Az ESET termékek és kutatások évek óta védik az ukrán IT-infrastruktúrát. A háború 2022 februári kezdete óta jelentős számú, Oroszországhoz kötődő csoportok által indított támadást megelőztünk és kivizsgáltunk. A WeLiveSecurity legérdekesebb megállapításait is közzétettük:
Noha továbbra is a rosszindulatú szoftverekkel kapcsolatos fenyegetések elemzésére összpontosítunk, azon kaptuk magunkat, hogy egy információs műveletet vagy pszichológiai műveletet (PSYOP) vizsgálunk, amely kétségeket próbált kelteni az ukránok és a külföldön ukránul beszélők fejében.
Texonto művelet
Az Operation Texonto egy dezinformációs/PSYOP kampány, amely a spam leveleket használja fő terjesztési módszerként. Meglepő módon nem tűnik úgy, hogy az elkövetők olyan általános csatornákat használtak volna, mint a Telegram vagy hamis weboldalak üzeneteik közvetítésére. Két különböző hullámot észleltünk, az elsőt 2023 novemberében és a másodikat 2023 december végén. Az e-mailek tartalma fűtéskimaradásról, gyógyszerhiányról és élelmiszerhiányról szólt, amelyek az orosz propaganda tipikus témái.
A félretájékoztatási kampányon kívül észleltünk egy titkos adathalász kampányt is, amely 2023 októberében egy ukrán védelmi vállalatot, 2023 novemberében pedig egy uniós ügynökséget célzott. Mindkettő célja a Microsoft Office 365-fiókok hitelesítő adatainak ellopása volt. Az ezekben a PSYOP-kban és az adathalász műveletekben használt hálózati infrastruktúra hasonlóságai miatt nagy bizalommal kapcsoljuk össze őket.
Érdekes módon néhány további pivot olyan domain neveket is feltárt, amelyek a Texonto hadművelet részét képezik, és olyan belső orosz témákkal kapcsolatosak, mint például Alekszej Navalnij, a jól ismert orosz ellenzéki vezető, aki börtönben volt és meghalt február 16th, 2024. Ez azt jelenti, hogy a Texonto-hadművelet valószínűleg magában foglalja az orosz másként gondolkodókat és a néhai ellenzéki vezető támogatóit célzó adathalász vagy információs műveleteket. Ezek a domainek a következők:
- navalny-votes[.]net
- navalny-votesmart[.]net
- navalny-voting[.]net
Talán még furcsább, hogy a támadók által üzemeltetett és PSYOP e-mailek küldésére használt e-mail szervert két héttel később újra felhasználtak tipikus kanadai gyógyszertári spam küldésére. Az illegális üzletnek ez a kategóriája hosszú ideje nagyon népszerű az orosz kiberbűnözők körében, mivel ez blog bejegyzés 2011-től magyarázza.
Az 1. ábra a Texonto hadművelet főbb eseményeit foglalja össze.
A kémkedés, az információs műveletek és a hamis gyógyszerészet furcsa forradalma csak emlékeztethet bennünket Callisto, egy jól ismert Oroszországhoz kötődő kiberkémkedési csoport, aki egy vádirat Az Egyesült Államok DOJ 2023. decemberében. A Callisto kormányzati tisztviselőket, agytrösztökben dolgozókat és katonai jellegű szervezeteket céloz meg a gyakori felhőszolgáltatók utánzására tervezett adathalász webhelyeken keresztül. A csoport dezinformációs műveleteket is folytatott, mint pl dokumentumszivárgás közvetlenül a 2019-es brit általános választások előtt. Végül, a régi hálózati infrastruktúrára támaszkodva hamis gyógyszertartományokhoz vezet, mint pl Musclepharm[.]top or ukrpharma[.]ovh.
Noha a Texonto hadművelet és a Callisto műveletei között számos magas szintű hasonlóság van, nem találtunk semmilyen technikai átfedést, és jelenleg nem tulajdonítjuk a Texonto hadműveletet egy adott fenyegetés szereplőjének. Tekintettel azonban a TTP-kre, a célzásra és az üzenetek terjedésére, a műveletet nagy bizalommal egy orosz beállítottságú csoportnak tulajdonítjuk.
Adathalász kampány: 2023. október–november
Egy nagy ukrán védelmi vállalat alkalmazottai 2023 októberében adathalász e-mailt kaptak, amely állítólag az informatikai részlegüktől érkezett. Az e-maileket innen küldték it.[redacted_company_name]@gmail.com, egy e-mail cím, amelyet valószínűleg kifejezetten ehhez a kampányhoz hoztak létre, és az e-mail tárgya a következő volt Запрошено утверждение:Планова інвентаризація (gépi fordítás ukránból: Jóváhagyás kért: Tervezett leltár).
Az e-mail tartalma a következő:
У період з 02 жовтня по 13. ю та видалення поштових скриньок, що не використовуються. Якщо Ви плануєте використовувати свою поштову адресу ([redacted_address]@[redacted_company_name].com) ію поштової скриньки за цим посиланням та увійдіть до системи, використовуючи свої облінікові.
Жодних додаткових дій не потрібно, Ваша поштова скринька отримає статус “підтвердЖвжений” іпавілдений і пудсене ї інвентаризації ресурсів. Якщо ця поштова адреса не використовується Вами (або її використання не планується в майбутньом), потрібно виконувати жодних дій – поштову скриньку буде видалено автоматично 13. május 2023. року.
З повагою,
Відділ інформаційних технологій.
Az e-mail gépi fordítása a következő:
Október 2. és október 13. között az informatikai osztály munkatársai a használaton kívüli postafiókok tervszerű leltározását és elszállítását végzik. Ha a jövőben használni kívánja e-mail címét ([redacted_address]@[redacted_company_name].com), kérjük, lépjen a postafiók webes verziójára ezen a linken, és jelentkezzen be hitelesítő adataival.
Nincs szükség további műveletekre, postafiókja „megerősítve” állapotot kap, és nem távolítható el az ütemezett erőforrás-leltár során. Ha ezt az e-mail címet nem használja (vagy a jövőben nem tervezi használni), akkor ebben az esetben nem kell semmit tennie – a postafiók 13. október 2023-án automatikusan törlődik.
Üdvözlettel,
Informatikai Tanszék.
Az e-mail célja, hogy rávegye a célpontokat a за цим посиланням (gépi fordítás: ezen a linken) gombra, ami a https://login.microsoftidonline[.]com/common/oauth2/authorize?client_id=[redacted];redirect_uri=https%3a%2f%2foutlook.office365.com%2fowa%2f&resource=[redacted]&response_mode=form_post&response_type=code+id_token&scope=openid&msafed=1&msaredir=1&client-request-id=[redacted]&protectedtoken=true&claims=%7b%22id_token%22%3a%7b%22xms_cc%22%3a%7b%22values%22%3a%5b%22CP1%22%5d%7d%7d%7d&domain_hint=[redacted]&nonce=[redacted]&state=[redacted] (részben szerkesztve). Ez az URL a rosszindulatú domainre mutat login.microsoftidonline[.]com. Vegye figyelembe, hogy ez a domain nagyon közel áll a hivataloshoz, login.microsoftonline.com.
Nem tudtuk visszakeresni az adathalász oldalt, de nagy valószínűséggel egy hamis Microsoft bejelentkezési oldal volt, amelynek célja a célpontok hitelesítő adatainak ellopása volt.
A Texonto művelethez tartozó másik tartományhoz, choicelive149200[.]com, két VirusTotal beküldés érkezett (egy és a kettő) az URL-hez https://choicelive149200[.]com/owa/auth/logon.aspx?replaceCurrent=1&url=https://hbd.eupolcopps.eu/owa/. Sajnos a webhely az elemzés időpontjában már nem volt elérhető, de valószínűleg egy hitelesítő adatok adathalász oldala volt a webes Outlook/OWA webmail számára. eupolcopps.eu, az EU Palesztin Rendőrség Támogatásáért Koordinációs Iroda. Vegye figyelembe, hogy nem láttuk az e-mail mintát, csak a VirusTotalnak elküldött URL-t.
Első PSYOP hullám: 2023. november
November 20-énth, észleltük a dezinformációs e-mailek első hullámát PDF melléklettel, amelyet legalább néhány száz címzettnek küldtek el Ukrajnában. Az ukrán kormánynál dolgozó emberek, energiavállalatok, sőt magánszemélyek is megkapták az e-maileket. Nem tudjuk, hogyan épült fel az e-mail címek listája.
A korábban ismertetett adathalászkampánnyal ellentétben ezeknek az e-maileknek az volt a célja, hogy kétséget ébresszenek az ukránok fejében; például az egyik e-mail azt írja, hogy „Fűtéskiesések lehetnek ezen a télen”. Úgy tűnik, ebben a hullámban nem volt rosszindulatú link vagy rosszindulatú program, csak félretájékoztatás.
A 2. ábra egy e-mail példát mutat be. Tárgya Рекомендації моз україни на тлі дефіциту ліків (gépi fordítás ukrán nyelvről: Az ukrán egészségügyi minisztérium ajánlásai a gyógyszerhiány idején), az e-mailt pedig innen küldték. mozua@ua-minagro[.]com. Vegye figyelembe, hogy ez a cím látható a boríték-tól és a visszatérési útvonal területeken.
ua-minagro[.]com a támadók által üzemeltetett domain, és ebben a kampányban kizárólag dezinformációs e-mailek küldésére használták. A domain Ukrajna Agrárpolitikai és Élelmezésügyi Minisztériumának álcázza magát, amelynek törvényes tartománya minagro.gov.ua.
Az e-mailhez csatolva van egy PDF dokumentum, amint az a 3. ábrán látható. Bár önmagában nem rosszindulatú, de dezinformációs üzeneteket is tartalmaz.
A dokumentum visszaél az ukrán egészségügyi minisztérium logójával, és kifejti, hogy a háború miatt Ukrajnában gyógyszerhiány van. Az is szerepel, hogy az ukrán kormány nem hajlandó kábítószert importálni Oroszországból és Fehéroroszországból. A második oldalon elmagyarázzák, hogyan lehet egyes gyógyszereket növényekkel helyettesíteni.
Érdekes megjegyezni, hogy az e-mailt az Ukrajna Agrárpolitikai és Élelmezésügyi Minisztériumának álcázó domainről küldték, miközben a tartalom a gyógyszerhiányról szól, a PDF pedig az Ukrajna Egészségügyi Minisztérium logóját használja. Ez valószínűleg a támadók hibája, vagy legalábbis azt mutatja, hogy nem törődtek minden részlettel.
Ráadásul ua-minagro[.]com, öt további domaint használtak e-mailek küldésére ebben a hullámban:
- uaminagro[.]com
- minuaregion[.]org
- minuaregionbecareful[.]com
- uamtu[.]com
- minagroua[.]org
minuaregion[.]org és a minuaregionbecareful[.]com Ukrajna ideiglenesen megszállt területeinek reintegrációs minisztériumának álcázzák magukat, amelynek legitim webhelye https://minre.gov.ua/en/.
uamtu[.]com Ukrajna Közösségek, Területek és Infrastruktúra Fejlesztési Minisztériumának álcázza magát, amelynek legitim weboldala https://mtu.gov.ua.
Három további különböző e-mail-sablont azonosítottunk, mindegyik más levéltörzsrel és PDF-melléklettel. Az 1. táblázat összefoglalója.
1. táblázat: Dezinformációs e-mailek
email test |
Az e-mail törzsének gépi fordítása |
Російськими військовими системно обстрілюються об'єкти енергетичної інфраструктури. У разі виникнення екстреної ситуації подача опалення та електрики в будинки може бути повненаприпії. Щоб вижити в такій ситуації, рекомендуємо вам наступне: |
Az orosz hadsereg szisztematikusan bombázza az energetikai létesítmények infrastruktúráját. Vészhelyzet esetén a fűtés és az áramellátás teljesen megszűnhet az otthonokban. Egy ilyen helyzetben való túléléshez a következőket javasoljuk: |
Цієї зими можуть спостерігатися перебої з опаленням. Рівень температури в будинках може бути нижче допустимих значень на кілька градусів. У деяких випадках можливо навіть відключення опалення, об'єкти енергетичної безпеки знахподся зою. У зв'язку з цим, радимо взяти до уваги наступні рекомендації. |
Ezen a télen fűtési szünetek lehetnek. A házak hőmérsékleti szintje több fokkal is alacsonyabb lehet a megengedett értékeknél. Egyes esetekben akár a fűtést is le lehet kapcsolni, a létesítmények energiabiztonsága folyamatosan veszélyben van. Ezzel kapcsolatban azt tanácsoljuk, hogy vegye figyelembe a következő ajánlásokat. |
Міністерство охорони здоров'я попереджає про дефіцит ліків в аптеках — пноставка по дивілі препарат ту може затримуватися. З початком війни з РФ Україна повністю відмовилася від лікарських засобів російськицлохіійських чних компаній, доходи населення впали, а іноземні ліки, логістика яких змінилася, ваіі сталю бінозення впали но подорожчали. При цьому, найбільшим попитом у громадян України користуються групи препаратів для ліпакування хроні йливі, знеболюючі та хірургічні засоби. На тлі виниклого дефіциту МОЗ України нагадав громадянам, що не варто нехтувати брезцііциту брезцііциту дофіциту ми народних методів лікування і випустив відповідні рекомендації. |
