Dark Web analiza airserbia.com

[VincaSec]

   

   

   

   

   

   

   

   

   

   

---

   

[1van]

Dakle pronađeni su logovi za kompromitovane osobe koje pristupaju:

airserbia.com 104.22.71.122 104.22.70.122 172.67.23.109
extranet.airserbia.com 91.194.217.24
webaccess.airserbia.com 91.194.217.13
mail.airserbia.com 212.200.12.4
booking.airserbia.com 45.60.44.204

fms.omega.rs 95.217.196.66
omega.rs 46.4.95.244

Aerodrom navodno štiti rešenje opisano ovde: "AST rešenje otkriva detalje svojih klijenata".

A ovaj fms.omega.rs/airserbia/ je izgleda razvojni server.

   

[1van]

Ovaj Stealer log sa SOCRadar je zanimljiv, spaja ovaj razvojni server i razne druge iz avio industrije:

Infected Device - Accounts for "fms.omega.rs" were observed for sale on the Russian Market, On Jul 12, 2023

{
    "country": "RS",
    "date": "2023.07.10",
    "files": "archive.zip",
    "id": "11521210",
    "isp": "Serbia Broadband",
    "links": [
        "accounts.firefox.com",
        "accounts.google.com",
        "192.168.100.1",
        "192.168.100.1",
        "ekupi.rs",
        "passport.aliexpress.com",
        "hb.posted.co.rs",
        "eon.tv",
        "webmail.sbb.rs",
        "hb.posted.co.rs",
        "euprava.gov.rs",
        "mojsbb.rs",
        "192.168.0.1",
        "fms.omega.rs",
        "mojsbb.rs",
        "192.168.2.1",
        "twitter.com",
        "moj.mts.rs",
        "acars.prod.sabre.com",
        "newextranet.airserbia.com",
        "extranet.jat.com",
        "e-airportslots.aero",
        "trainingzone.eurocontrol.int",
        "extranet.jat.com",
        "moj.mts.rs",
        "elitesecurity.org",
        "elitemadzone.org",
        "hb.posted.co.rs",
        "gateway.hbogo.eu",
        "esanduce.rs",
        "kk-machine-1.herokuapp.com",
        "192.168.100.1",
        "passport.alibaba.com",
        "login.aliexpress.ru",
        "webaccess.airserbia.com",
        "login.tidal.com",
        "ekupi.me",
        "aliexpress.com",
        "saas2.aims.aero",
        "eon.tv",
        "192.168.100.1",
        "edukacije.acas.rs",
        "accounts.google.com",
        "gigatron.rs",
        "play.hbomax.com",
        "myidtravel.com",
        "saas3.aims.aero",
        "moj.mtel.me",
        "kupujemprodajem.com",
        "login.microsoftonline.com",
        "login.live.com",
        "192.168.1.1",
        "mwlogin.net",
        "skycom.rs",
        "portal.edb.rs",
        "jakov.rs"
    ],
    "outlook": "-",
    "price": "10.00",
    "province": "Belgrade",
    "size": "0.44Mb",
    "stealer": "risepro ",
    "vendor": "nn####an [Diamond]"
}

[1nc0llab]

acars.prod.sabre.com ima potpuno smisla, jer je Sabre jedan od 3 globalna GDS sistema.

[1van]

Ima smisla kako tačno? Čime se bavi osoba koja je kompromitovana? Ko treba da pristupa svim ovim URL-ovima?

[1nc0llab]

Previdio sam omega.rs domen Moja greška.

Ali, u pravilu... AirSerbia je u stalnoj komunikaciji sa GDS-om, tj sa Sabre-om (što preko API-ja, što offline - ručno), da bi im sistem uopšte pravilno funkcionisao.

[1van]

Nisi ništa pogrešio, samo gledamo jel možemo da zaključimo još nešto

[1nc0llab]

Inače se bavim web aplikacijama iz avio-branše, pa znam ponešto i o ovome.

Sve avionske karte kupljene bilo gdje na internetu moraju proći kroz "approval" od strane jednog od 3 najveća GDS-a koji pokrivaju 95% tržista svijeta. To su Amadeus, Sabre i TravelPort. Ovaj proces se dosta ručno odrađuje (karikiram, ali nekada doslovno stoji negdje neka teta i klika approve). Proces je dosta staromodan, jer datira iz 60ih godina, i mnoge kompanije pokušavaju da modernizuju čitav proces, ali je sistem prevelik i doslovno je nemoguće zamijeniti i preko noći preswichati sve.

[1van]

Da potvrdimo da je SOC/SIEM rešenje odavde (Oktacron, AST): "AST rešenje otkriva detalje svojih klijenata".

   

   

[1van]

Još jedan zanimljiv slučaj potencijalno povezan sa Oktacron kompanijom: Dark Web analiza rgz.gov.rs.