Produk dan penelitian ESET telah melindungi infrastruktur TI Ukraina selama bertahun-tahun. Sejak dimulainya perang pada bulan Februari 2022, kami telah mencegah dan menyelidiki sejumlah besar serangan yang dilancarkan oleh kelompok-kelompok yang bersekutu dengan Rusia. Kami juga telah menerbitkan beberapa temuan paling menarik di WeLiveSecurity:
Meskipun fokus utama kami tetap menganalisis ancaman yang melibatkan malware, kami mendapati diri kami menyelidiki operasi informasi atau operasi psikologis (PSYOP) yang mencoba menimbulkan keraguan di benak orang Ukraina dan penutur bahasa Ukraina di luar negeri.
Operasi Texonto
Operasi Texonto adalah kampanye disinformasi/PSYOP yang menggunakan email spam sebagai metode distribusi utama. Anehnya, para pelaku tampaknya tidak menggunakan saluran umum seperti Telegram atau situs palsu untuk menyampaikan pesannya. Kami mendeteksi dua gelombang berbeda, gelombang pertama pada November 2023 dan gelombang kedua pada akhir Desember 2023. Isi emailnya adalah tentang gangguan pemanasan, kekurangan obat-obatan, dan kekurangan pangan, yang merupakan tema khas propaganda Rusia.
Selain kampanye disinformasi, kami telah mendeteksi kampanye spearphishing yang menargetkan perusahaan pertahanan Ukraina pada bulan Oktober 2023 dan lembaga Uni Eropa pada bulan November 2023. Sasaran keduanya adalah mencuri kredensial akun Microsoft Office 365. Berkat kesamaan infrastruktur jaringan yang digunakan dalam PSYOP dan operasi phishing ini, kami menghubungkan keduanya dengan keyakinan tinggi.
Menariknya, beberapa pivot juga mengungkapkan nama domain yang merupakan bagian dari Operasi Texonto dan terkait dengan topik internal Rusia seperti Alexei Navalny, pemimpin oposisi terkenal Rusia yang dipenjara dan meninggal Pada Februari 16th, 2024. Ini berarti Operasi Texonto kemungkinan mencakup operasi spearphishing atau informasi yang menargetkan pembangkang Rusia dan pendukung mendiang pemimpin oposisi. Domain tersebut meliputi:
- navyny-votes[.]net
- navyny-votesmart[.]net
- pemungutan suara angkatan laut[.]net
Mungkin yang lebih aneh lagi adalah server email, yang dioperasikan oleh penyerang dan digunakan untuk mengirim email PSYOP, digunakan kembali dua minggu kemudian untuk mengirim spam khas apotek Kanada. Kategori bisnis ilegal ini sudah sangat populer dalam komunitas kejahatan dunia maya Rusia sejak lama blogpost dari tahun 2011 menjelaskan.
Gambar 1 merangkum peristiwa-peristiwa utama Operasi Texonto.
Minuman aneh berupa spionase, operasi informasi, dan obat-obatan palsu hanya dapat mengingatkan kita akan hal tersebut Callisto, kelompok spionase dunia maya terkenal yang bersekutu dengan Rusia dan menjadi sasaran sebuah dakwaan oleh DOJ AS pada bulan Desember 2023. Callisto menargetkan pejabat pemerintah, orang-orang di lembaga think tank, dan organisasi terkait militer melalui situs web spearphishing yang dirancang untuk meniru penyedia cloud pada umumnya. Kelompok ini juga menjalankan operasi disinformasi seperti a kebocoran dokumen tepat menjelang pemilihan umum Inggris 2019. Terakhir, beralih pada infrastruktur jaringan lama menyebabkan domain farmasi palsu seperti ototpharm[.]atas or ukrpharma[.]ovh.
Meskipun ada beberapa kesamaan tingkat tinggi antara Operasi Texonto dan operasi Callisto, kami belum menemukan adanya tumpang tindih teknis dan saat ini kami tidak mengaitkan Operasi Texonto dengan pelaku ancaman tertentu. Namun, mengingat TTP, penargetan, dan penyebaran pesan, kami yakin operasi ini dilakukan oleh kelompok yang berpihak pada Rusia.
Kampanye phishing: Oktober–November 2023
Karyawan yang bekerja di perusahaan pertahanan besar Ukraina menerima email phishing pada Oktober 2023, yang konon berasal dari departemen TI mereka. Email dikirim dari itu.[nama_perusahaan_yang disunting]@gmail.com, alamat email yang kemungkinan besar dibuat khusus untuk kampanye ini, dan subjek emailnya Informasi Penting: Pendahuluan (terjemahan mesin dari bahasa Ukraina: Persetujuan yang diminta: Inventaris yang direncanakan).
Isi emailnya adalah sebagai berikut:
Pada tanggal 02 Februari hingga 13 Juli XNUMX Anda telah memasukkan informasi yang Anda butuhkan ke dalam daftar, yang tidak ada hubungannya dengan itu. Saya ingin menghubungi Anda ([redacted_address]@[redacted_company_name].com) у майбутньому, будь ласк dan, melalui pemeriksaan yang diperlukan untuk membantu Anda dalam hal sistem, kesehatan, dan kesehatan Anda perlu melakukannya.
Jika Anda tidak ingin menulis artikel ini, Anda perlu memasukkan status “Permintaan” ke dalam daftar Anda идалена під час планової inнвентаризації ресурсів. Якщо ця поштова адреса не використовується Вами (або її використання не планується в майбутньому), то в цьому випадку не не потрібно виконувати жодних дій – поштову скриньку буде видалено автоматично 13 Juli 2023.
Salam,
Ini adalah teknologi yang sangat berguna.
Terjemahan mesin dari email adalah:
Pada periode 2 Oktober hingga 13 Oktober, pegawai departemen teknologi informasi akan melakukan inventarisasi terjadwal dan pemindahan kotak surat yang tidak terpakai. Jika Anda berencana untuk menggunakan alamat email Anda ([redacted_address]@[redacted_company_name].com) di masa mendatang, silakan buka kotak surat versi web di tautan ini dan masuk menggunakan kredensial Anda.
Tidak ada tindakan tambahan yang diperlukan, kotak surat Anda akan menerima status "dikonfirmasi" dan tidak akan dihapus selama inventarisasi sumber daya terjadwal. Jika alamat email ini tidak Anda gunakan (atau tidak direncanakan penggunaannya di masa mendatang), maka dalam hal ini Anda tidak perlu melakukan tindakan apa pun – kotak surat akan dihapus secara otomatis pada 13 Oktober 2023.
Salam Hormat,
Departemen Teknologi Informasi.
Tujuan dari email ini adalah untuk menarik target agar mengklik за цим посиланням (terjemahan mesin: di tautan ini), yang mengarah ke https://login.microsoftidonline[.]com/common/oauth2/authorize?client_id=[redacted];redirect_uri=https%3a%2f%2foutlook.office365.com%2fowa%2f&resource=[redacted]&response_mode=form_post&response_type=code+id_token&scope=openid&msafed=1&msaredir=1&client-request-id=[redacted]&protectedtoken=true&claims=%7b%22id_token%22%3a%7b%22xms_cc%22%3a%7b%22values%22%3a%5b%22CP1%22%5d%7d%7d%7d&domain_hint=[redacted]&nonce=[redacted]&state=[redacted] (sebagian disunting). URL ini menunjuk ke domain berbahaya login.microsoftiddalam talian[.]com. Perhatikan bahwa domain ini sangat mirip dengan domain resmi, login.microsoftonline.com.
Kami belum dapat mengambil halaman phishing tersebut, tapi kemungkinan besar itu adalah halaman login Microsoft palsu yang dimaksudkan untuk mencuri kredensial target.
Untuk domain lain milik Operasi Texonto, choicelive149200[.]com, ada dua kiriman VirusTotal (satu dan dua) untuk URL-nya https://choicelive149200[.]com/owa/auth/logon.aspx?replaceCurrent=1&url=https://hbd.eupolcopps.eu/owa/. Sayangnya, situs tersebut tidak lagi dapat dijangkau pada saat analisis, namun kemungkinan besar itu adalah halaman phishing kredensial untuk Outlook di web/webmail OWA dari eupolcopps.eu, Kantor Koordinasi Uni Eropa untuk Dukungan Polisi Palestina. Perhatikan bahwa kami belum melihat contoh email, hanya URL yang dikirimkan ke VirusTotal.
