Bezbedan Balkan Bezbednost državnih resursa Kompromitovani resursi v
Republika Srpska IZIS zarazena masina - curenje podataka

Threaded Mode
Republika Srpska IZIS zarazena masina - curenje podataka
VincaSec Offline
Senior Member
****
Posts: 434
Threads: 225
Joined: Oct 2023
Reputation: 156
#31
02-12-2024, 11:42 PM
Ovo su mislim racunari klijenata IZIS -a ali u nastavku dolazimo do veoma interesatnih stvari:
Code:
0:{13 items
"date_uploaded":"2021-07-11T20:04:12.400Z"
"stealer_family":"RedLine"
"computer_name":"Korisnik"
"operating_system":"Windows 10 Enterprise x64"
"antiviruses":"Windows Defender"
"employee_session_cookies":NULL
"date_compromised":"2021-07-08T00:00:00.000Z"
"credentials":[5 items
0:{5 items
"type":"client"
"url":"•••••••••••••••••••••••"
"domain":"izisrs.org"
"username":"•••••••"
"password":"•••••••••••••••"
}
1:{5 items
"type":"client"
"url":"•••••••••••••••••••••••"
"domain":"izisrs.org"
"username":"••••••"
"password":"••••••••••••••"
}
2:{5 items
"type":"client"
"url":"•••••••••••••••••••••••"
"domain":"izisrs.org"
"username":"••••••••"
"password":"••••••••••••••••"
}
3:{5 items
"type":"client"
"url":"•••••••••••••••••••••••"
"domain":"izisrs.org"
"username":"•••••••"
"password":"•••••••••••••••"
}
4:{5 items
"type":"client"
"url":"•••••••••••••••••••••••"
"domain":"izisrs.org"
"username":"••••••"
"password":"••••••••••••••"
}
]
"stealer":"••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"employeeAt":[]0 items
"clientAt":[...]5 items
"ip":"••••••••••••••"
"malware_path":"••••••••••••••••••••••••••••••••••••••••••••••••••••"
}


