Kompromitovan mejl opštine Bogatić - iskorišćen za slanje malvera sa gov.rs mejla - Printable Version

Bezbedan Balkan

Kompromitovan mejl opštine Bogatić - iskorišćen za slanje malvera sa gov.rs mejla - Printable Version

+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html)
+--- Forum: Kompromitovani resursi (https://bezbedanbalkan.net/forum-6.html)
+--- Thread: Kompromitovan mejl opštine Bogatić - iskorišćen za slanje malvera sa gov.rs mejla (/thread-1865.html)

Kompromitovan mejl opštine Bogatić - iskorišćen za slanje malvera sa gov.rs mejla - milos_rs - 03-11-2025

mejl se predstavlja kao da je sa portala javnih nabavki i šalje zahtev za ponudu:

Filename: mejl.png Size: 94.54 KB 03-12-2025, 11:42 AM

hederi koji dokazuju da je poslat sa državnih mejl servera:

Filename: mha.png Size: 182.07 KB 03-11-2025, 12:48 PM

Attachment je u ISO9660 formatu tj. ISO/IMG format slike diska.

Kada se ekstraktuje fajl dobije se Слика_Захтев_за_понуду.img.exe

Ovaj fajl ima dosta detekcija od strane antivirusnih aplikacija: https://www.virustotal.com/gui/file/cf643db46096ae9b5f41e58db1f12c524f2d833c69b76c9753de24ee340b89ba

Sledi mala površna analiza šta radi malware zasnovan na besplatnoj any.run malver analizi i drugim čarolijama, nije detaljno ni dubinsko niti mogu biti siguran da je sve tačno, jednostavno trenutno nemam vremena da se udubim u analizu...

Pokretanjem EXE fajla pokreće se prvi faza koju je any.run identifikovao kao PureCrypter loader https://any.run/malware-trends/purecrypter
Skida se druga faza sa (verovatno kompromitovanog sajta) sa linka rhzk .hr/Gowfaxpwc.pdf u obliku PDFa koji moguće da nije ni PDF, nisam uspeo da ga skinem.

Filename: malver.png Size: 180.1 KB 03-11-2025, 12:48 PM

Druga faza pokreće instalaciju PureLogs stealer malver https://any.run/malware-trends/purelogs
Stealer malver pokreće C2 komunikaciju sa 196.251.92.20:7702

Filename: network.png Size: 15.16 KB 03-11-2025, 12:48 PM

Ko želi da se udubi evo link na any.run https://app.any.run/tasks/97f71b5c-bddb-439f-8e46-95485607171f

IOC sa any.run:

Code:
Main object - Слика_Захтев_за_понуду.img.exe

 sha256 Слика_Захтев_за_понуду.img.exe d9d4460669044287070f81fa6a49d46d0a5d9e9763676a26f92577cf8386e66a

Dropped file

 sha256 C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\e710a2e9-fbd7-4032-b71d-c63471dc174d.tmp cdb4ee2aea69cc6a83331bbe96dc2caa9a299d21329efb0336fc02a82e1839a8

 sha256 C:\Users\admin\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-NonInteractive 6a4d86c3572e71b0e17e21991620a07cd974f6df2b9aa25587c5abfa47e68fe8

 sha256 C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\js\aa5059df68d15c86_0 28e10fa53ca4a54b69a8f9e699c49cd0124bf0529e420cddd958a127f3d3e88c

 sha256 C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\js\5c29b79d8ce353b6_0 dcdb5d90512d812fc5c3fe61d7cd2f79b0d6bdd981d76c940ddbf3fcc006f0f4

 sha256 C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\f_000263 a05cc6be8342836eb500a5f0b95a0d572c494c3b8a01e708d904cab4005777b5

 sha256 C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\js\063e6f532caa3c31_0 47748899b6c7626c7a5fbc421d2250a8ed8151eb01b73c53236b83802b444af6

 sha256 C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Last Browser 9c70f766d3b84fc2bb298efa37cc9191f28bec336329cc11468cfadbc3b137f4

 sha256 C:\Users\admin\AppData\Local\Temp\chrome_Unpacker_BeginUnzipping7448_2002878252\offscreendocument_main.js 3a78b6fbc16f9fb27ce3ed650abc31174263d762b71c028cc5d8f5427cbab082

 sha256 C:\Users\admin\AppData\Local\Temp\chrome_Unpacker_BeginUnzipping7448_2002878252\page_embed_script.js 13e1562cd07fc06d692fdf1aa471e3ceae3cf7c1e42c5345d430a947139a24d5

 sha256 C:\Users\admin\AppData\Local\Temp\chrome_Unpacker_BeginUnzipping7448_2002878252\service_worker_bin_prod.js dfad2626b0eab3ed2f1dd73fe0af014f60f29a91b50315995681ceaaee5c9ea6

 sha256 C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\js\index-dir\the-real-index 82d2e18cadbe2011b182e1fe517fdf037a33085346ced8ce71164c2d8ae849a6

