Radi preglednosti izdvojiću ovde druge pronalaske, izgleda da ova kampanja traje od minimum 03. marta, ali ne mora da znači da su svi sledeći malver uzorci poslati sa gornjeg gov.rs mejla...
Pronašao sam na any.run još malver primeraka koji koriste isti navodni C2, tj. 196.251.92.20:7702, delim ih jer skidaju prvu fazu sa .rs domena :
zahtjev_za_ponudu.img.exe skida prvu fazu sa osdugalic.edu.rs
731d2730d9fc8567a981d16fc2b693ab3e658220ea313a6b95694f2f4429ce01.exe skida prvu fazu sa aquadream.rs verovatno aquadream .rs/Brpwm.vdf koji više nije dostupan
Ordine.img.exe takođe skida prvu fazu sa aquadream.rs
moguće je da ih ima još. Zanimljivo je takođe da ova navodno C2 IP adresa ima i zanimljive zapise na abuseipdb:
Pronašao sam na any.run još malver primeraka koji koriste isti navodni C2, tj. 196.251.92.20:7702, delim ih jer skidaju prvu fazu sa .rs domena :
zahtjev_za_ponudu.img.exe skida prvu fazu sa osdugalic.edu.rs
731d2730d9fc8567a981d16fc2b693ab3e658220ea313a6b95694f2f4429ce01.exe skida prvu fazu sa aquadream.rs verovatno aquadream .rs/Brpwm.vdf koji više nije dostupan
Ordine.img.exe takođe skida prvu fazu sa aquadream.rs
moguće je da ih ima još. Zanimljivo je takođe da ova navodno C2 IP adresa ima i zanimljive zapise na abuseipdb: