09-03-2023, 09:12 AM
(This post was last modified: 09-03-2023, 12:09 PM by 1van.
Edit Reason: Ubačeni detalji.
)
Na crnom tržištu uočili smo da se prodaju OWA nalozi za minljmpdd.gov.rs (Ministarstvo za ljudska i manjinska prava i društveni dijalog):
Ova ponuda pojavila se 04.08.2023, i nema dodatne detalje o kompromitovanim nalozima. Ako istražimo dalje, IP na kojoj se hostuje ovaj veb sajt je 195.222.99.250, to je CDN Kancelarije za informacione tehnologije i elektronsku upravu (iza koje se nalazi gomila sajtova).
Ako pogledamo VirusTotal: https://www.virustotal.com/gui/ip-addres.../detection za ovu IP videćemo da je bilo detekcija pre 25 dana, tj. u isto vreme kada se pojavila i ova ponuda na crnom tržištu.
Zatim OTX AlienVault ima skorašnje detekcije: https://otx.alienvault.com/indicator/ip/195.222.99.250
Greynoise takođe detektuje aktivnosti sa ove IP: https://viz.greynoise.io/ip/195.222.99.250
Dalje ako proverimo SPF za ovaj domen: https://mxtoolbox.com/SuperTool.aspx?act...n=toolpage, dobićemo sledeće IP adrese:
- 195.222.96.10, Kancelarija za ITE Srbija
- 37.187.118.58, OVH SAS France ???
- 195.222.99.221, Kancelarija za ITE Srbija
- 195.222.99.222, Kancelarija za ITE Srbija
A ako zatim proverimo aktivnosti ovih IP adrese dobijemo sledeće:
- 195.222.99.221, zadnja aktivnost 14.02.2023: https://threatbook.io/ip/195.222.99.221
- 195.222.99.222, zadnja aktivnost 14.02.2023: https://threatbook.io/ip/195.222.99.222
Nakon ovih detalja možemo da zaključimo da je neki server (virtuelna instanca) koji koristi ovaj CDN (hosting i mejl) definitivno kompromitovan. I da je uzeći u obzir prethodne nalaze koje smo imali, a koji su dokazali da su mejlovi stvarno kompromitovani, možemo da zaključimo da je i ovo stvaran incident.
Ova ponuda pojavila se 04.08.2023, i nema dodatne detalje o kompromitovanim nalozima. Ako istražimo dalje, IP na kojoj se hostuje ovaj veb sajt je 195.222.99.250, to je CDN Kancelarije za informacione tehnologije i elektronsku upravu (iza koje se nalazi gomila sajtova).
Ako pogledamo VirusTotal: https://www.virustotal.com/gui/ip-addres.../detection za ovu IP videćemo da je bilo detekcija pre 25 dana, tj. u isto vreme kada se pojavila i ova ponuda na crnom tržištu.
Zatim OTX AlienVault ima skorašnje detekcije: https://otx.alienvault.com/indicator/ip/195.222.99.250
Greynoise takođe detektuje aktivnosti sa ove IP: https://viz.greynoise.io/ip/195.222.99.250
Dalje ako proverimo SPF za ovaj domen: https://mxtoolbox.com/SuperTool.aspx?act...n=toolpage, dobićemo sledeće IP adrese:
- 195.222.96.10, Kancelarija za ITE Srbija
- 37.187.118.58, OVH SAS France ???
- 195.222.99.221, Kancelarija za ITE Srbija
- 195.222.99.222, Kancelarija za ITE Srbija
A ako zatim proverimo aktivnosti ovih IP adrese dobijemo sledeće:
- 195.222.99.221, zadnja aktivnost 14.02.2023: https://threatbook.io/ip/195.222.99.221
- 195.222.99.222, zadnja aktivnost 14.02.2023: https://threatbook.io/ip/195.222.99.222
Nakon ovih detalja možemo da zaključimo da je neki server (virtuelna instanca) koji koristi ovaj CDN (hosting i mejl) definitivno kompromitovan. I da je uzeći u obzir prethodne nalaze koje smo imali, a koji su dokazali da su mejlovi stvarno kompromitovani, možemo da zaključimo da je i ovo stvaran incident.
“If you think you are too small to make a difference, try sleeping with a mosquito.” - Dalai Lama XIV