ESET-i tooted ja uuringud on aastaid kaitsnud Ukraina IT-taristut. Alates sõja algusest 2022. aasta veebruaris oleme ära hoidnud ja uurinud märkimisväärsel hulgal Venemaaga liitunud rühmituste rünnakuid. Oleme avaldanud ka mõned kõige huvitavamad leiud WeLiveSecurity kohta:
Kuigi meie põhitähelepanu on endiselt pahavaraga seotud ohtude analüüsimine, oleme avastanud end uurimas infooperatsiooni või psühholoogilist operatsiooni (PSYOP), mis püüab ukrainlastes ja välismaal ukraina keelt kõnelevates inimestes kahtlusi tekitada.
Operatsioon Texonto
Operatsioon Texonto on desinformatsiooni/PSYOP-i kampaania, mis kasutab peamise levitamismeetodina rämpsposti. Üllataval kombel ei tundu, et kurjategijad kasutasid oma sõnumite edastamiseks levinud kanaleid nagu Telegram või võltsveebisaite. Oleme tuvastanud kaks erinevat lainet, esimene 2023. aasta novembris ja teine 2023. aasta detsembri lõpus. Meilide sisu puudutas küttekatkestusi, ravimipuudust ja toidupuudust, mis on tüüpilised Venemaa propaganda teemad.
Lisaks desinformatsioonikampaaniale oleme avastanud ka salapüügikampaania, mis oli suunatud Ukraina kaitseettevõttele 2023. aasta oktoobris ja ELi agentuurile 2023. aasta novembris. Mõlema eesmärk oli varastada Microsoft Office 365 kontode mandaate. Tänu nendes PSYOP-ides ja andmepüügioperatsioonides kasutatava võrguinfrastruktuuri sarnasustele ühendame need suure kindlustundega.
Huvitaval kombel paljastasid veel mõned pöördepunktid domeeninimed, mis on osa operatsioonist Texonto ja on seotud Venemaa siseteemadega, nagu Aleksei Navalnõi, tuntud Venemaa opositsiooniliider, kes viibis vanglas ja suri veebruaril 16th, 2024. See tähendab, et operatsioon Texonto hõlmab tõenäoliselt õngepüügi- või teabeoperatsioone, mis on suunatud Vene teisitimõtlejatele ja varalahkunud opositsiooniliidri toetajatele. Nende domeenide hulka kuuluvad:
- navalny-votes[.]net
- navalny-votesmart[.]net
- navalny-hääletamine[.]net
Võib-olla veelgi kummalisem on see, et ründajate hallatavat meiliserverit, mida kasutati PSYOP-i e-kirjade saatmiseks, kasutati kaks nädalat hiljem uuesti tavalise Kanada apteegi rämpsposti saatmiseks. See ebaseadusliku äritegevuse kategooria on Venemaa küberkuritegevuse kogukonnas olnud pikka aega väga populaarne, kuna see blogpost aastast 2011 selgitab.
Joonis 1 võtab kokku operatsiooni Texonto peamised sündmused.
Kummaline spionaaž, teabeoperatsioonid ja võltsravimid võivad meile ainult meelde tuletada Callisto, tuntud Venemaaga ühinenud küberspionaažirühmitus, kes oli teemaks süüdistus USA DoJ 2023. aasta detsembris. Callisto sihib valitsuse ametnikke, mõttekodade inimesi ja sõjaväega seotud organisatsioone õngepüügi veebisaitide kaudu, mille eesmärk on jäljendada tavalisi pilveteenuse pakkujaid. Rühm on korraldanud ka desinformatsioonioperatsioone nagu a dokumendileke vahetult enne Ühendkuningriigi 2019. aasta üldvalimisi. Lõpuks viib selle vana võrguinfrastruktuuri poole pöördumine võltsravimite domeenideni, nagu näiteks lihasfarm[.]top or ukrpharma[.]ovh.
Kuigi operatsiooni Texonto ja Callisto operatsioonide vahel on mitu kõrgetasemelist sarnasust, ei ole me leidnud tehnilist kattumist ja me ei omista praegu operatsiooni Texonto konkreetsele ohus osalejale. Arvestades aga TTP-sid, sihtimist ja sõnumite levikut, omistame selle toimingu suure usaldusväärsusega Venemaa-suunalisele rühmale.
Andmepüügikampaania: oktoober–november 2023
Ukraina suures kaitseettevõttes töötavad töötajad said 2023. aasta oktoobris andmepüügimeili, mis pärines väidetavalt nende IT-osakonnast. Meilid saadeti aadressilt see.[redacted_company_name]@gmail.com, e-posti aadress, mis on tõenäoliselt loodud spetsiaalselt selle kampaania jaoks, ja meili teema oli Запрошено утверждение:Планова інвентаризація (masintõlge ukraina keelest: nõutakse heakskiitu: planeeritud inventuur).
Meili sisu on järgmine:
У період з 02 жовтня по 13. ію та видалення поштових скриньок, що не використовуються. Якщо Ви плануєте використовувати свою поштову адресу ([redacted_address]@[redacted_company_name].com) у майбутньому, бутевресна, буде ію поштової скриньки за цим посиланням та увійдіть до системи, використовуючи свої облінкові.
Жодних додаткових дій не потрібно, Ваша поштова скринька отримає статус “підтверджений” ипудавдений і пудібно ої інвентаризації ресурсів. Якщо ця поштова адреса не використовується Вами (або її використання не планується в майбутньом), е потрібно виконувати жодних дій – поштову скриньку буде видалено автоматично 13. жовтня 2023 року.
З повагою,
Відділ інформаційних технологій.
Meili masintõlge on järgmine:
Ajavahemikul 2. oktoober kuni 13. oktoober viivad infotehnoloogia osakonna töötajad läbi plaanilise kasutuseta postkastide inventuuri ja äraveo. Kui kavatsete edaspidi kasutada oma e-posti aadressi ([redacted_address]@[redacted_company_name].com), minge sellel lingil oleva postkasti veebiversioonile ja logige sisse oma mandaati kasutades.
Täiendavaid toiminguid pole vaja teha, teie postkast saab oleku "kinnitatud" ja seda ei eemaldata ajastatud ressursside inventuuri ajal. Kui te seda meiliaadressi ei kasuta (või selle kasutamine ei ole edaspidi plaanis), siis sel juhul ei pea te midagi ette võtma – postkast kustutatakse automaatselt 13.
Parimate soovidega,
Infotehnoloogia osakond.
Meili eesmärk on meelitada sihtmärke klõpsama nupul за цим посиланням (masintõlge: sellel lingil), mis viib https://login.microsoftidonline[.]com/common/oauth2/authorize?client_id=[redacted];redirect_uri=https%3a%2f%2foutlook.office365.com%2fowa%2f&resource=[redacted]&response_mode=form_post&response_type=code+id_token&scope=openid&msafed=1&msaredir=1&client-request-id=[redacted]&protectedtoken=true&claims=%7b%22id_token%22%3a%7b%22xms_cc%22%3a%7b%22values%22%3a%5b%22CP1%22%5d%7d%7d%7d&domain_hint=[redacted]&nonce=[redacted]&state=[redacted] (osaliselt redigeeritud). See URL osutab pahatahtlikule domeenile login.microsoftidvõrgus[.]com. Pange tähele, et see domeen on ametlikule domeenile väga lähedal, login.microsoftonline.com.
Meil ei õnnestunud andmepüügilehte tuua, kuid tõenäoliselt oli see võlts Microsofti sisselogimisleht, mille eesmärk oli varastada sihtmärkide mandaate.
Teise operatsiooni Texonto domeeni jaoks choicelive149200[.]com, VirusTotali esitati kaks (üks ja kaks) URL-i jaoks https://choicelive149200[.]com/owa/auth/logon.aspx?replaceCurrent=1&url=https://hbd.eupolcopps.eu/owa/. Kahjuks ei olnud see sait analüüsi ajal enam kättesaadav, kuid tõenäoliselt oli see Outlooki veebis/OWA veebimeili mandaatide andmepüügi leht. eupolcopps.eu, ELi Palestiina politseiabi koordineerimisbüroo. Pange tähele, et me ei näinud meili näidist, vaid ainult VirusTotalile esitatud URL-i.
Esimene PSYOP laine: november 2023
Novembril 20th, tuvastasime vähemalt paarisajale adressaadile Ukrainas saadetud PDF-manusega desinformatsiooni meilide esimese laine. E-kirju said Ukraina valitsuses, energiaettevõtetes töötavad inimesed ja isegi üksikisikud. Me ei tea, kuidas meiliaadresside loend koostati.
Vastupidiselt eelnevalt kirjeldatud andmepüügikampaaniale oli nende meilide eesmärk külvata ukrainlaste teadvuses kahtlust; Näiteks on ühes meilis kirjas, et "Sel talvel võib esineda küttekatkestusi". Tundub, et sellel konkreetsel lainel ei olnud ühtegi pahatahtlikku linki ega pahavara, vaid ainult desinformatsioon.