Az Egészségügyi Minisztérium gyógyszerhiányra figyelmeztet a gyógyszertárakban – a megnövekedett kereslet miatt egyes gyógyszerek kiszállítása késhet. Az Orosz Föderációval vívott háború kezdetével Ukrajna teljesen visszautasította az orosz és fehérorosz gyógyszergyártókat, a lakosság bevételei csökkentek, és a külföldi gyógyszerek, amelyek logisztikája megváltozott, összetettebbé és drágábbá vált, jelentősen megdrágult. A legnagyobb kereslet ugyanakkor az állampolgárok részéről van. Ukrajna gyógyszercsoportokat alkalmaz krónikus betegségek kezelésére, nyugtatókat, fájdalomcsillapítókat és sebészeti eszközöket. A hiány hátterében az ukrán egészségügyi minisztérium felhívta a polgárokat arra, hogy ne hagyják figyelmen kívül a több évszázados, kipróbált népi kezelési módszerek felbecsülhetetlen értékű tapasztalatait, és kiadta a megfelelő ajánlásokat. |
Агресія Росії призвела до значних втрат в аграрному секторі України. Землі забруднені мінами, пошкоджені снарядами, окопами і рухом військової техніки. У великій кількості пошкоджено та знищено сільськогосподарську техніку, знищено зерносховища. До стабілізації обстановки Міністерство аграрної політики та продовольства рекомендуі вам урінізномановки упних дикорослих трав. Вживання свіжих, соковитих листя трав у вигляді салатів є найбільш простим, корисним і доступним. Пам'ятайте, що збирати рослини слід далеко від міст і селищ, а також від жвавих трас. Пропонуємо вам кілька корисних і простих у приготуванні рецептів. |
Az orosz agresszió jelentős veszteségekhez vezetett Ukrajna mezőgazdaságában. A földeket aknák szennyezik, lövedékek, lövészárkok és katonai felszerelések mozgása károsítja. Nagy mennyiségű mezőgazdasági gép károsodott és megsemmisült, a magtárak megsemmisültek. A helyzet stabilizálódásáig az Agrárpolitikai és Élelmiszerügyi Minisztérium javasolja, hogy diverzifikálják az étrendet a rendelkezésre álló vadon élő gyógynövényekből készült ételekkel. A friss, lédús gyógynövénylevelek saláták formájában történő fogyasztása a legegyszerűbb, leghasznosabb és megfizethetőbb. Ne feledje, hogy a növényeket távol kell gyűjtenie a városoktól és a városoktól, valamint a forgalmas utaktól. Számos hasznos és könnyen elkészíthető receptet ajánlunk. |
A kapcsolódó PDF-mellékletek állítólag az ukrán régiók minisztériumától (lásd 4. ábra) és a Földművelésügyi Minisztériumtól (lásd 5. ábra) származnak.
Az utolsó dokumentumban – állítólag a Földművelésügyi Minisztériumtól – „galambrizottó” fogyasztását javasolják, sőt még egy élő galambról és egy főtt galambról készült fotót is közölnek… Ez azt mutatja, hogy ezeket a dokumentumokat szándékosan hozták létre, hogy feldúlják az olvasókat.
Összességében az üzenetek igazodnak a közös orosz propagandatémákhoz. Megpróbálják elhitetni az ukránokkal, hogy az orosz-ukrán háború miatt nem lesz drogjuk, ételük és fűtésük.
Második PSYOP hullám: 2023 decembere
Körülbelül egy hónappal az első hullám után észleltünk egy második PSYOP e-mail kampányt, amely nemcsak az ukránokat célozta meg, hanem más európai országok lakosságát is. A célpontok némileg véletlenszerűek, az ukrán kormánytól egy olasz cipőgyártóig terjednek. Mivel az összes e-mail ukrán nyelven íródott, valószínű, hogy a külföldi célpontok ukránul beszélők. Az ESET telemetria szerint ebben a második hullámban néhány száz ember kapott e-mailt.
Ebben a hullámban két különböző e-mail sablont találtunk. Az elsőt december 25-én küldték elth és a 6. ábra mutatja. Ami az első hullámot illeti, az e-mail üzeneteket a támadók által üzemeltetett e-mail szerverről küldték, infoattention[.]com ebben az esetben.
Az e-mail törzsének gépi fordítása a következő:
Kedves ukránok, gratulálunk a legmelegebb és legcsaládiasabb ünnephez – az újévhez!
Őszintén szeretnénk, ha családoddal ünnepelnéd 2024-et! Családod és barátaid soha ne legyenek betegek! Vigyázni egymásra! Csak együtt tudjuk majd kiűzni a sátánistákat az USA-ból és csatlósaikat az eredeti orosz földről! Élesztjük újra a Kijevi Ruszt ellenségeink ellenére! Mentsük meg az emberek életét! Oroszországból szeretettel!
Kellemes ünnepeket, kedves barátaim!
