https://twitter.com/protivdictature/stat...3568352257
Videh ovaj tvit i prvo što mi palo na pamet je kako ovo liči na profesionalnu i ciljanu phishing kampanju, onakve kakve smo videli da rade NSO Pegasus, Intellexa (bivši Cytrox) Predator i drugi. Dakle ovaj skrinšot je važan:
Pre nego nastavim, ovo je sve zasnovano na spekulaciji, jer opipljivih dokaza nemam. Pročitajte prvo šta sam pisao na twitteru https://twitter.com/milos_rs_/status/167...5235463169
ovde će biti neki dodatni tehnički detalji...
Kada sam probao da odem na domen 09.07 uveče, video sam da ne radi, u DNS-u sam proverio da uopšte ne postoji A-record za domen. Onda sam pokušao preko gugla da nešto saznam i našao ostale domene koje sam spomenuo na twitteru.
E sad, istorijski sam našao da je domen dnevnidogadjaji[.]com bio usmeren na Cloudflare:
izgleda da je neko u brzini i panici kada je onaj twitter nalog objavio skrinšot, pod pretpostavkom da link nije kliknut, sklonio A rekorde odmah, a posle, 10/07 je domen usmeren na parking stranicu domen registratora, tj:
ovo je česta taktika korišćena u visoko cilijanim napadima, gde se domen aktivira samo da se odradi phishing kampanja i onda da se uklone tragovi da bi se otežao posao istraživačima, kao i da se domen skloni sa vidika dok ne traje kampanja, otežavajući otkrivanje. Uglavnom sada je domen usmeren na parking stranicu od namecheap registra, kao što je i allfilebox.com, mislim da za ova dva domena mogu reći da su gotovo sigurno povezana jer je DNS i ostalo previše sličan, za ostale ne mogu biti toliko siguran ali mislim da su sumnje opravdane.
Za druge domene koji možda nisu povezani sa ovom kampanjom ali su možda povezani sa špijunskim softverom koji je upotrebljen, je malo drugačija situacija:
Vidimo cloudflare i na ovima, kao što je bio i na onom prvobitnom, i vidimo imena domena koja su tematski slična i pogodna za phishing.
Datumi registracije domena su šareni, moguće je takođe da su ovi domeni registrovani prvobitno od nekih domain squattera pa da su otkupljeni, to bi možda i objasnilo zašto sam našao u google kešu kao i internet arhivi tragove stranica sa besmislenim tekstovima, pogodnim za SEO. To mi je još jedna teorija o domenima.
dnevnidogadjaji.com Creation Date: 2021-10-04T10:48:28.00Z
opinionnews.org Creation Date: 2022-03-21T12:37:44Z
allfilebox.com Creation Date: 2022-04-05T11:48:12.00Z
cvonlinedata.net Creation Date: 2021-11-09T12:34:59Z
message-medical.com Creation Date: 2022-02-15T11:04:21Z
Gledao sam i na crt.sh gde se vidi da svi domeni prate nekako sličan tok kod kog su izdavača sertifikata vadili sertifikat, više izdavača je promenjeno tokom godina, otprilike u istim trenucima za neke od ovih domena.
Uglavnom, mislim da su mi sumnje opravdane, ali teško je bilo šta dokazati, kad bi znali šta se desilo nakon kliktanja na onaj link, gde je preusmereno, koji dropper je korišćen, detalji C2, imali bi nešto, ovako samo mogu da spekulišem.
Videh ovaj tvit i prvo što mi palo na pamet je kako ovo liči na profesionalnu i ciljanu phishing kampanju, onakve kakve smo videli da rade NSO Pegasus, Intellexa (bivši Cytrox) Predator i drugi. Dakle ovaj skrinšot je važan:
Pre nego nastavim, ovo je sve zasnovano na spekulaciji, jer opipljivih dokaza nemam. Pročitajte prvo šta sam pisao na twitteru https://twitter.com/milos_rs_/status/167...5235463169
ovde će biti neki dodatni tehnički detalji...
Kada sam probao da odem na domen 09.07 uveče, video sam da ne radi, u DNS-u sam proverio da uopšte ne postoji A-record za domen. Onda sam pokušao preko gugla da nešto saznam i našao ostale domene koje sam spomenuo na twitteru.