Joonis 2 näitab meili näidet. Selle teema on Рекомендації моз україни на тлі дефіциту ліків (masintõlge ukraina keelest: Ukraina tervishoiuministeeriumi soovitused ravimite puuduse ajal) ja e-kiri saadeti aadressilt mozua@ua-minagro[.]com. Pange tähele, et seda aadressi näete ümbrik-alates ja tagasitee valdkondades.
ua-minagro[.]com on ründajate hallatav domeen ja seda kasutati selles kampaanias ainult desinformatsiooni meilide saatmiseks. Domeen on maskeeritud kui Ukraina põllumajanduspoliitika ja toiduministeerium, mille seaduslik domeen on minagro.gov.ua.
Meilile on lisatud PDF-dokument, nagu on näidatud joonisel 3. Kuigi see ei ole iseenesest pahatahtlik, sisaldab see ka desinformatsiooni sõnumeid.
Dokumendis kuritarvitatakse Ukraina tervishoiuministeeriumi logo ja selgitatakse, et sõja tõttu valitseb Ukrainas narkopuudus. Samuti öeldakse, et Ukraina valitsus keeldub Venemaalt ja Valgevenest narkootikume importimast. Teisel lehel selgitatakse, kuidas mõnda ravimit taimedega asendada.
Huvitav on märkida, et e-kiri saadeti domeenilt, mis maskeeritakse Ukraina põllumajanduspoliitika ja toiduministeeriumi nimega, samas kui sisu käsitleb ravimite puudust ja PDF-failis kuritarvitatakse Ukraina tervishoiuministeeriumi logo. Võimalik, et see on ründajate viga või vähemalt näitab, et nad ei hoolinud kõigist üksikasjadest.
Lisaks ua-minagro[.]com, kasutati sellel lainel meilide saatmiseks viit täiendavat domeeni:
- uaminagro[.]com
- minuaregion[.]org
- minuaregionbecareful[.]com
- uamtu[.]com
- minagroua[.]org
minuaregion[.]org ja minuaregionbecareful[.]com maskeeruvad Ukraina ajutiselt okupeeritud alade taasintegreerimise ministeeriumiks, mille seaduslik veebisait on https://minre.gov.ua/en/.
uamtu[.]com maskeerub Ukraina kogukondade, territooriumide ja infrastruktuuri arenguministeeriumiks, mille seaduslik veebisait on https://mtu.gov.ua.
Oleme tuvastanud veel kolm erinevat meilisõnumi malli, millest igaühel on erinev kirja sisu ja PDF-manus. Kokkuvõte on esitatud tabelis 1.
Tabel 1. Desinformatsiooni meilid
meilikehale |
Meili keha masintõlge |
Російськими військовими системно обстрілюються об'єкти енергетичної інфраструктури. У разі виникнення екстреної ситуації подача опалення та електрики в будинки може бути повенаприпії. Щоб вижити в такій ситуації, рекомендуємо вам наступне: |
Venemaa sõjavägi pommitab süstemaatiliselt energiarajatiste infrastruktuuri. Kodude küttevarustus hädaolukorras ja elektrienergia võib täielikult katkeda. Sellises olukorras ellujäämiseks soovitame järgmist. |
Цієї зими можуть спостерігатися перебої з опаленням. Рівень температури в будинках може бути нижче допустимих значень на кілька градусів. У деяких випадках можливо навіть відключення опалення, об'єкти енергетичної розою. У зв'язку з цим, радимо взяти до уваги наступні рекомендації. |
Sel talvel võib esineda küttekatkestusi. Temperatuuritase majades võib olla mitu kraadi madalam lubatud väärtustest. Mõnel juhul on võimalik isegi küte välja lülitada, rajatiste energiajulgeolek on pidevas ohus. Sellega seoses soovitame teil arvestada järgmiste soovitustega. |
Міністерство охорони здоров'я попереджає про дефіцит ліків в аптеках — доставка потівілі препара иту може затримуватися. З початком вни з у ураїна повнітю вовилас варс лар зmini доходи населелення вали, аноземні ли, логттика ких книлас і стта сшшюююююючччччччччччч. При цьому, найбільшим попитом у громадян України користуються групи препаратів для лікування хроні ійливі, знеболюючі та хірургічні засоби. На тлі виниклого дефіциту МОЗ України нагадав громадянам, що не варто нехтувати безцімстоциту доімстоциту доОЗ ями народних методів лікування і випустив відповідні рекомендації. |
Tervishoiuministeerium hoiatab ravimite nappuse eest apteekides – osade ravimite tarnimine võib suurenenud nõudluse taustal viibida. Vene Föderatsiooniga peetava sõja algusega keeldus Ukraina täielikult Venemaa ja Valgevene ravimifirmadest, elanike sissetulekud langesid ning välismaised ravimid, mille logistika muutus ning muutusid keerulisemaks ja kallimaks, kallinesid oluliselt. Samas on kõige suurem nõudlus kodanike poolt. Ukrainas kasutatakse krooniliste haiguste raviks ravimite rühmi, rahusteid, valuvaigisteid ja kirurgilisi vahendeid. Puuduse taustal tuletas Ukraina tervishoiuministeerium kodanikele meelde, et te ei tohiks unustada hindamatut kogemust sajandite jooksul läbiproovitud rahvapäraste ravimeetodite kohta ja avaldas sobivad soovitatud meetodid. |
Агресія Росії призвела до значних втрат в аграрному секторі України. Землі забруднені мінами, пошкоджені снарядами, окопами і рухом військової техніки. У великій кількості пошкоджено та знищено сільськогосподарську техніку, знищено зерносховища. До стабілізації обстановки Міністерство аграрної політики та продовольства рекомендує вам урінізнома ступних дикорослих трав. Вживання свіжих, соковитих листя трав у вигляді салатів є найбільш простим, корисним і доступним. Пам'ятайте, що збирати рослини слід далеко від міст і селищ, а також від жвавих трас. Пропонуємо вам кілька корисних і простих у приготуванні рецептів. |
Venemaa agressioon tõi Ukraina põllumajandussektoris kaasa märkimisväärseid kaotusi. Maad on reostatud miinidest, kahjustatud mürskude, kaevikute ja sõjatehnika liikumise tõttu. Vigastati ja hävis suur hulk põllumajandustehnikat, hävisid viljaaidad. Kuni olukord stabiliseerub, soovitab Põllumajandus- ja Toiduministeerium mitmekesistada oma dieeti olemasolevatest looduslikest ürtidest valmistatud roogadega. Värskete, mahlaste ürtide lehtede söömine salatite kujul on kõige lihtsam, kasulikum ja taskukohasem. Pidage meeles, et peaksite koguma taimi linnadest kaugel, aga ka tiheda liiklusega teedelt. Pakume teile mitmeid kasulikke ja hõlpsasti valmistatavaid retsepte. |
Seotud PDF-manused pärinevad väidetavalt Ukraina regioonide ministeeriumist (vt joonis 4) ja põllumajandusministeeriumist (vt joonis 5).
Viimases, väidetavalt Põllumajandusministeeriumist pärinevas dokumendis soovitatakse süüa “tuvi risotot” ja tuuakse isegi foto elusast ja küpsetatud tuvist... See näitab, et need dokumendid on sihilikult loodud lugejate ärritamiseks.
Üldiselt ühtivad sõnumid levinud Venemaa propagandateemadega. Nad üritavad panna ukrainlasi uskuma, et neil pole Venemaa-Ukraina sõja tõttu narkootikume, toitu ega kütet.
Teine PSYOP laine: detsember 2023
Umbes kuu aega pärast esimest lainet tuvastasime teise PSYOP-i meilikampaania, mis oli suunatud mitte ainult ukrainlastele, vaid ka inimestele teistes Euroopa riikides. Sihtmärgid on mõneti juhuslikud, ulatudes Ukraina valitsusest kuni Itaalia kingatootjani. Kuna kõik meilid on kirjutatud ukraina keeles, on välismaa sihtmärkideks tõenäoliselt ukraina keele kõnelejad. ESET-i telemeetria andmetel sai selles teises laines meile paarsada inimest.
Leidsime sellest lainest kaks erinevat meilimalli. Esimene saadeti 25. detsembrilth ja on näidatud joonisel 6. Esimese laine puhul saadeti meilisõnumid ründajate hallatavast meiliserverist, infoattention[.]com sel juhul.
Meili keha masintõlge on järgmine:
Kallid ukrainlased, õnnitleme teid kõige soojema ja perekondlikuma püha – uue aasta puhul!
Soovime siiralt, et tähistaksite 2024. aastat koos perega! Et teie pere ja sõbrad ei jää kunagi haigeks! Hoolige üksteisest! Ainult koos suudame USA satanistid ja nende käsilased Vene algsest pinnasest välja tõrjuda! Elustagem Kiievi Venemaa vaenlastest hoolimata! Päästame inimeste elusid! Armastusega Venemaalt!
Head puhkust, kallid sõbrad!
Teine meili mall, mis on näidatud joonisel 7, saadeti 26. detsembrilth, 2023 teisest meiliserverist: stronginfo1[.]com. Selle laine ajal kasutati kahte täiendavat e-posti aadressi:
- happyny@infonotifi[.]com
- happyny@infonotification[.]com
Meili keha masintõlge on järgmine:
Head uut aastat, Ukraina vennad! Vana-aastaõhtul on aeg meenutada, kui hea on omada kahte paari jalgu ja käsi, aga kui oled neist ühe kaotanud, siis ära pahanda – see tähendab, et Vene sõdurit sa ei kohta kaevik. Ja kui kõik teie jäsemed on terved, siis me ei kadesta teid. Soovitame neljast vähemalt ühe ise ära lõigata või saagida – paar minutit valu, aga siis õnnelik elu!
Head uut aastat, ukrainlased! Pidage meeles, et mõnikord on üks parem kui kaks!
Kui esimene PSYOP-i meilikampaania 2023. aasta novembris oli üsna hästi ette valmistatud, spetsiaalselt loodud PDF-dokumentidega, mis olid mõnevõrra veenvad, siis see teine kampaania on oma sõnumivahetuselt pigem elementaarsem ja tumedam. Teine meilimall on eriti häiriv, kuna ründajad soovitavad inimestel jalg või käsi amputeerida, et vältida sõjaväe kasutuselevõttu. Üldiselt on sellel kõik sõja ajal PSYOP-i omadused.
Kanada apteekide rämpspost: jaanuar 2024
Üsna üllatava sündmuste keerdkäiguna juhtus, et üks domeenidest, mida kasutati PSYOP-i e-kirjade saatmiseks 2023. aasta detsembris, infonotification[.]com, hakati kasutama Kanada apteekide rämpsposti saatmiseks 7. jaanuarilth, 2024.
Näide on toodud joonisel 8 ja link suunab ümber võltsitud Kanada apteegi veebisaidile online pharmacycenter[.]com. Rämpspostikampaania oli mõõdukalt suur (vähemalt sadu sõnumeid) ja inimesed paljudes riikides said selliseid kirju.
Meilid saadeti aadressilt happyny@infonotification[.]com ja seda kinnitati meili päistes:
Return-Path: <happyny@infonotification[.]com>
Delivered-To: [redacted]
[redacted]
Received: from infonotification[.]com ([185.12.14[.]13]) by [redacted] with esmtps (TLS1.3:TLS_AES_256_GCM_SHA384:256) [redacted] Sun, 07 Jan 2024 12:39:10 +0000
Kanada võltsapteekide rämpspost on äri, mida ajalooliselt juhivad Venemaa küberkurjategijad. Seda käsitlesid varem laialdaselt blogijad nagu Brian Krebs, eriti tema rämpspostiraamatus.
Lingid nende rämpspostikampaaniate vahel
Kuigi me ei tea, miks PSYOP-i kampaaniate operaatorid otsustasid võltsapteegi rämpsposti saatmiseks taaskasutada ühte oma serveritest, on tõenäoline, et nad said aru, et nende infrastruktuur tuvastati. Seetõttu võisid nad otsustada proovida juba põlenud infrastruktuuri raha teenida kas oma kasumi nimel või tulevaste spionaažioperatsioonide või PSYOPide rahastamiseks. Joonis 9 võtab kokku seosed erinevate domeenide ja kampaaniate vahel.
Järeldus
Alates sõja algusest Ukrainas on Venemaaga ühinenud rühmitused, nagu Sandworm, olnud hõivatud Ukraina IT-infrastruktuuri lõhkumisega klaasipuhastite abil. Viimastel kuudel oleme täheldanud küberspionaažioperatsioonide kasvu, eriti kurikuulsa Gamaredoni grupi poolt.
Operatsioon Texonto näitab järjekordset tehnoloogiate kasutamist sõja mõjutamiseks. Leidsime mõned tüüpilised Microsofti võltsitud sisselogimislehed, kuid mis kõige tähtsam, e-kirjade kaudu saadeti kaks PSYOP-i lainet, mille eesmärk oli tõenäoliselt mõjutada ja demoraliseerida Ukraina kodanikke sõjaga seotud desinformatsioonisõnumitega.
Kompromissiindikaatorite (IoC) ja näidiste põhjaliku loendi leiate aadressilt meie GitHubi hoidlast.
Kui teil on küsimusi meie WeLiveSecurity avaldatud uurimistöö kohta, võtke meiega ühendust aadressil ohuintel@eset.com.
ESET Research pakub privaatseid APT luurearuandeid ja andmevooge. Kui teil on selle teenuse kohta küsimusi, külastage aadressi ESET Threat Intelligence lehel.
IoC-d
Faile
SHA-1 |
Faili |
ESET-i tuvastamise nimi |
Kirjeldus |
3C201B2E40357996B383 |
Minagroua111.pdf |
PDF/Fraud.CDY |
PDF, mida kasutatakse Ukraina-vastases teabeoperatsioonis. |
15BF71A771256846D44E |
Mozua.pdf |
PDF/Fraud.CDU |
PDF, mida kasutatakse Ukraina-vastases teabeoperatsioonis. |
960341B2C296C425821E |
Minregion.pdf |
PDF/Fraud.CDT |
PDF, mida kasutatakse Ukraina-vastases teabeoperatsioonis. |
BB14153040608A4F559F |
Minregion.pdf |
PDF/Fraud.CDX |
PDF, mida kasutatakse Ukraina-vastases teabeoperatsioonis. |
võrk
IP |
Domeen |
Hostimise pakkuja |
Esimest korda nähtud |
Detailid |
N / A |
navalny-votes[.]net |
N / A |
2023-09-09 |
Aleksei Navalnõiga seotud domeen. |
N / A |
navalny-votesmart[.]net |
N / A |
2023-09-09 |
Aleksei Navalnõiga seotud domeen. |
N / A |
navalny-hääletamine[.]net |
N / A |
2023-09-09 |
Aleksei Navalnõiga seotud domeen. |
45.9.148[.]165 |
infoattention[.]com |
Nice IT Services Group Inc. |
2023-12-25 |
Server, mida kasutatakse operatsioonis Texonto e-kirjade saatmiseks. |
45.9.148[.]207 |
minuaregionbecareful[.]com |
Nice IT Services Group Inc. |
2023-11-23 |
Server, mida kasutatakse operatsioonis Texonto e-kirjade saatmiseks. |
45.9.150[.]58 |
stronginfo1[.]com |
Nice IT Services Group Inc. |
2023-12-25 |
Server, mida kasutatakse operatsioonis Texonto e-kirjade saatmiseks. |
45.129.199[.]200 |
minuaregion[.]org |
Hostinger |
2023-11-21 |
Server, mida kasutatakse operatsioonis Texonto e-kirjade saatmiseks. |
45.129.199[.]222 |
uamtu[.]com |
Hostinger |
2023-11-20 |
Server, mida kasutatakse operatsioonis Texonto e-kirjade saatmiseks. |
46.249.58[.]177 |
infonotifi[.]com |
serverius-mnt |
2023-12-28 |
Server, mida kasutatakse operatsioonis Texonto e-kirjade saatmiseks. |
89.116.52[.]79 |
uaminagro[.]com |
IPXO piiratud |
2023-11-17 |
Server, mida kasutatakse operatsioonis Texonto e-kirjade saatmiseks. |
154.49.137[.]16 |
choicelive149200[.]com |
Hostinger |
2023-10-26 |
Andmepüügiserver. |
185.12.14[.]13 |
infonotification[.]com |
Serverius |
2023-12-28 |
Server, mida kasutatakse operatsioonis Texonto e-kirjade saatmiseks. |
193.43.134[.]113 |
login.microsoftidonline[.]com |
Hostinger |
2023-10-03 |
Office 365 andmepüügiserver. |
195.54.160[.]59 |
minagroua[.]org |
BlueVPS |
2023-11-21 |
Server, mida kasutatakse operatsioonis Texonto e-kirjade saatmiseks. |
E-posti aadressid
- minregion@uaminagro[.]com
- minregion@minuaregion[.]org
- minregion@minuaregionbecareful[.]com
- minregion@uamtu[.]com
- mozua@ua-minagro[.]com
- mozua@minagroua[.]org
- minagroua@vps-3075.lethost[.]network
- happyny@infoattention[.]com
- happyny@stronginfo1[.]com
- happyny@infonotifi[.]com
- happyny@infonotification[.]com
MITER ATT&CK tehnikad
See laud on ehitatud kasutades versioon 14 MITER ATT&CK raamistikust.