A 7. ábrán látható második e-mail sablon december 26-án lett elküldveth, 2023 egy másik e-mail szerverről: stronginfo1[.]com. A hullám során két további e-mail címet használtak:
- happyny@infonotifi[.]com
- happyny@infonotification[.]com
Az e-mail törzsének gépi fordítása a következő:
Boldog új évet, ukrán testvérek! Szilveszterkor itt az ideje, hogy emlékezz arra, milyen jó két pár lábad és kezed, de ha az egyiket elvesztetted, akkor ne keseredj el – ez azt jelenti, hogy nem fogsz találkozni orosz katonával egy árok. És itt, ha minden végtagod sértetlen, akkor nem irigykedünk rád. Javasoljuk, hogy a négy közül legalább egyet saját maga vágjon le vagy fűrészeljen le – pár perc fájdalom, de aztán boldog élet!
Boldog új évet ukránok! Ne feledje, hogy néha egy jobb, mint kettő!
Míg az első PSYOP e-mail kampány 2023 novemberében meglehetősen jól előkészített volt, a speciálisan készített PDF dokumentumokkal, amelyek némileg meggyőzőek voltak, addig ez a második kampány sokkal egyszerűbb és sötétebb üzenetküldés. A második e-mail sablon különösen zavaró, a támadók azt javasolják, hogy az emberek amputálják a lábukat vagy a karjukat, hogy elkerüljék a katonai bevetést. Összességében a háborús időkben jellemző PSYOP-ok összes jellemzőjével rendelkezik.
Kanadai gyógyszertári spam: 2024. január
Az események meglehetősen meglepő fordulatában 2023 decemberében a PSYOP e-mailek küldésére használt domainek egyike, infonotification[.]comjanuár 7-én kezdték használni a kanadai gyógyszertári spam küldéséreth, 2024.
A 8. ábrán látható egy példa, és a link a hamis kanadai gyógyszertár webhelyére irányít át onlinepharmacycenter[.]com. A spamkampány közepesen nagy volt (legalábbis több száz üzenetben), és sok országban kaptak ilyen e-maileket az emberek.
Az e-maileket innen küldték happyny@infonotification[.]com és ezt az e-mail fejléceiben ellenőrizték:
Return-Path: <happyny@infonotification[.]com>
Delivered-To: [redacted]
[redacted]
Received: from infonotification[.]com ([185.12.14[.]13]) by [redacted] with esmtps (TLS1.3:TLS_AES_256_GCM_SHA384:256) [redacted] Sun, 07 Jan 2024 12:39:10 +0000
A hamis kanadai gyógyszertári spam egy olyan vállalkozás, amelyet korábban orosz kiberbűnözők működtettek. A múltban bőven foglalkoztak vele olyan bloggerek, mint pl Brian Krebs, különösen a Spam Nation című könyvében.
Linkek ezen spamkampányok között
Bár nem tudjuk, hogy a PSYOP kampányok üzemeltetői miért döntöttek úgy, hogy az egyik szerverüket hamis gyógyszertári spam küldésére használják fel, valószínűleg felismerték, hogy infrastruktúrájukat észlelték. Ezért dönthettek úgy, hogy megpróbálják pénzzé tenni a már leégett infrastruktúrát, akár saját profitjuk érdekében, akár a jövőbeli kémműveletek vagy PSYOP-ok finanszírozására. A 9. ábra a különböző tartományok és kampányok közötti kapcsolatokat foglalja össze.
Következtetés
Az ukrajnai háború kezdete óta az Oroszországhoz kötődő csoportok, mint például a Sandworm, azzal voltak elfoglalva, hogy ablaktörlőkkel megzavarják az ukrán informatikai infrastruktúrát. Az elmúlt hónapokban a kiberkémkedési műveletek felfutását figyeltük meg, különösen a hírhedt Gamaredon csoportnál.
A Texonto hadművelet a technológia újabb felhasználását mutatja be a háború befolyásolására. Találtunk néhány tipikus hamis Microsoft bejelentkezési oldalt, de ami a legfontosabb, két hullámban zajlottak a PSYOP-k e-mailben, valószínűleg háborús témákról szóló dezinformációs üzenetekkel próbálták befolyásolni és demoralizálni az ukrán állampolgárokat.
A kompromisszummutatók (IoC) és minták átfogó listája itt található a GitHub adattárunk.
Ha bármilyen kérdése van a WeLiveSecurity-n közzétett kutatásunkkal kapcsolatban, forduljon hozzánk a következő címen veszélyintel@eset.com.
Az ESET Research privát APT intelligenciajelentéseket és adatfolyamokat kínál. Ha bármilyen kérdése van a szolgáltatással kapcsolatban, keresse fel a ESET Threat Intelligence cimre.
IoCs
Fájlok
SHA-1 |
Filename |
ESET észlelési név |
Leírás |
3C201B2E40357996B383 |
Minagroua111.pdf |
PDF/Fraud.CDY |
Ukrajna elleni információs hadműveletben használt PDF. |
15BF71A771256846D44E |
Mozua.pdf |
PDF/Fraud.CDU |
Ukrajna elleni információs hadműveletben használt PDF. |
960341B2C296C425821E |
Minregion.pdf |
PDF/Fraud.CDT |
Ukrajna elleni információs hadműveletben használt PDF. |
BB14153040608A4F559F |
Minregion.pdf |
PDF/Fraud.CDX |
Ukrajna elleni információs hadműveletben használt PDF. |
Hálózat
IP |
Domén |
Tárhelyszolgáltató |
Először látott |
Részletek |
N / A |
navalny-votes[.]net |
N / A |
2023-09-09 |
Alekszej Navalnijhoz kapcsolódó domain. |
N / A |
navalny-votesmart[.]net |
N / A |
2023-09-09 |
Alekszej Navalnijhoz kapcsolódó domain. |
N / A |
navalny-voting[.]net |
N / A |
2023-09-09 |
Alekszej Navalnijhoz kapcsolódó domain. |
45.9.148[.]165 |
infoattention[.]com |
Nice IT Services Group Inc. |
2023-12-25 |
A Texonto művelet során e-mailek küldésére használt szerver. |
45.9.148[.]207 |
minuaregionbecareful[.]com |
Nice IT Services Group Inc. |
2023-11-23 |
A Texonto művelet során e-mailek küldésére használt szerver. |
45.9.150[.]58 |
stronginfo1[.]com |
Nice IT Services Group Inc. |
2023-12-25 |
A Texonto művelet során e-mailek küldésére használt szerver. |
45.129.199[.]200 |
minuaregion[.]org |
Hostinger |
2023-11-21 |
A Texonto művelet során e-mailek küldésére használt szerver. |
45.129.199[.]222 |
uamtu[.]com |
Hostinger |
2023-11-20 |
A Texonto művelet során e-mailek küldésére használt szerver. |
46.249.58[.]177 |
infonotifi[.]com |
serverius-mnt |
2023-12-28 |
A Texonto művelet során e-mailek küldésére használt szerver. |
89.116.52[.]79 |
uaminagro[.]com |
IPXO LIMITED |
2023-11-17 |
A Texonto művelet során e-mailek küldésére használt szerver. |
154.49.137[.]16 |
choicelive149200[.]com |
Hostinger |
2023-10-26 |
Adathalász szerver. |
185.12.14[.]13 |
infonotification[.]com |
Serverius |
2023-12-28 |
A Texonto művelet során e-mailek küldésére használt szerver. |
193.43.134[.]113 |
login.microsoftidonline[.]com |
Hostinger |
2023-10-03 |
Office 365 adathalász kiszolgáló. |
195.54.160[.]59 |
minagroua[.]org |
BlueVPS |
2023-11-21 |
A Texonto művelet során e-mailek küldésére használt szerver. |
Email címek
- minregion@uaminagro[.]com
- minregion@minuaregion[.]org
- minregion@minuaregionbecareful[.]com
- minregion@uamtu[.]com
- mozua@ua-minagro[.]com
- mozua@minagroua[.]org
- minagroua@vps-3075.lethost[.]hálózat
- happyny@infoattention[.]com
- happyny@stronginfo1[.]com
- happyny@infonotifi[.]com
- happyny@infonotification[.]com
MITER ATT&CK technikák
Ez a táblázat felhasználásával készült 14 verzió a MITER ATT&CK keretrendszer.