Code:
"date_uploaded":"2021-11-19T11:22:32.000Z"
"stealer_family":"RedLine"
"computer_name":"Korisnik"
"operating_system":"Windows 7 Ultimate x64"
"antiviruses":[]0 items
"employee_session_cookies":[56 items
0:{5 items
"url":"nvidia.com"
"domain":"nvidia.com"
"name":"AMCV_F207D74D549850760A4C98C6%40AdobeOrg"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-05T07:01:24.000Z"
}
1:{5 items
"url":"forums.autodesk.com"
"domain":"autodesk.com"
"name":"_gd_visitor"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T06:35:12.000Z"
}
2:{5 items
"url":"hp.com"
"domain":"hp.com"
"name":"s_ecid"
"value":"••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-08T09:48:05.000Z"
}
3:{5 items
"url":"eu.battle.net"
"domain":"battle.net"
"name":"_ga"
"value":"•••••••••••••••••••••••••••"
"expiry":"2023-11-04T11:40:31.000Z"
}
4:{5 items
"url":"battle.net"
"domain":"battle.net"
"name":"bnet.extra"
"value":"••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2089-11-22T14:58:07.000Z"
}
5:{5 items
"url":"adobe.com"
"domain":"adobe.com"
"name":"s_vi"
"value":"••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-17T13:41:51.000Z"
}
6:{5 items
"url":"autodesk.com"
"domain":"autodesk.com"
"name":"s_dlv"
"value":"•••••••••••••"
"expiry":"2024-10-27T06:35:12.000Z"
}
7:{5 items
"url":"autodesk.com"
"domain":"autodesk.com"
"name":"adsk_ccpa_guid"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T06:03:16.000Z"
}
8:{5 items
"url":"battle.net"
"domain":"battle.net"
"name":"_cd_cid"
"value":"•••••••••••••••••••••••••••"
"expiry":"2023-11-15T08:27:37.000Z"
}
9:{5 items
"url":"www.nvidia.com"
"domain":"nvidia.com"
"name":"_wingify_pc_uuid"
"value":"••••••••••••••••••••••••••••••••"
"expiry":"2049-03-23T07:11:36.000Z"
}
10:{5 items
"url":"facebook.com"
"domain":"facebook.com"
"name":"sb"
"value":"••••••••••••••••••••••••"
"expiry":"2023-11-17T11:34:36.000Z"
}
11:{5 items
"url":"www.nvidia.com"
"domain":"nvidia.com"
"name":"drift_aid"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-26T10:22:00.000Z"
}
12:{5 items
"url":"eu.shop.battle.net"
"domain":"battle.net"
"name":"_ga"
"value":"•••••••••••••••••••••••••••"
"expiry":"2023-11-15T08:27:37.000Z"
}
13:{5 items
"url":"autodesk.com"
"domain":"autodesk.com"
"name":"_mkto_trk"
"value":"••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T06:04:19.000Z"
}
14:{5 items
"url":"battle.net"
"domain":"battle.net"
"name":"web.id"
"value":"•••••••••••••••••••••••••••••••••••••••"
"expiry":"2089-11-22T14:57:49.000Z"
}
15:{5 items
"url":"nvidia.com"
"domain":"nvidia.com"
"name":"_hly_vid"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2031-11-03T07:01:56.000Z"
}
16:{5 items
"url":"hp.com"
"domain":"hp.com"
"name":"AMCV_5E34123F5245B2CD0A490D45%40AdobeOrg"
"value":"••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-08T09:48:01.000Z"
}
17:{5 items
"url":"onedrive.live.com"
"domain":"live.com"
"name":"MicrosoftApplicationsTelemetryFirstLaunchTime"
"value":"•••••••••••••"
"expiry":"2029-12-31T23:59:59.000Z"
}
18:{5 items
"url":"google.com"
"domain":"google.com"
"name":"_ga"
"value":"•••••••••••••••••••••••••••"
"expiry":"2023-11-05T07:46:59.000Z"
}
19:{5 items
"url":"starget.intel.com"
"domain":"intel.com"
"name":"intelcorporation!mboxPC"
"value":"•••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-07T07:54:50.000Z"
}
20:{5 items
"url":"forums.autodesk.com"
"domain":"autodesk.com"
"name":"_gd_svisitor"
"value":"••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T06:35:12.000Z"
}
21:{5 items
"url":"account.battle.net"
"domain":"battle.net"
"name":"_ga"
"value":"•••••••••••••••••••••••••••"
"expiry":"2023-11-04T11:36:54.000Z"
}
22:{5 items
"url":"intel.com"
"domain":"intel.com"
"name":"adcloud"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-06T07:54:50.000Z"
}
23:{5 items
"url":"www.nvidia.com"
"domain":"nvidia.com"
"name":"nvweb_A"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2069-09-27T05:00:47.000Z"
}
24:{5 items
"url":"www.autodesk.com"
"domain":"autodesk.com"
"name":"_gd_svisitor"
"value":"••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T06:03:18.000Z"
}
25:{5 items
"url":"nvidia.com"
"domain":"nvidia.com"
"name":"s_ecid"
"value":"••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-05T11:41:07.000Z"
}
26:{5 items
"url":"accounts.google.com"
"domain":"google.com"
"name":"__Host-GAPS"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-26T09:35:45.000Z"
}
27:{5 items
"url":"nvidia.com"
"domain":"nvidia.com"
"name":"_mkto_trk"
"value":"••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-05T11:41:07.000Z"
}
28:{5 items
"url":"autodesk.com"
"domain":"autodesk.com"
"name":"_ga"
"value":"••••••••••••••••••••••••••"
"expiry":"2023-10-28T06:35:14.000Z"
}
29:{5 items
"url":"battle.net"
"domain":"battle.net"
"name":"_ga"
"value":"•••••••••••••••••••••••••••"
"expiry":"2023-11-15T08:27:40.000Z"
}
30:{5 items
"url":"autodesk.com"
"domain":"autodesk.com"
"name":"s_ecid"
"value":"••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T06:35:13.000Z"
}
31:{5 items
"url":"www.autodesk.com"
"domain":"autodesk.com"
"name":"_gd_visitor"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T06:03:18.000Z"
}
32:{5 items
"url":"forums.autodesk.com"
"domain":"autodesk.com"
"name":"LithiumCookiesAccepted"
"value":"•"
"expiry":"2031-10-26T06:35:11.000Z"
}
33:{5 items
"url":"intel.com"
"domain":"intel.com"
"name":"AMCV_AD2A1C8B53308E600A490D4D%40AdobeOrg"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-05T07:54:50.000Z"
}
34:{5 items
"url":"www.nvidia.com"
"domain":"nvidia.com"
"name":"_gd_svisitor"
"value":"••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-26T10:21:59.000Z"
}
35:{5 items
"url":"www.nvidia.com"
"domain":"nvidia.com"
"name":"_gd_visitor"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-26T10:21:59.000Z"
}
36:{5 items
"url":"forums.autodesk.com"
"domain":"autodesk.com"
"name":"VISITOR_BEACON"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2031-10-26T06:35:12.000Z"
}
37:{5 items
"url":"adobe.com"
"domain":"adobe.com"
"name":"SETTINGS.LOCALE"
"value":"•••••••"
"expiry":"2051-10-15T11:41:19.000Z"
}
38:{5 items
"url":"autodesk.com"
"domain":"autodesk.com"
"name":"OPTOUTMULTI_REF"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T06:03:17.000Z"
}
39:{5 items
"url":"autodesk.com"
"domain":"autodesk.com"
"name":"AMCV_6DC7655351E5696B0A490D44%40AdobeOrg"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T06:35:12.000Z"
}
40:{5 items
"url":"stt.nvidia.com"
"domain":"nvidia.com"
"name":"nvidia!mboxPC"
"value":"•••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-07T07:01:24.000Z"
}
41:{5 items
"url":"autodesk.com"
"domain":"autodesk.com"
"name":"mbox"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-30T06:04:17.000Z"
}
42:{5 items
"url":"forums.autodesk.com"
"domain":"autodesk.com"
"name":"LithiumVisitor"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2031-10-26T06:35:18.000Z"
}
43:{5 items
"url":"adobe.com"
"domain":"adobe.com"
"name":"mbox"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-24T11:41:32.000Z"
}
44:{5 items
"url":"intel.com"
"domain":"intel.com"
"name":"mbox"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-07T07:54:51.000Z"
}
45:{5 items
"url":"chrome.google.com"
"domain":"google.com"
"name":"__utma"
"value":"••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-05T10:40:15.000Z"
}
46:{5 items
"url":"nvidia.com"
"domain":"nvidia.com"
"name":"mbox"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-07T11:41:07.000Z"
}
47:{5 items
"url":"www.nvidia.com"
"domain":"nvidia.com"
"name":"wingify_donot_track_actions"
"value":"•"
"expiry":"2049-03-23T07:01:56.000Z"
}
48:{5 items
"url":"translate.google.com"
"domain":"google.com"
"name":"_ga"
"value":"••••••••••••••••••••••••••"
"expiry":"2023-11-17T10:07:01.000Z"
}
49:{5 items
"url":"autodesk.com"
"domain":"autodesk.com"
"name":"_sp_id.cd78"
"value":"••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T06:35:15.000Z"
}
50:{5 items
"url":"facebook.com"
"domain":"facebook.com"
"name":"datr"
"value":"••••••••••••••••••••••••"
"expiry":"2023-11-17T06:49:48.000Z"
}
51:{5 items
"url":"battle.net"
"domain":"battle.net"
"name":"auth.permit.bc431fc529d58f19"
"value":"••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2089-10-02T10:31:33.000Z"
}
52:{5 items
"url":"onedrive.live.com"
"domain":"live.com"
"name":"MicrosoftApplicationsTelemetryDeviceId"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2029-12-31T23:59:59.000Z"
}
53:{5 items
"url":"battle.net"
"domain":"battle.net"
"name":"remember.auth.permit.bc431fc529d58f19"
"value":"••••"
"expiry":"2089-10-02T10:31:33.000Z"
}
54:{5 items
"url":"battle.net"
"domain":"battle.net"
"name":"web.id"
"value":"•••••••••••••••••••••••••••••••••••••••"
"expiry":"2089-10-02T10:20:49.000Z"
}
55:{5 items
"url":"www.nvidia.com"
"domain":"nvidia.com"
"name":"driftt_aid"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-26T10:22:00.000Z"
}
]
"date_compromised":"2021-11-17T00:00:00.000Z"
"credentials":[2 items
0:{5 items
"type":"client"
"url":"••••••••••••••••••••••••"
"domain":"izisrs.org"
"username":"••••••"
"password":"••••••••••••••"
}
1:{5 items
"type":"client"
"url":"••••••••••••••••••••••••"
"domain":"izisrs.org"
"username":"••••••"
"password":"••••••••••••••"
}
]
"stealer":"••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"employeeAt":[1 item
0:"••••••••"
]
"clientAt":[]0 items
"ip":"•••••••••••••••"
"malware_path":"••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
}
There is no patch for stupidity - Kevin Mitnick
Find
Reply
VincaSec Offline
Senior Member
****
Posts: 434
Threads: 225
Joined: Oct 2023
Reputation: 156
#32
02-12-2024, 11:44 PM
"date_uploaded":"2022-09-22T18:21:07.010Z"
"stealer_family":"Vidar"
"computer_name":"RACUNOVODSTVO1"
"operating_system":"Windows 7 Ultimate [x64]"
"antiviruses":[]0 items
"employee_session_cookies":[54 items
0:{5 items
"url":"autodesk.com"
"domain":"autodesk.com"
"name":"OPTOUTMULTI_REF"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T04:03:17.000Z"
}
1:{5 items
"url":"forums.autodesk.com"
"domain":"autodesk.com"
"name":"LithiumVisitor"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2031-10-26T04:35:18.000Z"
}
2:{5 items
"url":"www.autodesk.com"
"domain":"autodesk.com"
"name":"_gd_visitor"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T04:03:18.000Z"
}
3:{5 items
"url":"forums.autodesk.com"
"domain":"autodesk.com"
"name":"LithiumCookiesAccepted"
"value":"•"
"expiry":"2031-10-26T04:35:11.000Z"
}
4:{5 items
"url":"stt.nvidia.com"
"domain":"nvidia.com"
"name":"nvidia!mboxPC"
"value":"•••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-07T05:01:24.000Z"
}
5:{5 items
"url":"hp.com"
"domain":"hp.com"
"name":"AMCV_5E34123F5245B2CD0A490D45%40AdobeOrg"
"value":"••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-08T07:48:01.000Z"
}
6:{5 items
"url":"intel.com"
"domain":"intel.com"