Taktika |
ID |
Nimi |
Kirjeldus |
Ressursside arendamine |
Taristu hankimine: domeenid |
Operaatorid ostsid Namecheapist domeeninimesid. |
|
Hankige infrastruktuur: server |
Operaatorid rentisid servereid ettevõtetes Nice IT, Hostinger, Serverius ja BlueVPS. |
||
Esialgne juurdepääs |
Phishing |
Operaatorid saatsid desinformatsiooni sisaldavaid e-kirju. |
|
Andmepüük: andmepüügilink |
Operaatorid saatsid e-kirju lingiga Microsofti võltsitud sisselogimislehele. |
||
Kaitsest kõrvalehoidmine |
Maskeerimine |
Operaatorid kasutasid Ukraina valitsuse ametlike domeeninimedega sarnaseid domeeninimesid. |
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers-context-war/
- :on
- :on
- :mitte
- 07
- 1
- 10
- 11
- 116
- 12
- 13
- 14
- 15%
- 16
- 17
- 179
- 180
- 19
- 20
- 2011
- 2019
- 2022
- 2023
- 2024
- 22
- 321
- 39
- 40
- 43
- 49
- 54
- 7
- 8
- 9
- a
- Võimalik
- MEIST
- välismaal
- Vastavalt
- konto
- Kontod
- tegevus
- meetmete
- lisamine
- Täiendavad lisad
- aadress
- aadressid
- nõustama
- taskukohane
- pärast
- vastu
- agentuur
- Põllumajanduslik
- põllumajandus
- eespool
- viia
- joondatud
- Materjal: BPA ja flataatide vaba plastik
- väidetavalt
- juba
- Ka
- summa
- amp
- an
- analüüs
- analüüsides
- ja
- infrastruktuuri
- Teine
- mistahes
- asjakohane
- heakskiit
- APT
- OLEME
- ARM
- relvad
- AS
- At
- Reageerib
- automaatselt
- saadaval
- vältima
- tagapõhi
- põhiline
- BE
- sai
- sest
- olnud
- Algus
- on
- Valgevene
- Uskuma
- kuulumine
- alla
- Parem
- vahel
- keha
- raamat
- mõlemad
- ostnud
- ehitatud
- põlenud
- äri
- hõivatud
- kuid
- by
- Kampaania
- Kampaaniad
- CAN
- Kanada
- mis
- juhul
- juhtudel
- Kategooria
- tähistama
- Sajandeid
- muutunud
- kanalid
- omadused
- Linnad
- Kodanikud
- lähedal
- Cloud
- koguma
- COM
- tulevad
- ühine
- Ühenduste
- kogukond
- Ettevõtted
- ettevõte
- täiesti
- keeruline
- terviklik
- kompromiss
- Läbi viima
- usaldus
- KINNITATUD
- pidev
- kontakt
- sisaldab
- sisu
- sisu
- kontekst
- keedetud
- koordineerimine
- riikides
- Paar
- kaetud
- loodud
- volikiri
- Praegu
- lõigatud
- lõikamine
- Küberkuritegevus
- küberkurjategijad
- tumedam
- andmed
- kallis
- Detsember
- otsustatud
- kaitse
- Hilineb
- tarne
- Nõudlus
- osakond
- kasutuselevõtu
- kirjeldatud
- kavandatud
- hävitatud
- detailid
- tuvastatud
- Detection
- & Tarkvaraarendus
- DID
- Dieet
- erinev
- haigused
- deinformatsioon
- jaotus
- do
- dokument
- dokumendid
- Ei tee
- DoJ
- domeen
- DOMEEENI NIMED
- Domeenid
- don
- Ära
- kahtlen
- kahtlusi
- ajam
- uimasti
- Narkootikumide
- kaks
- ajal
- iga
- sööma
- kumbki
- Valimised
- elekter
- kirju
- avarii
- töötajad
- lõpp
- energia
- seadmed
- eriti
- spionaaž
- EU
- Euroopa
- Euroopa riigid
- eve
- Isegi
- sündmused
- näide
- ainult
- kallis
- kogemus
- Selgitama
- Selgitab
- laialdaselt
- rajatised
- võlts
- pere
- kaugele
- Veebruar
- Föderatsioon
- vähe
- Valdkonnad
- Joonis
- Lõpuks
- järeldused
- esimene
- viis
- Keskenduma
- Järel
- toit
- eest
- välis-
- vorm
- avastatud
- neli
- värske
- sõbrad
- Alates
- fond
- tulevik
- Üldine
- saama
- GitHub
- antud
- Go
- eesmärk
- hea
- Valitsus
- Riigiametnikud
- suurim
- Grupp
- Grupi omad
- õnnelik
- Olema
- päised
- Tervis
- sellest tulenevalt
- siin
- Suur
- kõrgetasemeline
- tema
- ajalooliselt
- puhkus
- Majad
- maja
- Kuidas
- Kuidas
- aga
- HTTPS
- sada
- sajad
- tuvastatud
- if
- ebaseaduslik
- pilt
- import
- tähtsam
- in
- Teistes
- sisaldama
- hõlmab
- kasvanud
- näitajad
- inimesed
- kurikuulus
- mõju
- info
- infotehnoloogia
- Infrastruktuur
- Päringud
- Näiteks
- Intelligentsus
- ette nähtud
- huvitav
- sisemine
- sisse
- hindamatu
- inventar
- uurides
- kaasates
- IT
- itaalia
- ITS
- vangla
- John
- Jaanuar
- lihtsalt
- Õiglus
- Teadma
- maad
- suur
- viimane
- Hilja
- pärast
- käivitatud
- juht
- Leads
- kõige vähem
- Led
- õigustatud
- jalad
- laskma
- Tase
- Tõenäoliselt
- LINK
- sidumine
- lingid
- nimekiri
- elu-
- logi
- Logi sisse
- logistika
- logo
- Pikk
- kaua aega
- enam
- kaod
- kadunud
- masin
- masinad
- tehtud
- põhiline
- peamine
- tegema
- pahatahtlik
- malware
- Tootja
- palju
- mai..
