05-11-2023, 01:57 PM
Ovo je staro, ali mislim da je vredno spomenuti, izgleda da je postojao lažan sajt euprava.gov.rs, a domen je bio euprava-gov-rs.org.
Izvor (27.7.2022): https://twitter.com/csernikmarton/status...6567601154, arhivirano: https://archive.ph/Ef7pL.
Istražio sam malo dalje i Alien Vault je registrovao ovo kao DGA (domain generation algorithm) domain u periodu od 04.12.2021 do 08.06.2022. Detalji: https://otx.alienvault.com/indicator/dom...gov-rs.org. IP adresa gde je bio phishing hostovan je 5.9.79.52, zemlja Nemačka, provajder Hetzner.
Ako istražimo dalje videćemo da se na toj IP hostuje (ili se hostovalo pre) još sličnih domena: euprava-gov-rs.org, euprava-gov-rs.top, eupravagov.rs.
Izvor: https://otx.alienvault.com/indicator/ip/5.9.79.52. Arhiviran: euprava-gov-rs.top, https://archive.ph/97v6V.
![[Image: attachment.php?aid=894]](https://bezbedanbalkan.net/attachment.php?aid=894)
Drugi zanimljivi domen koji se spominje je rfza.rs.
Iz WHOIS podataka nisam uspeo da izvučem ništa bitno. Zanimljivo je da ima i .RS domen tj. eupravagov.rs. Postavlja se pitanje kako je neko mogao da registruje takav domen, da li je ukrao nečije podatke ili je našao propust u nekom od registra? Da li su ovo testni, honeypot ili maliciozni domeni?
Zanimljivo je i da VirusTotal (https://www.virustotal.com/gui/url/b43d7...1d/details) pokazuje detalje koji otkrivaju da sajt imitira hedere koji se nalaze i na pravom sajtu (x-powered-by: OrchardCore, ASP.NET, dok se server razlikuje).
![[Image: attachment.php?aid=893]](https://bezbedanbalkan.net/attachment.php?aid=893)
Ako neko ima više detalja o ovom slučaju molim Vas podelite.
Izvor (27.7.2022): https://twitter.com/csernikmarton/status...6567601154, arhivirano: https://archive.ph/Ef7pL.
Istražio sam malo dalje i Alien Vault je registrovao ovo kao DGA (domain generation algorithm) domain u periodu od 04.12.2021 do 08.06.2022. Detalji: https://otx.alienvault.com/indicator/dom...gov-rs.org. IP adresa gde je bio phishing hostovan je 5.9.79.52, zemlja Nemačka, provajder Hetzner.
Ako istražimo dalje videćemo da se na toj IP hostuje (ili se hostovalo pre) još sličnih domena: euprava-gov-rs.org, euprava-gov-rs.top, eupravagov.rs.
Izvor: https://otx.alienvault.com/indicator/ip/5.9.79.52. Arhiviran: euprava-gov-rs.top, https://archive.ph/97v6V.
Drugi zanimljivi domen koji se spominje je rfza.rs.
Iz WHOIS podataka nisam uspeo da izvučem ništa bitno. Zanimljivo je da ima i .RS domen tj. eupravagov.rs. Postavlja se pitanje kako je neko mogao da registruje takav domen, da li je ukrao nečije podatke ili je našao propust u nekom od registra? Da li su ovo testni, honeypot ili maliciozni domeni?
Zanimljivo je i da VirusTotal (https://www.virustotal.com/gui/url/b43d7...1d/details) pokazuje detalje koji otkrivaju da sajt imitira hedere koji se nalaze i na pravom sajtu (x-powered-by: OrchardCore, ASP.NET, dok se server razlikuje).
Ako neko ima više detalja o ovom slučaju molim Vas podelite.
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV
