direktorijum, tj. ceo poddomen odakle su izvukli podatke... ovde se nalazi katastar malih hidroelektrana, ukupno 860 TIF dokumenata. Takođe se nalaze rešenja o sticanju statusa povlašćenog proizvođača električne energije, ukupno 757 PDF dokumenata


.png   mre2.png (Size: 42.32 KB / Downloads: 97)


.png   mre1.png (Size: 423.38 KB / Downloads: 95)

Print this item

  informer.rs - sporo učitavanje usled DDoSa?
Posted by: milos_rs - 03-11-2025, 08:01 PM - Forum: DoS / DDoS - Replies (2)

Danas se sporo učitavao informer .rs, nije da je neka šteta ali vredi dokumentovati

oko 14h primećeno

koliko sam primetio problem nije bio u samom sajtu informera nego u cdn.maksnet .tv sa kojeg otvara neki sadržaj, taj "CDN" je bio nedostupan dobar deo dana i time usporavao učitavanje informer sajta

cdn.maksnet.tv has address 185.47.209.25
cdn.maksnet.tv has address 185.47.209.27

informer.rs has address 212.200.255.253
informer.rs has address 212.200.255.252

Print this item

  Kompromitovan mejl opštine Bogatić - iskorišćen za slanje malvera sa gov.rs mejla
Posted by: milos_rs - 03-11-2025, 01:10 PM - Forum: Kompromitovani resursi - Replies (4)

mejl se predstavlja kao da je sa portala javnih nabavki i šalje zahtev za ponudu:


.png   mejl.png (Size: 94.54 KB / Downloads: 257)

hederi koji dokazuju da je poslat sa državnih mejl servera:


.png   mha.png (Size: 182.07 KB / Downloads: 327)

Attachment je u ISO9660 formatu tj. ISO/IMG format slike diska.

Kada se ekstraktuje fajl dobije se Слика_Захтев_за_понуду.img.exe

Ovaj fajl ima dosta detekcija od strane antivirusnih aplikacija: https://www.virustotal.com/gui/file/cf64...ee340b89ba


Sledi mala površna analiza šta radi malware zasnovan na besplatnoj any.run malver analizi i drugim čarolijama, nije detaljno ni dubinsko niti mogu biti siguran da je sve tačno, jednostavno trenutno nemam vremena da se udubim u analizu...
  • Pokretanjem EXE fajla pokreće se prvi faza koju je any.run identifikovao kao PureCrypter loader https://any.run/malware-trends/purecrypter
  • Skida se druga faza sa (verovatno kompromitovanog sajta) sa linka rhzk .hr/Gowfaxpwc.pdf u obliku PDFa koji moguće da nije ni PDF, nisam uspeo da ga skinem.


.png   malver.png (Size: 180.1 KB / Downloads: 329)


.png   network.png (Size: 15.16 KB / Downloads: 325)

Ko želi da se udubi evo link na any.run https://app.any.run/tasks/97f71b5c-bddb-...485607171f

IOC sa any.run:

Code:
Main object - Слика_Захтев_за_понуду.img.exe
sha256 Слика_Захтев_за_понуду.img.exe d9d4460669044287070f81fa6a49d46d0a5d9e9763676a26f92577cf8386e66a
Dropped file
sha256 C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\e710a2e9-fbd7-4032-b71d-c63471dc174d.tmp cdb4ee2aea69cc6a83331bbe96dc2caa9a299d21329efb0336fc02a82e1839a8
sha256 C:\Users\admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive 6a4d86c3572e71b0e17e21991620a07cd974f6df2b9aa25587c5abfa47e68fe8
sha256 C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\js\aa5059df68d15c86_0 28e10fa53ca4a54b69a8f9e699c49cd0124bf0529e420cddd958a127f3d3e88c
sha256 C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\js\5c29b79d8ce353b6_0 dcdb5d90512d812fc5c3fe61d7cd2f79b0d6bdd981d76c940ddbf3fcc006f0f4
sha256 C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\f_000263 a05cc6be8342836eb500a5f0b95a0d572c494c3b8a01e708d904cab4005777b5
sha256 C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\js\063e6f532caa3c31_0 47748899b6c7626c7a5fbc421d2250a8ed8151eb01b73c53236b83802b444af6
sha256 C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Last Browser 9c70f766d3b84fc2bb298efa37cc9191f28bec336329cc11468cfadbc3b137f4
sha256 C:\Users\admin\AppData\Local\Temp\chrome_Unpacker_BeginUnzipping7448_2002878252\offscreendocument_main.js 3a78b6fbc16f9fb27ce3ed650abc31174263d762b71c028cc5d8f5427cbab082
sha256 C:\Users\admin\AppData\Local\Temp\chrome_Unpacker_BeginUnzipping7448_2002878252\page_embed_script.js 13e1562cd07fc06d692fdf1aa471e3ceae3cf7c1e42c5345d430a947139a24d5
sha256 C:\Users\admin\AppData\Local\Temp\chrome_Unpacker_BeginUnzipping7448_2002878252\service_worker_bin_prod.js dfad2626b0eab3ed2f1dd73fe0af014f60f29a91b50315995681ceaaee5c9ea6
sha256 C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\js\index-dir\the-real-index 82d2e18cadbe2011b182e1fe517fdf037a33085346ced8ce71164c2d8ae849a6
DNS requests
domain rhzk.hr
Connections
ip 178.218.165.121
ip 196.251.92.20




Kancelarija za Javne Nabavke je izgleda upoznata sa ovim jer su izdali šturo obaveštenje koje ne ukazuje na ozbiljnost situacije da imaš državne mejl adrese koje šalju opasan malver kontaktima unutar i izvan državne administracije :

obaveštenje je na https://www.ujn.gov.rs/?p=8795

arhivirano https://archive.is/FrsH0


.png   ujn.png (Size: 813.11 KB / Downloads: 329)

Print this item

  Navodno kompromitovano Ministarstvo Kulture i izvučeno 4TB podataka
Posted by: milos_rs - 03-10-2025, 05:10 PM - Forum: Kompromitovani resursi - No Replies

Hakerska grupa Fedayeen Team je do sada objavila javno dostupnu dokumentaciju tako što su izvukli podatke sa otvorenih direktorijuma sa dva sajta:

Navodno procureli fajlovi o infrastrukturi Srbije - toplovodobrenovac.org.rs

Navodno procureli fajlovi sa sajta hidrometeoroškog zavoda - hidmet.gov.rs

Ovaj put tvrde da su izvukli 4TB raznih podataka od Ministarstva Kulture, uključujući i navodno osetljive podatke:


.png   minkul1.png (Size: 262.83 KB / Downloads: 121)

Na kraju su napisali kako su ostavili primer podataka na telegram grupi, ali u telegram grupi je kao primer zapravo ovo linkovano gore od Hidrometeorološkog zavoda, tako da nije postavljen primer podataka iz Ministarstva Kulture

E sad pošto nam je modus operandi ove grupe poznat, uzeo sam da tražim otvoreni direktorijum na sajtu ministarstva kulture i našao ga brzo:


.png   minkul2.png (Size: 61.56 KB / Downloads: 118)

Ovde su kao i u prethodnim slučajevima razni dokumenti o nabavkama, dodeljivanju sredstava, razna rešenja itd. za period od 2020. godine do danas. Ništa što je tajno obzirom da se radi o javnoj ustanovi. Da li zaista ima nešto osetljivo u hiljadama podfoldera ne znam. Ne verujem da ovde ima 4TB podataka, možda 4GB.

Uglavnom, ništa specijalno samo još jedan otvoreni direktorijum što mi se čini da je prava epidemija po državnim sajtovima

Print this item

  Navodno procureli fajlovi sa sajta hidrometeoroškog zavoda - hidmet.gov.rs
Posted by: milos_rs - 03-10-2025, 04:53 PM - Forum: Kompromitovani resursi - No Replies

Hakerska grupa Fedayeen Team su opet objavili navodno hakovanje, ovaj put Hidrometeorološkog Zavoda. 

Njihov poduhva u otkrivanju inače javno dostupnih dokumenata je već dokumentovan na forumu u okviru teme Navodno procureli fajlovi o infrastrukturi Srbije - toplovodobrenovac.org.rs

Ovaj put su na svom telegramu postavili navodno hakovane podatke:


.png   hidmet1.png (Size: 47.76 KB / Downloads: 84)

podaci sadrže:


.png   hidmet3.png (Size: 106.28 KB / Downloads: 83)


I ovaj put su nam zapravo otkrili postojanje propust otvorenog direktorijuma, ovaj put na https://www.hidmet.gov.rs/data/ odakle su i podaci koje su navodno ukrali i deluje da je sve ovo svakako javno dostupno u okviru rada Hidrometeorološkog zavoda :


.png   hidmet2.png (Size: 289.32 KB / Downloads: 82)

Print this item

Rainbow Botovi - Šta se krije iza vaše istorije pretrage? otkriće bot platforme progress.rs
Posted by: 1van - 03-10-2025, 04:11 PM - Forum: Odgovor na incidente i svest o bezbednosti - Replies (5)

Quote:Uređaji (kompjuteri, telefoni, tableti) koje koriste osobe koje posećuju lokacije za upravljanje mrežama botova, najverovatnije koriste se i u internim državnim sistemima (tragovi/dokazi: test domeni, gov.yu adrese, domen progress.rs).

Ovakav način upotrebe državnih resursa je suprotan svakom etičkom standardu, a pored svega ugrožava državnu bezbednost i izborni proces (tragovi/dokazi: RIK, izbori2022.posmatrac.org, statizbori.rs)

Link ka analizi: https://security-net.biz/shared/bots/Sta...t_v0.2.pdf.

Deo dokumenta 1:


.png   Sta_se_krije_iza_vase_istorije_pretrage_na_internetu_2.png (Size: 130.82 KB / Downloads: 3201)

Deo dokumenta 2:


.png   Sta_se_krije_iza_vase_istorije_pretrage_na_internetu_3.png (Size: 390.18 KB / Downloads: 3190)

Deo dokumenta 3:


.png   Sta_se_krije_iza_vase_istorije_pretrage_na_internetu_4.png (Size: 256.16 KB / Downloads: 3182)

Print this item

  Fišing kampanja - pokušaj zloupotrebe imena „Elektroprivreda Srbije“
Posted by: milos_rs - 03-10-2025, 04:11 PM - Forum: Phishing / Scam / Spam kampanje - No Replies

Nacionalni CERT upozorava sve građane da je aktuelna fišing kampanja kojom zlonamerni napadač pokušava da zloupotrebi ime „Elektroprivreda Srbije“


.png   eps2.png (Size: 52.14 KB / Downloads: 53)

zanimljivo je da je domen portal-eps-rs .info isti kao i kod "eRacun za mts usluge" spam mejl - prevara i krađa podataka, iskorišćavaju isti domen za više spam kampanja

Print this item

  EPS "electricity bill" spam - malware
Posted by: milos_rs - 03-10-2025, 03:39 PM - Forum: Phishing / Scam / Spam kampanje - No Replies


.png   eps1.png (Size: 130.86 KB / Downloads: 48)

Nemam tačno šta se ovde dešava ali nešto maliciozno je u pitanju, ažuriraću objavu ako iskopam nešto više.

epss.rs jeste EPS-ov domen, sa njega šalju mejl obaveštenja, ali adresa sa koje je ovaj mejl navodno poslat je verovatno lažirana

Print this item

  MUP navodno podelio sliku lične karte sa "Srbija Danas"
Posted by: milos_rs - 03-10-2025, 09:45 AM - Forum: Privatnost - No Replies

originalni članak: sd .rs/vesti/hronika/uhapsen-napadac-na-ministra-selakovica-foto-2025-03-08

arhivirano: https://archive.is/ihutF


.png   srbijadanas1.png (Size: 241.84 KB / Downloads: 77)

predstavlja se kao da je izvor "privatna arhiva"

Print this item