DNS requests

 domain rhzk.hr

Connections

 ip 178.218.165.121

 ip 196.251.92.20

Kancelarija za Javne Nabavke je izgleda upoznata sa ovim jer su izdali šturo obaveštenje koje ne ukazuje na ozbiljnost situacije da imaš državne mejl adrese koje šalju opasan malver kontaktima unutar i izvan državne administracije :

obaveštenje je na https://www.ujn.gov.rs/?p=8795

arhivirano https://archive.is/FrsH0

Filename: ujn.png Size: 813.11 KB 03-11-2025, 12:48 PM

RE: Kompromitovan mejl opštine Bogatić - iskorišćen za slanje malvera sa gov.rs mejla - milos_rs - 03-11-2025

Radi preglednosti izdvojiću ovde druge pronalaske, izgleda da ova kampanja traje od minimum 03. marta, ali ne mora da znači da su svi sledeći malver uzorci poslati sa gornjeg gov.rs mejla...

Pronašao sam na any.run još malver primeraka koji koriste isti navodni C2, tj. 196.251.92.20:7702, delim ih jer skidaju prvu fazu sa .rs domena :

zahtjev_za_ponudu.img.exe skida prvu fazu sa osdugalic.edu.rs

731d2730d9fc8567a981d16fc2b693ab3e658220ea313a6b95694f2f4429ce01.exe skida prvu fazu sa aquadream.rs verovatno aquadream .rs/Brpwm.vdf koji više nije dostupan

Ordine.img.exe takođe skida prvu fazu sa aquadream.rs

moguće je da ih ima još. Zanimljivo je takođe da ova navodno C2 IP adresa ima i zanimljive zapise na abuseipdb:

Filename: ipadd.png Size: 149.76 KB 03-11-2025, 01:18 PM

RE: Kompromitovan mejl opštine Bogatić - iskorišćen za slanje malvera sa gov.rs mejla - milos_rs - 03-11-2025

Da dodam i ovu objavu na X-u od 05.03 gde su ciljani Mađarski građani i institucije preko kompromivotanih .gov.rs domena :

Filename: abusech.png Size: 101.08 KB 03-11-2025, 03:15 PM

https://x.com/smica83/status/1897191283191636379

primerci datoteka koje su ciljali Mađarsku :

img fajl: https://bazaar.abuse.ch/sample/4f7c1bbdcb720b61add93c7b7370f3b6041276f4cd58a05b69aaa189ba43aa26/#iocs

exe koji izlazi iz njega: https://bazaar.abuse.ch/sample/2852c2dffd46554bf1f3ceede3a30574a52215ee3a311759fdf59d024c82121a/

RE: Kompromitovan mejl opštine Bogatić - iskorišćen za slanje malvera sa gov.rs mejla - milos_rs - 03-21-2025

Još jedan, mejl se predstavlja kao Banca Intesa Beograd ali je očigledno na hrvatskom, nešto su se zbunili ovi prevaranti:

Filename: hu1.png Size: 154.91 KB 03-21-2025, 10:28 AM

attachment nudi malware:

Filename: hu2.png Size: 144.9 KB 03-21-2025, 10:29 AM

https://www.virustotal.com/gui/file/0dbb935c975baaa38ac353dbb320560b51632f60d36e1191a98beb62e97e03cf

RE: Kompromitovan mejl opštine Bogatić - iskorišćen za slanje malvera sa gov.rs mejla - VincaSec - 04-03-2025

Tehnike koje koriste za sakrivanje malvera u wav fajlovima.

https://blogs.blackberry.com/en/2019/10/malicious-payloads-hiding-beneath-the-wav
https://www.techradar.com/news/malicious-wav-files-can-be-used-to-deliver-malware-and-cryptominers

Sajt osdugalic.edu.rs je i dalje kompromitovan.

https://urlscan.io/search/#osdugalic.edu.rs

Filename: os.png Size: 59 KB 04-03-2025, 08:57 PM