"name":"mbox"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-07T05:54:51.000Z"
}
7:{5 items
"url":"adobe.com"
"domain":"adobe.com"
"name":"s_vi"
"value":"••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-17T11:41:51.000Z"
}
8:{5 items
"url":"autodesk.com"
"domain":"autodesk.com"
"name":"s_dlv"
"value":"•••••••••••••"
"expiry":"2024-10-27T04:35:12.000Z"
}
9:{5 items
"url":"www.nvidia.com"
"domain":"nvidia.com"
"name":"_gd_svisitor"
"value":"••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-26T08:21:59.000Z"
}
10:{5 items
"url":"www.nvidia.com"
"domain":"nvidia.com"
"name":"wingify_donot_track_actions"
"value":"•"
"expiry":"2049-03-23T05:01:56.000Z"
}
11:{5 items
"url":"nvidia.com"
"domain":"nvidia.com"
"name":"AMCV_F207D74D549850760A4C98C6%40AdobeOrg"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-05T05:01:24.000Z"
}
12:{5 items
"url":"battle.net"
"domain":"battle.net"
"name":"remember.auth.permit.bc431fc529d58f19"
"value":"••••"
"expiry":"2089-10-02T08:31:33.000Z"
}
13:{5 items
"url":"www.nvidia.com"
"domain":"nvidia.com"
"name":"nvweb_A"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2069-09-27T03:00:47.000Z"
}
14:{5 items
"url":"www.nvidia.com"
"domain":"nvidia.com"
"name":"_wingify_pc_uuid"
"value":"••••••••••••••••••••••••••••••••"
"expiry":"2049-03-23T05:11:36.000Z"
}
15:{5 items
"url":"accounts.google.com"
"domain":"google.com"
"name":"__Host-GAPS"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-26T07:35:45.000Z"
}
16:{5 items
"url":"www.nvidia.com"
"domain":"nvidia.com"
"name":"_gd_visitor"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-26T08:21:59.000Z"
}
17:{5 items
"url":"intel.com"
"domain":"intel.com"
"name":"AMCV_AD2A1C8B53308E600A490D4D%40AdobeOrg"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-05T05:54:50.000Z"
}
18:{5 items
"url":"autodesk.com"
"domain":"autodesk.com"
"name":"adsk_ccpa_guid"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T04:03:16.000Z"
}
19:{5 items
"url":"forums.autodesk.com"
"domain":"autodesk.com"
"name":"_gd_svisitor"
"value":"••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T04:35:12.000Z"
}
20:{5 items
"url":"nvidia.com"
"domain":"nvidia.com"
"name":"s_ecid"
"value":"••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-05T09:41:07.000Z"
}
21:{5 items
"url":"hp.com"
"domain":"hp.com"
"name":"s_ecid"
"value":"••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-08T07:48:05.000Z"
}
22:{5 items
"url":"battle.net"
"domain":"battle.net"
"name":"_ga"
"value":"•••••••••••••••••••••••••••"
"expiry":"2023-11-15T06:27:40.000Z"
}
23:{5 items
"url":"autodesk.com"
"domain":"autodesk.com"
"name":"_mkto_trk"
"value":"••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T04:04:19.000Z"
}
24:{5 items
"url":"adobe.com"
"domain":"adobe.com"
"name":"SETTINGS.LOCALE"
"value":"•••••••"
"expiry":"2051-10-15T09:41:19.000Z"
}
25:{5 items
"url":"nvidia.com"
"domain":"nvidia.com"
"name":"mbox"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-07T09:41:07.000Z"
}
26:{5 items
"url":"facebook.com"
"domain":"facebook.com"
"name":"sb"
"value":"••••••••••••••••••••••••"
"expiry":"2023-11-17T09:34:36.000Z"
}
27:{5 items
"url":"forums.autodesk.com"
"domain":"autodesk.com"
"name":"_gd_visitor"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T04:35:12.000Z"
}
28:{5 items
"url":"chrome.google.com"
"domain":"google.com"
"name":"__utma"
"value":"••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-05T08:40:15.000Z"
}
29:{5 items
"url":"google.com"
"domain":"google.com"
"name":"_ga"
"value":"•••••••••••••••••••••••••••"
"expiry":"2023-11-05T05:46:59.000Z"
}
30:{5 items
"url":"adobe.com"
"domain":"adobe.com"
"name":"mbox"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-24T09:41:32.000Z"
}
31:{5 items
"url":"autodesk.com"
"domain":"autodesk.com"
"name":"_sp_id.cd78"
"value":"••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T04:35:15.000Z"
}
32:{5 items
"url":"battle.net"
"domain":"battle.net"
"name":"auth.permit.bc431fc529d58f19"
"value":"••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2089-10-02T08:31:33.000Z"
}
33:{5 items
"url":"facebook.com"
"domain":"facebook.com"
"name":"datr"
"value":"••••••••••••••••••••••••"
"expiry":"2023-11-17T04:49:48.000Z"
}
34:{5 items
"url":"autodesk.com"
"domain":"autodesk.com"
"name":"s_ecid"
"value":"••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T04:35:13.000Z"
}
35:{5 items
"url":"battle.net"
"domain":"battle.net"
"name":"web.id"
"value":"•••••••••••••••••••••••••••••••••••••••"
"expiry":"2089-10-02T08:20:49.000Z"
}
36:{5 items
"url":"intel.com"
"domain":"intel.com"
"name":"adcloud"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-06T05:54:50.000Z"
}
37:{5 items
"url":"onedrive.live.com"
"domain":"live.com"
"name":"MicrosoftApplicationsTelemetryDeviceId"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2029-12-31T21:59:59.000Z"
}
38:{5 items
"url":"autodesk.com"
"domain":"autodesk.com"
"name":"AMCV_6DC7655351E5696B0A490D44%40AdobeOrg"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T04:35:12.000Z"
}
39:{5 items
"url":"onedrive.live.com"
"domain":"live.com"
"name":"MicrosoftApplicationsTelemetryFirstLaunchTime"
"value":"•••••••••••••"
"expiry":"2029-12-31T21:59:59.000Z"
}
40:{5 items
"url":"account.battle.net"
"domain":"battle.net"
"name":"_ga"
"value":"•••••••••••••••••••••••••••"
"expiry":"2023-11-04T09:36:54.000Z"
}
41:{5 items
"url":"nvidia.com"
"domain":"nvidia.com"
"name":"_mkto_trk"
"value":"••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-05T09:41:07.000Z"
}
42:{5 items
"url":"nvidia.com"
"domain":"nvidia.com"
"name":"_hly_vid"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2031-11-03T05:01:56.000Z"
}
43:{5 items
"url":"forums.autodesk.com"
"domain":"autodesk.com"
"name":"VISITOR_BEACON"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2031-10-26T04:35:12.000Z"
}
44:{5 items
"url":"www.nvidia.com"
"domain":"nvidia.com"
"name":"drift_aid"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-26T08:22:00.000Z"
}
45:{5 items
"url":"starget.intel.com"
"domain":"intel.com"
"name":"intelcorporation!mboxPC"
"value":"•••••••••••••••••••••••••••••••••••••"
"expiry":"2023-11-07T05:54:50.000Z"
}
46:{5 items
"url":"www.autodesk.com"
"domain":"autodesk.com"
"name":"_gd_svisitor"
"value":"••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-28T04:03:18.000Z"
}
47:{5 items
"url":"translate.google.com"
"domain":"google.com"
"name":"_ga"
"value":"••••••••••••••••••••••••••"
"expiry":"2023-11-17T08:07:01.000Z"
}
48:{5 items
"url":"autodesk.com"
"domain":"autodesk.com"
"name":"mbox"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-30T04:04:17.000Z"
}
49:{5 items
"url":"eu.battle.net"
"domain":"battle.net"
"name":"_ga"
"value":"•••••••••••••••••••••••••••"
"expiry":"2023-11-04T09:40:31.000Z"
}
50:{5 items
"url":"www.nvidia.com"
"domain":"nvidia.com"
"name":"driftt_aid"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2023-10-26T08:22:00.000Z"
}
51:{5 items
"url":"battle.net"
"domain":"battle.net"
"name":"_cd_cid"
"value":"•••••••••••••••••••••••••••"
"expiry":"2023-11-15T06:27:37.000Z"
}
52:{5 items
"url":"eu.shop.battle.net"
"domain":"battle.net"
"name":"_ga"
"value":"•••••••••••••••••••••••••••"
"expiry":"2023-11-15T06:27:37.000Z"
}
53:{5 items
"url":"autodesk.com"
"domain":"autodesk.com"
"name":"_ga"
"value":"••••••••••••••••••••••••••"
"expiry":"2023-10-28T04:35:14.000Z"
}
]
"date_compromised":"2021-11-18T05:36:25.000Z"
"credentials":[4 items
0:{5 items
"type":"client"
"url":"••••••••••••••••••••••"
"domain":"izisrs.org"
"username":"••••••"
"password":"••••••••••••••"
}
1:{5 items
"type":"client"
"url":"••••••••••••••••••••••••"
"domain":"izisrs.org"
"username":"••••••"
"password":"••••••••••••••"
}
2:{5 items
"type":"client"
"url":"••••••••••••••••••••••••"
"domain":"izisrs.org"
"username":"••••••"
"password":"••••••••••••••"
}
3:{5 items
"type":"client"
"url":"•••••••••••••••••••••••••••"
"domain":"izisrs.org"
"username":"••••••"
"password":"••••••••••••••"
}
]
"stealer":"••••••••••••••••••••••••••••••••"
"employeeAt":[1 item
0:"••••••••"
]
"clientAt":[]0 items
"ip":"••••••••••••••"
"malware_path":"••••••••••••••••••••••••••••••••••••••••••••••"
}
There is no patch for stupidity - Kevin Mitnick
Find
Reply
VincaSec Offline
Senior Member
****
Posts: 434
Threads: 225
Joined: Oct 2023
Reputation: 156
#33
02-12-2024, 11:47 PM
Code:
"date_uploaded":"2022-11-13T00:16:57.044Z"
"stealer_family":"Vidar"
"computer_name":"Z2-IR-K24-D1"
"operating_system":"Windows 10 Pro [x64]"
"antiviruses":[]0 items
"employee_session_cookies":[12 items
0:{5 items
"url":"fonts.google.com"
"domain":"google.com"
"name":"_ga"
"value":"•••••••••••••••••••••••••••"
"expiry":"2024-04-26T04:39:39.000Z"
}
1:{5 items
"url":"www.canva.com"
"domain":"canva.com"
"name":"CDI"
"value":"••••••••••••••••••••••••••••••••••••"
"expiry":"2029-10-14T09:38:16.000Z"
}
2:{5 items
"url":"www.linkedin.com"
"domain":"linkedin.com"
"name":"bscookie"
"value":"••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-12-24T17:47:36.000Z"
}
3:{5 items
"url":"linkedin.com"
"domain":"linkedin.com"
"name":"bcookie"
"value":"••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-12-10T20:30:01.000Z"
}
4:{5 items
"url":"developers.google.com"
"domain":"google.com"
"name":"_ga_devsite"
"value":"•••••••••••••••••••••••••••"
"expiry":"2023-12-23T11:11:03.000Z"
}
5:{5 items
"url":"accounts.google.com"
"domain":"google.com"
"name":"__Host-GAPS"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-12-02T10:58:11.000Z"
}
6:{5 items
"url":"google.com"
"domain":"google.com"
"name":"__utma"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2024-02-03T10:02:06.000Z"
}
7:{5 items
"url":"developers.google.com"
"domain":"google.com"
"name":"_ga"
"value":"•••••••••••••••••••••••••"
"expiry":"2023-12-23T11:11:03.000Z"
}
8:{5 items
"url":"facebook.com"
"domain":"facebook.com"
"name":"datr"
"value":"••••••••••••••••••••••••"
"expiry":"2024-07-20T08:43:06.000Z"
}
9:{5 items
"url":"facebook.com"
"domain":"facebook.com"
"name":"sb"
"value":"••••••••••••••••••••••••"
"expiry":"2024-07-20T08:43:05.000Z"
}
10:{5 items
"url":"adobe.com"
"domain":"adobe.com"
"name":"AMCV_D6FAAFAD54CA9F560A4C98A5%40AdobeOrg"
"value":"•••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••"
"expiry":"2023-12-24T06:10:01.000Z"
}
11:{5 items
"url":"google.com"
"domain":"google.com"
"name":"CONSENT"
"value":"•••••••••••"
"expiry":"2024-07-18T03:56:27.000Z"
}
]
"date_compromised":"2022-10-21T12:37:42.000Z"
"credentials":[1 item
0:{5 items
"type":"client"
"url":"••••••••••••••••••••••••••••"
"domain":"izisrs.org"
"username":"Not Found"
"password":"•••••••••••••••"
}
]
"stealer":"••••••••••••••••••••••••••••••••"
"employeeAt":[2 items
0:"••••••••••••••••••"
1:"••••••••••••"
]
"clientAt":[]0 items
"ip":"•••••••••••••"
"malware_path":"••••••••••••••••••••••••••••••••••••••••••••••••••"
}


