Phishing sa [email protected]

[1van]

- Originalna objava: https://twitter.com/bashgrylls/status/15...5892952070.
- VirusTotal: https://www.virustotal.com/gui/file/8757...bfad53dfe0

Hederi:

smtp.mailfrom=http://eid.gov.rs; dmarc=none action=none header.from=http://eid.gov.rs; dkim=none (message not signed); arc=none
Received: from http://pmg.med.bg.ac.rs (localhost.localdomain [127.0.0.1]) by http://pmg.med.bg.ac.rs (Proxmox) with ESMTP id 932108594A;
Received: from http://posta.med.bg.ac.rs (http://posta.med.bg.ac.rs [147.91.120.120]) by http://pmg.med.bg.ac.rs (Proxmox) with ESMTP id 75CD98591D; Thu,  8 Sep 2022 10:29:18 +0200 (CEST) Received: by http://posta.med.bg.ac.rs (Postfix, from userid 48)

Detalji:

ip:"147.91.120.120",
hostname:"http://posta.med.bg.ac.rs",
org:"AS13092 Akademska mreza Republike Srbije - AMRES",

Ova izjava Kancelarije за IT i E-Upravu može i na stub srama al neka ovde: https://twitter.com/kancelarijaITE/statu...4388560897.

[maxxa]

Prijavljeno je tagovanjem IKT kancelarije na TW (taj profil stoji u TW linku na sajtu eid.gov.rs) kao i putem emaila.
Nije poznato na koliko mail adresa je poslat email niti da li je bilo i koliko uspesnih pecanja.
Report sa any.run: https://app.any.run/tasks/af22e308-9bf3-...16cab5bcc/

[maxxa]

Dodatak: danas sam testirao tool emlAnalyzer pa sam iskoristio ovaj eml i tu video još jedan detalj:

Code:

X-PHP-Originating-Script...............................48:rcube.php
User-Agent.............................................Roundcube Webmail/1.1.1

[1van]

Izgleda kao da im se neko ulogovao na Webmail, kao admin?

[y0d4]

vidim da imaju neki leakovani nalozi za taj host, pa je moguce neki exploit(CVE-2021-44026) izvrsen, pa odatle email sa admin@..

[maxxa]

Upravo sam dobio headere iz phishing kampanje u Sloveniji, ispostavlja se da je mail došao sa istog ovog našeg servera, ali je tamo targetirana njihova policija.
 


Jože Senica: https://www.gov.si/en/state-authorities/...ze-senica/