Login

1van · 12-07-2023, 07:36 AM

Još jedan odličan, hvala! Da dodamo detalje:

Filename: SOCRadar_EPS_1.png Size: 109.7 KB 12-07-2023, 07:21 AM

Pa onda par zanimljivih iz "Stealer Logs":

Zaposleni u EPS 1 (prijava na više *.eps.local domena):

Ovih domena nema nigde na Google da se nađe! Što znači da je "Stealer" bio u lokalnoj mreži (ili preko VPN).
Ovde i ovde ima spominjanja eps.local kao i detalja o sistemima zaštite (koji očigledno nisu implementirani).

Quote:Infected Device - Accounts for "owa.eps.rs" were observed for sale on the Russian Market, On Aug 30, 2023

{
"country": "RS",
"date": "2023.08.29",
"files": "archive.zip",
"id": "12054486",
"isp": "Serbian BroadBand",
"links": [
"peticije.online",
"mojsbb.rs",
"login.live.com",
"cards.nis.rs",
"mdm-t.eps.local",
"login.live.com",
"login.live.com",
"cards.nis.rs",
"amibo.rs",
"katana.facebook.com",
"polovniautomobili.com",
"192.168.0.1",
"cards.nis.rs",
"jana2-p.eps.rs",
"cards.nis.rs",
"eu.snapsheetvice.com",
"prijava.eid.gov.rs",
"android.linkedin.com",
"dropbox.com",
"accounts.google.com",
"registar.kmszts.org.rs",
"cards.nis.rs",
"disneyplus.com",
"cards.nis.rs",
"he-accounts.force.com",
"login.live.com",
"email.android.com",
"spiderauto.co.rs",
"gateway.hbogo.eu",
"cards.nis.rs",
"cards.nis.rs",
"spiderauto.co.rs",
"cards.nis.rs",
"vulkancic.vulkani.rs",
"simplyfi.candy.it",
"account.samsung.com",
"jugoistok.com",
"owa.eps.rs",
"cards.nis.rs",
"cards.nis.rs",
"iceps.edu.rs",
"jugoistok.rs",
"pollinoshoes.com",
"connect.telenordigital.com",
"account.wps.com",
"piseps-p.eps.local",
"cards.nis.rs",
"cards.nis.rs",
"192.168.0.1",
"evidencije.abs.gov.rs",
"login.live.com",
"cards.nis.rs",
"piseps-p.eps.local",
"login.tidal.com",
"portal.iceps.edu.rs",
"cards.nis.rs",
"simply-fi.herokuapp.com",
"domacinskipokloni.rs",
"cards.nis.rs",
"mojsbb.rs",
"accounts.google.com",
"moj.mts.rs",
"kudaukupovinu.rs",
"cards.nis.rs",
"prijava.eid.gov.rs",
"pollinoshoes.com",
"account.live.com",
"cards.nis.rs",
"gateway.hbogo.rs",
"registracija.eid.gov.rs",
"piseps-p.eps.local",
"mdm-ggm-p.eps.local",
"secure.ikea.com",
"facebook.com",
"cards.nis.rs",
"shiftly.mobi",
"mojsbb.rs",
"activate.hbomax.com",
"owa.eps.rs",
"account.live.com",
"prijava.eid.gov.rs",
"id-dcr.peugeot.com",
"gumatic.com",
"eon.tv",
"cards.nis.rs",
"licitacije.carina.rs",
"onlineactivation.io",
"roblox.com",
"peticije.online",
"mojsbb.rs",
"mdm-t.eps.local",
"login.live.com",
"amibo.rs",
"katana.facebook.com",
"192.168.0.1",
"cards.nis.rs",
"jana2-p.eps.rs",
"eu.snapsheetvice.com",
"android.linkedin.com",
"dropbox.com",
"registar.kmszts.org.rs",
"cards.nis.rs",
"disneyplus.com",
"cards.nis.rs",
"he-accounts.force.com",
"login.live.com",
"email.android.com",
"spiderauto.co.rs",
"gateway.hbogo.eu",
"cards.nis.rs",
"spiderauto.co.rs",
"cards.nis.rs",
"vulkancic.vulkani.rs",
"simplyfi.candy.it",
"iceps.edu.rs",
"jugoistok.rs",
"pollinoshoes.com",
"connect.telenordigital.com",
"account.wps.com",
"cards.nis.rs",
"cards.nis.rs",
"piseps-p.eps.local",
"login.tidal.com",
"portal.iceps.edu.rs",
"simply-fi.herokuapp.com",
"domacinskipokloni.rs",
"cards.nis.rs",
"accounts.google.com",
"moj.mts.rs",
"kudaukupovinu.rs",
"cards.nis.rs",
"pollinoshoes.com",
"account.live.com",
"cards.nis.rs",
"gateway.hbogo.rs",
"registracija.eid.gov.rs",
"piseps-p.eps.local",
"mdm-ggm-p.eps.local",
"secure.ikea.com",
"facebook.com",
"shiftly.mobi",
"mojsbb.rs",
"activate.hbomax.com",
"accounts.google.com",
"cards.nis.rs",
"account.samsung.com",
"owa.eps.rs",
"192.168.0.1",
"evidencije.abs.gov.rs",
"login.live.com",
"cards.nis.rs",
"owa.eps.rs",
"account.live.com",
"polovniautomobili.com",
"prijava.eid.gov.rs",
"cards.nis.rs",
"cards.nis.rs",
"mojsbb.rs",
"eon.tv",
"jugoistok.com",
"cards.nis.rs",
"peticije.online",
"mojsbb.rs",
"login.live.com",
"cards.nis.rs",
"mdm-t.eps.local",
"login.live.com",
"login.live.com",
"cards.nis.rs",
"amibo.rs",
"katana.facebook.com",
"polovniautomobili.com",
"192.168.0.1",
"cards.nis.rs",
"jana2-p.eps.rs",
"cards.nis.rs",
"eu.snapsheetvice.com",
"prijava.eid.gov.rs",
"android.linkedin.com",
"dropbox.com",
"accounts.google.com",
"registar.kmszts.org.rs",
"cards.nis.rs",
"disneyplus.com",
"cards.nis.rs",
"he-accounts.force.com",
"login.live.com",
"email.android.com",
"spiderauto.co.rs",
"gateway.hbogo.eu",
"cards.nis.rs",
"cards.nis.rs",
"spiderauto.co.rs",
"cards.nis.rs",
"vulkancic.vulkani.rs",
"simplyfi.candy.it",
"account.samsung.com",
"jugoistok.com",
"owa.eps.rs",
"cards.nis.rs",
"cards.nis.rs",
"iceps.edu.rs",
"jugoistok.rs",
"pollinoshoes.com",
"connect.telenordigital.com",
"account.wps.com",
"piseps-p.eps.local",
"cards.nis.rs",
"cards.nis.rs",
"192.168.0.1",
"evidencije.abs.gov.rs",
"login.live.com",
"cards.nis.rs",
"piseps-p.eps.local",
"login.tidal.com",
"portal.iceps.edu.rs",
"cards.nis.rs",
"simply-fi.herokuapp.com",
"domacinskipokloni.rs",
"cards.nis.rs",
"mojsbb.rs",
"accounts.google.com",
"moj.mts.rs",
"kudaukupovinu.rs",
"cards.nis.rs",
"prijava.eid.gov.rs",
"pollinoshoes.com",
"account.live.com",
"cards.nis.rs",
"gateway.hbogo.rs",
"registracija.eid.gov.rs",
"piseps-p.eps.local",
"mdm-ggm-p.eps.local",
"secure.ikea.com",
"facebook.com",
"cards.nis.rs",
"shiftly.mobi",
"mojsbb.rs",
"activate.hbomax.com",
"owa.eps.rs",
"account.live.com",
"prijava.eid.gov.rs",
"id-dcr.peugeot.com",
"gumatic.com",
"eon.tv",
"cards.nis.rs",
"licitacije.carina.rs",
"onlineactivation.io",
"roblox.com",
"peticije.online",
"mojsbb.rs",
"mdm-t.eps.local",
"login.live.com",
"amibo.rs",
"katana.facebook.com",
"192.168.0.1",
"cards.nis.rs",
"jana2-p.eps.rs",
"eu.snapsheetvice.com",
"android.linkedin.com",
"dropbox.com",
"registar.kmszts.org.rs",
"cards.nis.rs",
"disneyplus.com",
"cards.nis.rs",
"he-accounts.force.com",
"login.live.com",
"email.android.com",
"spiderauto.co.rs",
"gateway.hbogo.eu",
"cards.nis.rs",
"spiderauto.co.rs",
"cards.nis.rs",
"vulkancic.vulkani.rs",
"simplyfi.candy.it",
"iceps.edu.rs",
"jugoistok.rs",
"pollinoshoes.com",
"connect.telenordigital.com",
"account.wps.com",
"cards.nis.rs",
"cards.nis.rs",
"piseps-p.eps.local",
"login.tidal.com",
"portal.iceps.edu.rs",
"simply-fi.herokuapp.com",
"domacinskipokloni.rs",
"cards.nis.rs",
"accounts.google.com",
"moj.mts.rs",
"kudaukupovinu.rs",
"cards.nis.rs",
"pollinoshoes.com",
"account.live.com",
"cards.nis.rs",
"gateway.hbogo.rs",
"registracija.eid.gov.rs",
"piseps-p.eps.local",
"mdm-ggm-p.eps.local",
"secure.ikea.com",
"facebook.com",
"shiftly.mobi",
"mojsbb.rs",
"activate.hbomax.com",
"accounts.google.com",
"cards.nis.rs",
"account.samsung.com",
"owa.eps.rs",
"192.168.0.1",
"evidencije.abs.gov.rs",
"login.live.com",
"cards.nis.rs",
"owa.eps.rs",
"account.live.com",
"polovniautomobili.com",
"prijava.eid.gov.rs",
"cards.nis.rs",
"cards.nis.rs",
"mojsbb.rs",
"eon.tv",
"jugoistok.com",
"cards.nis.rs"
],
"outlook": "-",
"price": "10.00",
"province": "Belgrade",
"size": "1.03Mb",
"stealer": "lumma ",
"vendor": "Mo####yf [Diamond]"
}