Code:
"date_uploaded":"2021-03-20T16:40:47.000Z"
"stealer_family":"Generic Stealer"
"computer_name":"DZTRNOVO-R2"
"operating_system":"Windows 10 Pro [x64]"
"antiviruses":[]0 items
"employee_session_cookies":NULL
"date_compromised":"2021-02-17T12:37:18.000Z"
"credentials":[4 items
0:{5 items
"type":"client"
"url":"••••••••••••••••••••••••••"
"domain":"izisrs.org"
"username":"•••••••"
"password":"•••••••••••••••"
}
1:{5 items
"type":"client"
"url":"••••••••••••••••••••••••••"
"domain":"izisrs.org"
"username":"••••••••"
"password":"••••••••••••••••"
}
2:{5 items
"type":"client"
"url":"••••••••••••••••••••••••••"
"domain":"izisrs.org"
"username":"••••••"
"password":"••••••••••••••"
}
3:{5 items
"type":"client"
"url":"•••••••••••••••••••••••••••"
"domain":"izisrs.org"
"username":"••••••"
"password":"••••••••••••••"
}
]
"stealer":"•••••••••••••••••••••••••••••"
"employeeAt":[]0 items
"clientAt":[2 items
0:"••••••••••"
1:"••••••••••"
]
"ip":"••••••••••••••"
"malware_path":"••••••••••••••••••••••••••••••••••••••••••••"
}
]
There is no patch for stupidity - Kevin Mitnick
Find
Reply
kernel_priest Offline
kernel_priest
***
Posts: 131
Threads: 38
Joined: Sep 2022
Reputation: 22
#34
02-13-2024, 12:17 PM
Dobri podaci, zanimljivo.
Ima jos toga ako se sjecam - posto imaju pristupi doktora i drugih.
Aplikacija nije nikad testirana na napada/propuste.
Find
Reply
kernel_priest Offline
kernel_priest
***
Posts: 131
Threads: 38
Joined: Sep 2022
Reputation: 22
#35
02-24-2024, 06:35 AM (This post was last modified: 02-24-2024, 09:53 AM by kernel_priest.)
Prema rijecima ljudi koji su bili prisutni/imaju neke info: Napadaci su bili u sistemu FZO/IZISa nekoliko mjeseci, krece se od 7 do 11 mjeseci
Za taj period rekao bih mogli su uraditi sta su htjeli
Po ovome, rijec je o manje poznatoj grupi "Black Turtle" (nema nekih CTI)

