Kompromitovan podsajt Vojske Srbije za kongres, hostuje PDFove koji vode na prevaru

Kompromitovan podsajt Vojske Srbije za kongres, hostuje PDFove koji vode na prevaru - Printable Version

+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html)
+--- Forum: Kompromitovani resursi (https://bezbedanbalkan.net/forum-6.html)
+--- Thread: Kompromitovan podsajt Vojske Srbije za kongres, hostuje PDFove koji vode na prevaru (/thread-1334.html)

Kompromitovan podsajt Vojske Srbije za kongres, hostuje PDFove koji vode na prevaru - milos_rs - 03-08-2024

Sajt u pitanju je Aeromiting "Batajnica 2009", tj. airserbia2009.vs.rs

IP: 212.200.34.15

drugi domen ovog sajta je 3pemmc.mod.gov .rs i ujedno i ono o čemu je sajt: Treći Panevropski Kongres Vojne Medicine 2014

IP adresa stoji ispred svih vs.rs i mod.gov.rs sajtova dakle neki WAF ili edge firewall.

Samo port 80 i 443 su dostupni tako da pretpostavljam da je kompromitovan nekakav pristup kroz sam sajt ili iskorišćen neki propust, moguće kroz neki file upload propust na tako izuzetno starom sajtu. Na primer učitava neki praistorijski swfobject.js:

Filename: Screenshot_20240308_110845.png Size: 158.92 KB 03-08-2024, 10:09 AM

Filename: Screenshot_20240308_110741.png Size: 41.81 KB 03-08-2024, 10:08 AM

u poddirektorijumu /multimedia/file/ se nalaze PDFovi koji se koriste za phishing i prevare:

airserbia2009.vs .rs/multimedia/file/fesifiribezu.pdf izgleda ovako:

Filename: signal-2024-03-08-103417_002.png Size: 118.09 KB 03-08-2024, 09:48 AM

incijalni link je yubit.co .za/XSRYdR1H?utm_term=beauty+and+the+beast+pantomime+script+pdf

posle gomilu redirekta vodi na nekakvu prevaru:

Filename: Screenshot_20240308_105007.png Size: 117.84 KB 03-08-2024, 09:50 AM

drugi fajlovi:

airserbia2009.vs .rs/multimedia/file/97335629495.pdf

Filename: Screenshot 2024-03-08 at 10-53-58 Explain macbeth's soliloquy in act 2 scene 1 summary pdf printable template - 97335629495.pdf.png Size: 51.58 KB 03-08-2024, 09:54 AM

inicijalni link yoyep.co .za/XSRYdR1H?utm_term=explain+macbeth%27s+soliloquy+in+act+2+scene+1+summary+pdf+printable+template

airserbia2009.vs .rs/multimedia/file/58944623565.pdf

inicijalni link cafij.co .za/XSRYdR1H?utm_term=marantz+sr5013+review+whathifi

airserbia2009.vs .rs/multimedia/file/82516673909.pdf

inicijalni link cafij.co .za/XSRYdR1H?utm_term=accounting+basics+india+pdf

Svi su u istom fazonu, link na .za i posle gomila redirekta otvore neku prevaru

airserbia2009.vs .rs/multimedia/file/20823116570 .pdf

airserbia2009.vs .rs/multimedia/file/naxoweneligazixef.pdf

airserbia2009.vs .rs/multimedia/file/birapatomudoluwu.pdf

airserbia2009.vs .rs/multimedia/file/pazemenumelipuradopi.pdf

prevare su izgleda randomizovane, kao i redirekti, jedan klik neće ići istom putanjom redirektova niti otvoriti isti sajt... neki primeri sajtova:

Filename: Screenshot_20240308_105720.png Size: 80.63 KB 03-08-2024, 09:59 AM

Filename: Screenshot_20240308_105045.png Size: 161.28 KB 03-08-2024, 10:00 AM

RE: Kompromitovan podsajt Vojske Srbije za kongres, hostuje PDFove koji vode na prevaru - 1van - 03-08-2024

Nije prvi put da imamo u analizama ovaj IP: https://bezbedanbalkan.net/ipdb/bbosint_ip.html

Filename: vs_prevara_3.png Size: 104.2 KB 03-08-2024, 10:39 AM

RE: Kompromitovan podsajt Vojske Srbije za kongres, hostuje PDFove koji vode na prevaru - y0d4 - 03-09-2024

nice catch!

a sto kazes:

Quote:"posle gomilu redirekta vodi na nekakvu prevaru:"

moze biti i posle gomile pokusaja spustanja loadera? :>