taktika |
ID |
Név |
Leírás |
Erőforrás-fejlesztés |
Infrastruktúra megszerzése: Domain |
Az üzemeltetők domain neveket vásároltak a Namecheapnél. |
|
Infrastruktúra beszerzése: Szerver |
Az üzemeltetők szervereket béreltek a Nice IT-nél, a Hostingernél, a Serveriusnál és a BlueVPS-nél. |
||
Kezdeti hozzáférés |
Adathalászat |
Az üzemeltetők dezinformációs tartalmú e-maileket küldtek. |
|
Adathalászat: Spearphishing Link |
Az üzemeltetők e-maileket küldtek egy hamis Microsoft bejelentkezési oldalra mutató hivatkozással. |
||
Védelmi kijátszás |
Maskarázás |
Az üzemeltetők a hivatalos ukrán kormányzati domain nevekhöz hasonló domain neveket használtak. |
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers-context-war/
- :van
- :is
- :nem
- 07
- 1
- 10
- 11
- 116
- 12
- 13
- 14
- 15%
- 16
- 17
- 179
- 180
- 19
- 20
- 2011
- 2019
- 2022
- 2023
- 2024
- 22
- 321
- 39
- 40
- 43
- 49
- 54
- 7
- 8
- 9
- a
- Képes
- Rólunk
- külföldön
- Szerint
- Fiók
- Fiókok
- Akció
- cselekvések
- mellett
- További
- cím
- címek
- tanácsot ad
- megfizethető
- Után
- ellen
- ügynökség
- Mezőgazdasági
- mezőgazdaság
- előre
- összehangolása
- igazított
- Minden termék
- állítólag
- már
- Is
- összeg
- amp
- an
- elemzés
- elemzése
- és a
- és az infrastruktúra
- Másik
- bármilyen
- megfelelő
- jóváhagyás
- APT
- VANNAK
- ARM
- fegyver
- AS
- At
- Támadások
- automatikusan
- elérhető
- elkerülése érdekében
- háttér
- alapvető
- BE
- lett
- mert
- óta
- Kezdet
- hogy
- Fehéroroszország
- Hisz
- tartozó
- lent
- Jobb
- között
- test
- könyv
- mindkét
- megvett
- épült
- megégett
- üzleti
- elfoglalt
- de
- by
- Kampány
- Kampányok
- TUD
- Kanadai
- ami
- eset
- esetek
- Kategória
- ünnepelni
- évszázadok
- megváltozott
- csatornák
- jellemzők
- városok
- Állampolgárok
- közel
- felhő
- gyűjt
- COM
- érkező
- Közös
- Közösségek
- közösség
- Companies
- vállalat
- teljesen
- bonyolult
- átfogó
- kompromisszum
- Magatartás
- bizalom
- MEGERŐSÍTETT
- állandó
- kapcsolat
- tartalmaz
- tartalom
- tartalom
- kontextus
- főtt
- koordinációs
- országok
- Pár
- fedett
- készítette
- Hitelesítő adatok
- Jelenleg
- vágás
- vágás
- a számítógépes bűnözés
- kiberbűnözők
- sötétebb
- dátum
- kedves
- december
- határozott
- Védelem
- Késik
- kézbesítés
- Kereslet
- osztály
- bevetés
- leírt
- tervezett
- elpusztított
- részletek
- észlelt
- Érzékelés
- Fejlesztés
- DID
- Diéta
- különböző
- betegségek
- hamis információ
- terjesztés
- do
- dokumentum
- dokumentumok
- Nem
- DOJ
- domain
- DOMAIN NEVEK
- domainek
- Don
- ne
- kétlem
- kétségek
- hajtás
- gyógyszer
- Kábítószer
- két
- alatt
- minden
- eszik
- bármelyik
- Választás
- villamos energia
- e-mailek
- vészhelyzet
- alkalmazottak
- végén
- energia
- felszerelés
- különösen
- kémkedés
- EU
- európai
- Európai országok
- este
- Még
- események
- példa
- kizárólagosan
- drága
- tapasztalat
- Magyarázza
- Elmagyarázza
- alaposan
- berendezések
- hamisítvány
- család
- messze
- február
- államszövetség
- kevés
- Fields
- Ábra
- Végül
- megállapítások
- vezetéknév
- öt
- Összpontosít
- következő
- élelmiszer
- A
- külföldi
- forma
- talált
- négy
- friss
- barátok
- ból ből
- alap
- jövő
- általános
- kap
- GitHub
- adott
- Go
- cél
- jó
- Kormány
- Kormánytisztviselők
- legnagyobb
- Csoport
- Csoportok
- boldog
- Legyen
- fejlécek
- Egészség
- ennélfogva
- itt
- Magas
- magas szinten
- övé
- történelmileg
- Ünnep
- Homes
- házak
- Hogyan
- How To
- azonban
- HTTPS
- száz
- Több száz
- azonosított
- if
- Illegális
- kép
- importál
- ami fontos
- in
- Más
- tartalmaz
- magában foglalja a
- <p></p>
- mutatók
- egyének
- aljas
- befolyás
- információ
- információs technológia
- Infrastruktúra
- Érdeklődés
- példa
- Intelligencia
- szándékolt
- érdekes
- belső
- bele
- felbecsülhetetlen
- leltár
- vizsgáló
- bevonásával
- IT
- olasz
- ITS
- börtön
- január
- január
- éppen
- Igazság
- Ismer
- földek
- nagy
- keresztnév
- Késő
- a későbbiekben
- indított
- vezető
- vezetékek
- legkevésbé
- Led
- jogos
- lábak
- hadd
- szint
- Valószínű
- LINK
- Összekapcsolása
- linkek
- Lista
- élő
- log
- Belépés
- logisztika
- logo
- Hosszú
- hosszú idő
- hosszabb
- veszteség
- elveszett
- gép
- gépezet
- készült
- Fő
- fontos
- csinál
- rosszindulatú
- malware
- Gyártó
- sok
- Lehet..