Ransomware nota koja je objavljena na racunarima (slika, preuzeto sa www[.]beforecrypt[.]com/en/unveiling-black-turtle-ransomware-new-threat-in-cyber-extortion/)

Po ovome sto pise i sa informacijom koliko dugo su bili - nema rijeci da je bilo "slucajno" , "omanji napad" kako su nam saopstili pojedini "strucnjaci"
Uzmite jos curenja informacija, nebrigu o sigurnosti.

Jos nesto zanimljivo: IZIS ORG i BRANKOPETROVIC BLOG - koriste istog web hostera. Razlika izmedju te dvije domene je bukv samo zadnji broj, gdje je IZIS ORG 185[.]212[.]108[.]5 dok je Petrovicev blog 185[.]212[.]108[.]4
IZIS . ORG je kupljena domena 2020 9 avgusta, dok je blog domena kupljena 2021 jun 18
IZIS org je prebacena 2021 aprila 21 na hostera u Travniku, Blog Petrovica 2021 avgust 25
Opet mozda je slucajnost

Onako jedna zanimljivost. Kolika je sansa da je nepovezano da jedna firma iz Travnika (???) daje usluge hostovanja FZO i "strucnjaku" (ujedno vlasnik i kripto mjenjacnice) i da u isto vrijeme doticni trazi informacije i napada mene - procjenite sami.

Zanimljiv detalj Smile


Attached Files Image(s)
   
Find
Reply
kernel_priest Offline
kernel_priest
***
Posts: 131
Threads: 38
Joined: Sep 2022
Reputation: 22
#36
03-13-2024, 01:40 PM (This post was last modified: 03-13-2024, 02:12 PM by kernel_priest.)
Nasao sam driver za citace pametnih kartica na sajtu FZO
U upustvu sam nasao sifru (mmscode) za instalaciju istog

Aplikacija koristi innosetup(www.innosetup.com i www.jrsoftware.org)  i https://www.remobjects[.]com/ps.aspx
Unutar istog imate RC4 PRGA, Delphi random generator

Aplikacija komunicira sa privatnom adresom unutar domova zdravlja / bolnica (posto nema segregacije moguce je doci do nje) kako bi se program "licencirao"


Takodje kacim upitnik FZO za IZIS koji je kreiran 2016 u Srbiji dok je IZIS pusten u rad 2020/2021
Na brzinu je prepravljen da moze da sluzi za potrebe FZO Srpske (ekavica -> ijekavica, ime agencije etc)

EDIT: Aplikacija iz nepoznatih razloga komunicira sa tse1[.]mm[.]bing[.]net putem DNS-a
Takodje aplikacija iz opet nepoznatih razloga komunicira sa:
192.229.211[.]108:80 (TCP)
20.99.133[.]109:443 (TCP)
20.99.185[.]48:443 (TCP)
20.99.186[.]246:443 (TCP)
23.34.172[.]72:443

Da li su legitimne komunikacije ili ne - ne znam al siguran sam da iz medicinskog sektora nisu potrebne ovakve stvari.

Bukvalno receno: Programeri su skinuli sa interneta aplikaciju za kreiranje setup-a bez neke provjere da li je aplikacija ok il ne.


Attached Files Image(s)
           
Find
Reply
milos_rs Offline
Super Moderator
******
Posts: 415
Threads: 108
Joined: Sep 2022
Reputation: 294
#37
03-13-2024, 03:54 PM (This post was last modified: 03-13-2024, 03:54 PM by milos_rs.)
tse1[.]mm[.]bing[.]net - izgleda da je nešto microsoftovo za serviranje thumbnails od slika sa pretrage
192.229.211[.]108 - edgecast CDN, moguće da je Digicert provera OCSP statusa sertifikata
20.99.185[.]48 - verovatno .NET SDK and .NET CLI telemetry
20.99.186[.]246 - Microsoft, ne znam za šta
23.34.172[.]72 - Akamai, opet nešto od M$

deluje mi da je sve ovo verovatno legitimno, i pitanje je da li komunikaciju pokreće sama aplikacija ili OS, ne znam da li si koristio Wireshark za capture ili samo za pregled ali na žalost ne može da izoluje rezultate po PIDu, za to se moraju koristiti drugi alati
Find
Reply
kernel_priest Offline
kernel_priest
***
Posts: 131
Threads: 38
Joined: Sep 2022
Reputation: 22
#38
03-13-2024, 06:30 PM (This post was last modified: 03-13-2024, 06:33 PM by kernel_priest.)
(03-13-2024, 03:54 PM)milos_rs Wrote: tse1[.]mm[.]bing[.]net - izgleda da je nešto microsoftovo za serviranje thumbnails od slika sa pretrage
192.229.211[.]108 - edgecast CDN, moguće da je Digicert provera OCSP statusa sertifikata
20.99.185[.]48 - verovatno .NET SDK and .NET CLI telemetry
20.99.186[.]246 - Microsoft, ne znam za šta
23.34.172[.]72 - Akamai, opet nešto od M$

deluje mi da je sve ovo verovatno legitimno, i pitanje je da li komunikaciju pokreće sama aplikacija ili OS, ne znam da li si koristio Wireshark za capture ili samo za pregled ali na žalost ne može da izoluje rezultate po PIDu, za to se moraju koristiti drugi alati

Evo pregledao sam pcap od datog procesa i nema ovih poziva. Samo prema pvt ip i portu (sluzi da bi se licencirao app)
Pozivi su prilikom pokretanja setup-a (aplikacija za citac se pokrece kasnije)
Najjace mi je postojanje RC4 enkripcije (saetup, ima sfira) al kontam da je to zbog zastite fajlova (da se ne raspakuju lako)
Find
Reply


Forum Jump:


Users browsing this thread: 2 Guest(s)