- vahendid
- Vastama
- sõnum
- kirjad
- Sõnumid
- meetod
- meetodid
- Microsoft
- Sõjaline
- meeles
- mõtetes
- miinid
- ministeerium
- protokoll
- viga
- mõõdukalt
- raha teenida
- kuu
- kuu
- rohkem
- kõige
- liikumine
- namecheap
- nimed
- rahvas
- Vajadus
- võrk
- mitte kunagi
- Uus
- uusaasta
- kena
- ei
- meeles
- November
- number
- oktoober
- of
- maha
- pakkuma
- Pakkumised
- Office
- ametlik
- ametnikud
- Vana
- on
- ONE
- ones
- ainult
- tegutses
- töö
- Operations
- ettevõtjad
- vastuseis
- or
- et
- organisatsioonid
- originaal
- Muu
- meie
- ise
- välja
- väljavaade
- üldine
- kattuvad
- enda
- lehekülg
- lehekülge
- Valu
- paari
- osa
- eriti
- minevik
- Inimesed
- kohta
- periood
- Pharma
- Pharmaceutical
- apteegid
- Phishing
- andmepüügikampaania
- foto
- Pöördepunktid
- kava
- plaanitud
- Taimed
- Platon
- Platoni andmete intelligentsus
- PlatoData
- palun
- võrra
- Politsei
- poliitika
- populaarne
- rahvastik
- võimalik
- võimalik
- ära hoida
- varem
- era-
- tõenäoliselt
- Toodet
- Kasum
- propageerimine
- kaitsta
- anda
- tingimusel
- pakkujad
- psühholoogiline
- avaldatud
- üsna
- tõstma
- juhuslik
- alates
- pigem
- lugejad
- realiseeritud
- saama
- saadud
- hiljuti
- saajatele
- soovitama
- soovitused
- soovitatav
- soovitab
- keeldus
- keeldumine
- pidama
- osas
- piirkondades
- seotud
- vabastatud
- jäänused
- meeles pidama
- eemaldamine
- Eemaldatud
- asendama
- Aruanded
- nõutav
- teadustöö
- ressurss
- taaskasutada
- Reuters
- Revealed
- Taaselustama
- teede
- jooks
- Venemaa
- Venemaa-Ukraina sõda
- vene
- Venemaa Föderatsioon
- s
- sama
- proov
- Säästa
- ütleb
- plaanitud
- Teine
- sektor
- turvalisus
- vaata
- tundub
- nähtud
- saatma
- saatmine
- Saadetud
- server
- Serverid
- teenus
- Teenused
- mitu
- puudus
- puudus
- peaks
- näidatud
- Näitused
- märkimisväärne
- märgatavalt
- sarnane
- sarnasused
- lihtne
- alates
- siiralt
- site
- olukord
- mõned
- mõnikord
- mõnevõrra
- emis
- spam
- kõlarid
- spetsiaalselt
- konkreetse
- eriti
- Vaatamata
- laiali
- algus
- alustatud
- olek
- imelik
- võõras
- teema
- Ettepanekud
- esitatud
- selline
- soovitama
- KOKKUVÕTE
- Sun
- varustama
- toetama
- toetajad
- kirurgiline
- üllatav
- üllatavalt
- ellu jääma
- tabel
- Võtma
- Mahutid
- suunatud
- sihtimine
- eesmärgid
- Tehniline
- Tehnoloogiad
- Tehnoloogia
- Telegramm
- šabloon
- malle
- territooriumide
- katsetatud
- kui
- tänan
- et
- .
- Tulevik
- teave
- oma
- Neile
- teemad
- SIIS
- Seal.
- Need
- nad
- mõtlema
- see
- need
- kuigi?
- oht
- ähvardused
- kolm
- aeg
- ajakava
- et
- kokku
- Teemasid
- linnades
- Tõlge
- ravi
- püüdma
- üritab
- Pöörake
- vääne
- kaks
- tüüpiline
- Uk
- Ukraina
- ukraina
- ukrainlased
- all
- kahjuks
- kuni
- kasutamata
- URL
- us
- USA DOJ
- USA
- kasutama
- Kasutatud
- kasulik
- kasutusalad
- kasutamine
- Väärtused
- kinnitatud
- versioon
- väga
- kaudu
- visiit
- tahan
- sõda
- Sõda Ukrainas
- Hoiatab
- oli
- Wave
- lained
- we
- web
- veebisait
- veebilehed
- nädalat
- Hästi
- hästi tuntud
- olid
- mis
- kuigi
- WHO
- kelle
- miks
- laius
- Metsik
- will
- talv
- koos
- jooksul
- Võitis
- töö
- kirjalik
- aasta
- aastat
- veel
- sa
- Sinu
- ise
- sephyrnet