Login

iznogud · (This post was last modified: 02-02-2023, 10:22 PM by iznogud.)

mnogo cudna prica..
znamo da im dmarc nije podesen ..

na sajtu su okacili gomile mailova i kontakt imena sto nikako nije dobro...pristup zimri panelu je moguc bez ogranicenja u pokusajima login... nesto mi se ne cecka po pitanju ranjivosti..
ali kada sam skenirao ip adresu 212.200.253.238
https://bazaar.abuse.ch/sample/fbe53f92a...0284c59af/

https://www.abuseipdb.com/check/212.200.253.238

vidi se da je i ranjije prijavljivana ide do feb. 2021 godine cak uz upotrebu vise jezika a ne samo srpskog..
ako neko ima vremena da isprati istoriju malwera kao i formi maila koje su koriscene moglo bi da nas dovede do negde

1van

Pa katastrofa, ne znam šta drugo da kažem... arhivirano: https://archive.ph/Yv8e1.

[Image: attachment.php?aid=543]

iznogud · 02-02-2023, 11:09 PM

nekako kada bismo sabrali sve.... uz cinjenicu da se mailovi sa mojdoktor.gov.rs domena zlupotrebljavaju preko godinu dana pre bih rekao da je u pitanju neki vid spoofinga, mada bilo bi korisno kada bismo imali zvanicnu potvrdu da su mailovi validni i da su u zvanicnoj upotrebi.
nekako mi nije logicno da neko ima pristup bazi ili nekolicini mail adresa vise od dve godine i ih "samo" koristi za slanje mailova cilju sirenja malware... da imaju pristup DB verovatno bi okacili odredjene podatke na neki od foruma...

1van · 02-03-2023, 12:20 AM

Da, čudno je da sve tako dugo traje, ali IP adresa je sa njihovog mejl servera. Možda ima još nešto što izlazi preko te IP, ili je neka aplikacija kompromitovana.

Ali i da je spoofing u pitanju, i da adrese/nalozi ne postoje, svakako je ogroman problem, jer su u pitanju izuzetno osetljivi podaci koji se mogu pribaviti ovim tehnikama.

1van

Mejl [email protected] i IP 212.200.253.238 se spominju 2020. godine i ovde (CSIRT Čile): https://www.csirt.gob.cl/media/2020/12/1...083-01.pdf.

1van

Još jedna zanimljivost je da kada se Googla "[email protected]" sa još nekim terminima, može se doći do više test url-ova (sub domena) gde je dostupan ovaj isti web sajt a na sorsix.com domenu (firma koja je izradila sistem). Verovatno slično postoji i za API-e mobilne aplikacije. Možda su oni kompromitovani.

***y0d4*** · 02-03-2023, 11:44 AM

koliko je suludo da to traje par dina, vise bih voleo da je neko svesno ovo omogucio i da odrzava pristup za takve stvari nego da je toliki bol u ....
Nemoguce da niko za ove godine nije prijavio, primetio da je adresa na spam listama, da ima neko salje na abuse i td.
Imao bih razumevanja da je u pitanju par meseci.....

1van

Čudni rezultati Google pretrage:

[Image: attachment.php?aid=558]

Na ovim domenima (movimientolaola.es i restaurantlepetitchaudron.fr) ima gomila random generesanih sub domena sa raznim vrstama prevara.

1van · 02-04-2023, 09:11 PM

Analiza zaglavlja mejla koji je stigao sa [email protected], izgleda da mejlovi stižu kroz kompromitovane WebMail naloge:

[Image: attachment.php?aid=561]

iznogud · 02-04-2023, 10:19 PM

zimbra relay

https://forums.zimbra.org/viewtopic.php?t=65034

https://wiki.zimbra.com/wiki/Best_Practi..._and_DMARC

Login
Username/Email:
Password:	Lost Password?
	Remember me