Kompromitovan mail server savasumanovic.edu.rs

Kompromitovan mail server savasumanovic.edu.rs - Printable Version

+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html)
+--- Forum: Kompromitovani resursi (https://bezbedanbalkan.net/forum-6.html)
+--- Thread: Kompromitovan mail server savasumanovic.edu.rs (/thread-769.html)

Kompromitovan mail server savasumanovic.edu.rs - facyber_ - 08-21-2023

Danas sam na poslu dobio nekoliko junk mejlova sa malicioznim fajlom, spufovani mejlovi ali dolaze izgleda sa mejl server OŠ Sava Šumanović u Zemunu.

Radio sam neku običnu analizu zaglavlja a fajl sam našao da je neko već radio (po hešu).

Što se zaglavlja tiče ne deluje da je spoof-ovana adresa, deluje da je direktno sa domena došla (izbacio sam neke kompanijske informacije čisto zbog javne analize).

Filename: Screenshot_20230821_194145.png Size: 194.19 KB 08-21-2023, 05:43 PM

Sama bezbednost domena i nije na nekom nivou iskreno.

Filename: Screenshot_20230821_194437.png Size: 147.56 KB 08-21-2023, 05:44 PM

Što se fajla tiče u pitanju je HTML fajl sa usađenim kodom u sebi i imenom tipa Payment, klasičan phish. Na VirusTotal već postoji hash fajla i ima analiza u Docguard-u koja kaže da je maliciozna.

Filename: Screenshot_20230821_194730.png Size: 178.69 KB 08-21-2023, 05:47 PM

S obzirom da im je sajt nikakav i mislim da nije baš ažuran, kontaktirao sam ih putem mejla na ovu adresu odakle je navodno i stigao mejl, pa se nadam da će neko zaista videti i istražiti.

RE: Kompromitovan mail server savasumanovic.edu.rs - 1van - 08-21-2023

Lokacija http://skola.savasumanovic.edu.rs/ otvara praznu stranicu (arhivirano: https://archive.ph/9dZph), IP adresa servera: 94.127.4.252, provajder je SBB.

RE: Kompromitovan mail server savasumanovic.edu.rs - 1van - 08-21-2023

A Shodan otkriva gomilu potencijalnih ranjivosti: https://www.shodan.io/host/94.127.4.252.

RE: Kompromitovan mail server savasumanovic.edu.rs - facyber_ - 08-21-2023

(08-21-2023, 06:13 PM)1van Wrote: A Shodan otkriva gomilu potencijalnih ranjivosti: https://www.shodan.io/host/94.127.4.252.

E to mi jedino nije otvarao jer sam na VPN-u, pa me mrzelo da skidam VPN ali sam pretpostavio da je takva situacija. Sajt im je budi bog sa nama, na kraju sam ih kontaktirao na mejl sa kojeg je i stigao maliciozni mejl nadajući sa da ga neko ipak zaista gleda pa šta bude bude.