Dark Web analiza airserbia.com

Dark Web analiza airserbia.com - Printable Version

+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html)
+--- Forum: Kompromitovani resursi (https://bezbedanbalkan.net/forum-6.html)
+--- Thread: Dark Web analiza airserbia.com (/thread-1202.html)

Pages: 1 2

Dark Web analiza airserbia.com - VincaSec - 01-30-2024

Filename: airserbia.png Size: 28.02 KB 01-30-2024, 11:14 PM

Filename: Capture3.JPG Size: 50.86 KB 01-30-2024, 11:14 PM

Filename: Capture1.JPG Size: 6.64 KB 01-30-2024, 11:14 PM

Filename: Capture2.JPG Size: 50.6 KB 01-30-2024, 11:14 PM

Filename: Capture5.JPG Size: 6.56 KB 01-30-2024, 11:15 PM

Filename: Capture6.JPG Size: 5.63 KB 01-30-2024, 11:15 PM

Filename: Capture7.JPG Size: 6.96 KB 01-30-2024, 11:15 PM

Filename: Capture8.JPG Size: 4.88 KB 01-30-2024, 11:15 PM

Filename: Capture9.JPG Size: 7.7 KB 01-30-2024, 11:15 PM

Filename: Capture10.JPG Size: 6.52 KB 01-30-2024, 11:15 PM

Filename: soc.png Size: 866.03 KB 01-30-2024, 11:17 PM

RE: Dark Web analiza airserbia.com - 1van - 01-31-2024

Dakle pronađeni su logovi za kompromitovane osobe koje pristupaju:

airserbia.com 104.22.71.122 104.22.70.122 172.67.23.109
extranet.airserbia.com 91.194.217.24
webaccess.airserbia.com 91.194.217.13
mail.airserbia.com 212.200.12.4
booking.airserbia.com 45.60.44.204

fms.omega.rs 95.217.196.66
omega.rs 46.4.95.244

Aerodrom navodno štiti rešenje opisano ovde: "AST rešenje otkriva detalje svojih klijenata".

A ovaj fms.omega.rs/airserbia/ je izgleda razvojni server.

Filename: omega_ref_airserbia.png Size: 315.5 KB 01-31-2024, 08:18 AM

RE: Dark Web analiza airserbia.com - 1van - 01-31-2024

Ovaj Stealer log sa SOCRadar je zanimljiv, spaja ovaj razvojni server i razne druge iz avio industrije:

Quote:Infected Device - Accounts for "fms.omega.rs" were observed for sale on the Russian Market, On Jul 12, 2023

{
"country": "RS",
"date": "2023.07.10",
"files": "archive.zip",
"id": "11521210",
"isp": "Serbia Broadband",
"links": [
"accounts.firefox.com",
"accounts.google.com",
"192.168.100.1",
"192.168.100.1",
"ekupi.rs",
"passport.aliexpress.com",
"hb.posted.co.rs",
"eon.tv",
"webmail.sbb.rs",
"hb.posted.co.rs",
"euprava.gov.rs",
"mojsbb.rs",
"192.168.0.1",
"fms.omega.rs",
"mojsbb.rs",
"192.168.2.1",
"twitter.com",
"moj.mts.rs",
"acars.prod.sabre.com",
"newextranet.airserbia.com",
"extranet.jat.com",
"e-airportslots.aero",
"trainingzone.eurocontrol.int",
"extranet.jat.com",
"moj.mts.rs",
"elitesecurity.org",
"elitemadzone.org",
"hb.posted.co.rs",
"gateway.hbogo.eu",
"esanduce.rs",
"kk-machine-1.herokuapp.com",
"192.168.100.1",
"passport.alibaba.com",
"login.aliexpress.ru",
"webaccess.airserbia.com",
"login.tidal.com",
"ekupi.me",
"aliexpress.com",
"saas2.aims.aero",
"eon.tv",
"192.168.100.1",
"edukacije.acas.rs",
"accounts.google.com",
"gigatron.rs",
"play.hbomax.com",
"myidtravel.com",
"saas3.aims.aero",
"moj.mtel.me",
"kupujemprodajem.com",
"login.microsoftonline.com",
"login.live.com",
"192.168.1.1",
"mwlogin.net",
"skycom.rs",
"portal.edb.rs",
"jakov.rs"
],
"outlook": "-",
"price": "10.00",
"province": "Belgrade",
"size": "0.44Mb",
"stealer": "risepro ",
"vendor": "nn####an [Diamond]"
}

RE: Dark Web analiza airserbia.com - 1nc0llab - 01-31-2024

acars.prod.sabre.com ima potpuno smisla, jer je Sabre jedan od 3 globalna GDS sistema.

RE: Dark Web analiza airserbia.com - 1van - 01-31-2024

Ima smisla kako tačno? Čime se bavi osoba koja je kompromitovana? Ko treba da pristupa svim ovim URL-ovima?

RE: Dark Web analiza airserbia.com - 1nc0llab - 01-31-2024

Previdio sam omega.rs domen Smile

Moja greška.

Ali, u pravilu... AirSerbia je u stalnoj komunikaciji sa GDS-om, tj sa Sabre-om (što preko API-ja, što offline - ručno), da bi im sistem uopšte pravilno funkcionisao.

RE: Dark Web analiza airserbia.com - 1van - 01-31-2024

Nisi ništa pogrešio, samo gledamo jel možemo da zaključimo još nešto Smile

RE: Dark Web analiza airserbia.com - 1nc0llab - 01-31-2024

Inače se bavim web aplikacijama iz avio-branše, pa znam ponešto i o ovome.

Sve avionske karte kupljene bilo gdje na internetu moraju proći kroz "approval" od strane jednog od 3 najveća GDS-a koji pokrivaju 95% tržista svijeta. To su Amadeus, Sabre i TravelPort. Ovaj proces se dosta ručno odrađuje (karikiram, ali nekada doslovno stoji negdje neka teta i klika approve). Proces je dosta staromodan, jer datira iz 60ih godina, i mnoge kompanije pokušavaju da modernizuju čitav proces, ali je sistem prevelik i doslovno je nemoguće zamijeniti i preko noći preswichati sve.

RE: Dark Web analiza airserbia.com - 1van - 01-31-2024

Da potvrdimo da je SOC/SIEM rešenje odavde (Oktacron, AST): "AST rešenje otkriva detalje svojih klijenata".

Filename: Oktatron_AirSerbia_1.png Size: 98.53 KB 01-31-2024, 03:56 PM

Filename: Oktatron_AirSerbia_AST_2.png Size: 1 MB 01-31-2024, 03:56 PM

RE: Dark Web analiza airserbia.com - 1van - 01-31-2024

Još jedan zanimljiv slučaj potencijalno povezan sa Oktacron kompanijom: Dark Web analiza rgz.gov.rs.