Zaposleni u EPS 2 (voli sajtove za odrasle):

Quote:Infected Device - Accounts for "owa.eps.rs" were observed for sale on the Russian Market, On Jul 24, 2023

{
"country": "RS",
"date": "2023.07.22",
"files": "archive.zip",
"id": "11594451",
"isp": "TELEKOM-BB",
"links": [
"accounts.google.com",
"owa.eps.rs",
"onlineocr.net",
"account.roomsketcher.com",
"scribd.com",
"owa.eps.rs",
"members.babesnetwork.com",
"members.twistys.com",
"members.twistys.com",
"bazalteutit.rs",
"accounts.autodesk.com",
"planetasport.rs",
"planetasport.rs",
"jasmin.rs",
"polovniautomobili.com",
"smallpdf.com",
"accounts.google.com"
],
"outlook": "-",
"price": "10.00",
"province": "Belgrade",
"size": "0.42Mb",
"stealer": "Vidar ",
"vendor": "Hy####ad [platinum]"
}

Zaposleni u EPS 3 (ns.ev.co.yu se spominje ovde):

Quote:Infected Device - Accounts for "piseps-p.eps.local" were observed for sale on the Russian Market, On Mar 06, 2023

{
"country": "RS",
"date": "2023.03.02",
"files": "archive.zip",
"id": "9469930",
"isp": "TELEKOM SRBIJA a.d.",
"links": [
"piseps-p.eps.local",
"piseps-p.eps.local",
"piseps-p.eps.local",
"sapsolman1.eps.local",
"192.168.4.4",
"owa.eps.rs",
"login.microsoftonline.com",
"owa.eps.rs",
"192.168.4.18",
"ns.ev.co.yu",
"owa.eps.rs"
],
"outlook": "-",
"price": "10.00",
"province": "Vojvodina",
"size": "0.17Mb",
"stealer": "Racoon ",
"vendor": "Mo####yf [Diamond]"
}

Login
Username/Email:
Password:	Lost Password?
	Remember me