- eszközök
- Találkozik
- üzenet
- üzenetek
- üzenetküldés
- módszer
- mód
- microsoft
- Katonai
- bánja
- elmék
- bányák
- minisztérium
- Perc
- hiba
- mérsékelten
- bevételt
- Hónap
- hónap
- több
- a legtöbb
- mozgalom
- Namecheap
- nevek
- nemzet
- Szükség
- hálózat
- soha
- Új
- újév
- szép
- nem
- megjegyezni
- november
- szám
- október
- of
- kedvezmény
- ajánlat
- Ajánlatok
- Office
- hivatalos
- tisztviselők
- Régi
- on
- ONE
- azok
- csak
- hajtású
- működés
- Művelet
- üzemeltetők
- ellenzék
- or
- érdekében
- szervezetek
- eredeti
- Más
- mi
- magunkat
- ki
- Outlook
- átfogó
- átfedés
- saját
- oldal
- oldalak
- Fájdalom
- párok
- rész
- különösen
- múlt
- Emberek (People)
- mert
- időszak
- Pharma
- Gyógyszeripari
- gyógyszertárak
- Adathalászat
- adathalász kampány
- csapok
- terv
- tervezett
- Telephelyek (Plants)
- Plató
- Platón adatintelligencia
- PlatoData
- kérem
- pont
- Rendőrség
- politika
- Népszerű
- népesség
- lehetséges
- esetleg
- megakadályozták
- korábban
- magán
- valószínűleg
- Termékek
- Nyereség
- propaganda
- védelme
- ad
- feltéve,
- szolgáltatók
- pszichológiai
- közzétett
- egészen
- emel
- véletlen
- kezdve
- Inkább
- olvasók
- realizált
- kap
- kapott
- új
- címzettek
- ajánl
- ajánlások
- ajánlott
- ajánlja
- megtagadta
- elutasító
- tekintik
- tekintetében
- régiók
- összefüggő
- felszabaduló
- maradványok
- eszébe jut
- eltávolítás
- eltávolított
- cserélni
- Jelentések
- kötelező
- kutatás
- forrás
- újra
- Reuters
- Revealed
- Feléled
- utak
- futás
- Oroszország
- Oroszország-ukrán háború
- orosz
- Orosz Föderáció
- s
- azonos
- minta
- Megtakarítás
- azt mondja,
- tervezett
- Második
- szektor
- biztonság
- lát
- látszik
- látott
- küld
- elküldés
- küldött
- szerver
- Szerverek
- szolgáltatás
- Szolgáltatások
- számos
- hiány
- hiány
- kellene
- mutatott
- Műsorok
- jelentős
- jelentősen
- hasonló
- hasonlóságok
- Egyszerű
- óta
- Tisztelettel
- weboldal
- helyzet
- néhány
- néha
- némileg
- SOW
- spam
- hangszórók
- különösen
- különleges
- kifejezetten
- ellenére
- terjedése
- kezdet
- kezdődött
- Állapot
- furcsa
- idegen
- tárgy
- Beküldött
- benyújtott
- ilyen
- javasol
- ÖSSZEFOGLALÓ
- nap
- kínálat
- támogatás
- támogatók
- sebészeti
- meglepő
- meglepően
- túlélni
- táblázat
- Vesz
- Tankok
- célzott
- célzás
- célok
- Műszaki
- Technologies
- Technológia
- Telegram
- sablon
- sablonok
- területek
- kipróbált
- mint
- Kösz
- hogy
- A
- A jövő
- az információ
- azok
- Őket
- témák
- akkor
- Ott.
- Ezek
- ők
- Szerintem
- ezt
- azok
- bár?
- fenyegetés
- fenyegetések
- három
- idő
- időrendben
- nak nek
- együtt
- Témakörök
- városok
- Fordítás
- kezelés
- megpróbál
- próbál
- FORDULAT
- csavar
- kettő
- tipikus
- Uk
- Ukrajna
- ukrán
- ukránok
- alatt
- sajnálatos módon
- -ig
- felhasználatlan
- URL
- us
- US DOJ
- USA
- használ
- használt
- hasznos
- használ
- segítségével
- Értékek
- ellenőrzött
- változat
- nagyon
- keresztül
- Látogat
- akar
- háború
- Háború Ukrajnában
- figyelmeztet
- volt
- hullám
- hullámok
- we
- háló
- weboldal
- honlapok
- Hetek
- JÓL
- jól ismert
- voltak
- ami
- míg
- WHO
- akinek
- miért
- szélesség
- Vadon
- lesz
- Téli
- val vel
- belül
- Nyerte
- dolgozó
- írott
- év
- év
- még
- te
- A te
- magad
- zephyrnet