E sad, istorijski sam našao da je domen dnevnidogadjaji[.]com bio usmeren na Cloudflare:
izgleda da je neko u brzini i panici kada je onaj twitter nalog objavio skrinšot, pod pretpostavkom da link nije kliknut, sklonio A rekorde odmah, a posle, 10/07 je domen usmeren na parking stranicu domen registratora, tj:
Code:
dnevnidogadjaji.com has address 162.255.119.26
dnevnidogadjaji.com mail is handled by 20 eforward5.registrar-servers.com.
dnevnidogadjaji.com mail is handled by 15 eforward4.registrar-servers.com.
dnevnidogadjaji.com mail is handled by 10 eforward1.registrar-servers.com.
dnevnidogadjaji.com mail is handled by 10 eforward2.registrar-servers.com.
dnevnidogadjaji.com mail is handled by 10 eforward3.registrar-servers.com.ovo je česta taktika korišćena u visoko cilijanim napadima, gde se domen aktivira samo da se odradi phishing kampanja i onda da se uklone tragovi da bi se otežao posao istraživačima, kao i da se domen skloni sa vidika dok ne traje kampanja, otežavajući otkrivanje. Uglavnom sada je domen usmeren na parking stranicu od namecheap registra, kao što je i allfilebox.com, mislim da za ova dva domena mogu reći da su gotovo sigurno povezana jer je DNS i ostalo previše sličan, za ostale ne mogu biti toliko siguran ali mislim da su sumnje opravdane.
Za druge domene koji možda nisu povezani sa ovom kampanjom ali su možda povezani sa špijunskim softverom koji je upotrebljen, je malo drugačija situacija:
Code:
opinionnews.org has address 172.67.201.54
opinionnews.org has address 104.21.85.24
opinionnews.org has IPv6 address 2606:4700:3035::ac43:c936
opinionnews.org has IPv6 address 2606:4700:3032::6815:5518
allfilebox.com has address 192.64.119.170
allfilebox.com mail is handled by 20 eforward5.registrar-servers.com.
allfilebox.com mail is handled by 15 eforward4.registrar-servers.com.
allfilebox.com mail is handled by 10 eforward1.registrar-servers.com.
allfilebox.com mail is handled by 10 eforward2.registrar-servers.com.
allfilebox.com mail is handled by 10 eforward3.registrar-servers.com.
domainsloading.com has address 172.67.180.182
domainsloading.com has address 104.21.18.65
domainsloading.com has IPv6 address 2606:4700:3032::6815:1241
domainsloading.com has IPv6 address 2606:4700:3036::ac43:b4b6Vidimo cloudflare i na ovima, kao što je bio i na onom prvobitnom, i vidimo imena domena koja su tematski slična i pogodna za phishing.
Datumi registracije domena su šareni, moguće je takođe da su ovi domeni registrovani prvobitno od nekih domain squattera pa da su otkupljeni, to bi možda i objasnilo zašto sam našao u google kešu kao i internet arhivi tragove stranica sa besmislenim tekstovima, pogodnim za SEO. To mi je još jedna teorija o domenima.
dnevnidogadjaji.com Creation Date: 2021-10-04T10:48:28.00Z
opinionnews.org Creation Date: 2022-03-21T12:37:44Z
allfilebox.com Creation Date: 2022-04-05T11:48:12.00Z
cvonlinedata.net Creation Date: 2021-11-09T12:34:59Z
message-medical.com Creation Date: 2022-02-15T11:04:21Z
Gledao sam i na crt.sh gde se vidi da svi domeni prate nekako sličan tok kod kog su izdavača sertifikata vadili sertifikat, više izdavača je promenjeno tokom godina, otprilike u istim trenucima za neke od ovih domena.
Uglavnom, mislim da su mi sumnje opravdane, ali teško je bilo šta dokazati, kad bi znali šta se desilo nakon kliktanja na onaj link, gde je preusmereno, koji dropper je korišćen, detalji C2, imali bi nešto, ovako samo mogu da spekulišem.