Gelombang PSYOP pertama: November 2023
Pada tanggal 20th, kami mendeteksi gelombang pertama email disinformasi dengan lampiran PDF yang dikirimkan ke setidaknya beberapa ratus penerima di Ukraina. Orang-orang yang bekerja di pemerintah Ukraina, perusahaan energi, dan bahkan individu, menerima email tersebut. Kami tidak tahu bagaimana daftar alamat email dibuat.
Bertentangan dengan kampanye phishing yang dijelaskan sebelumnya, tujuan email ini adalah untuk menabur keraguan di benak masyarakat Ukraina; misalnya, satu email mengatakan bahwa “Mungkin ada gangguan pemanasan di musim dingin ini”. Tampaknya tidak ada tautan berbahaya atau malware dalam gelombang khusus ini, hanya disinformasi.
Gambar 2 menunjukkan contoh email. Subjeknya adalah Рекомендації моз україни на тлі дефіциту ліків (terjemahan mesin dari bahasa Ukraina: Rekomendasi Kementerian Kesehatan Ukraina pada saat kekurangan obat-obatan) dan email dikirim dari mozua@ua-minagro[.]com. Perhatikan bahwa alamat ini dapat dilihat di amplop-dari dan jalur kembali bidang.
ua-minagro[.]com adalah domain yang dioperasikan oleh penyerang dan digunakan secara eksklusif untuk mengirimkan email disinformasi dalam kampanye ini. Domain tersebut menyamar sebagai Kementerian Kebijakan Agraria dan Pangan Ukraina yang merupakan domain sahnya minagro.gov.ua.
Dokumen PDF dilampirkan pada email, seperti yang ditunjukkan pada Gambar 3. Meskipun tidak berbahaya, namun juga berisi pesan disinformasi.
Dokumen tersebut menyalahgunakan logo Kementerian Kesehatan Ukraina dan menjelaskan bahwa akibat perang, terjadi kekurangan obat di Ukraina. Laporan tersebut juga menyatakan bahwa pemerintah Ukraina menolak mengimpor obat-obatan dari Rusia dan Belarus. Di halaman kedua dijelaskan cara mengganti beberapa obat dengan tanaman.
Menariknya, email tersebut dikirim dari domain yang menyamar sebagai Kementerian Kebijakan Agraria dan Pangan Ukraina, padahal isinya tentang kekurangan obat dan PDF-nya menyalahgunakan logo Kementerian Kesehatan Ukraina. Ini mungkin kesalahan penyerang atau, setidaknya, menunjukkan bahwa mereka tidak peduli dengan semua detail.
Selain ua-minagro[.]com, lima domain tambahan digunakan untuk mengirim email pada gelombang ini:
- uaminagro[.]com
- minuaregion[.]org
- minuaregionbecareful[.]com
- uamtu[.]com
- minagroua[.]org
minuaregion[.]org dan minuaregionbecareful[.]com menyamar sebagai Kementerian Reintegrasi Wilayah Pendudukan Sementara Ukraina yang situs resminya adalah https://minre.gov.ua/en/.
uamtu[.]com menyamar sebagai Kementerian Pembangunan Komunitas, Wilayah dan Infrastruktur Ukraina, yang situs resminya adalah https://mtu.gov.ua.
Kami telah mengidentifikasi tiga templat pesan email yang berbeda, masing-masing dengan isi surat dan lampiran PDF yang berbeda. Ringkasannya disajikan pada Tabel 1.
Tabel 1. Email disinformasi
body email |
Terjemahan mesin dari badan email |
Sistem yang mengatur masalah-masalah yang ada di dalam sistem. Oleh karena itu, perusahaan-perusahaan listrik di seluruh dunia dapat melakukan panggilan telepon yang dapat diandalkan ya. Apa yang harus dilakukan di kota-kota ini, yang akan dilakukan: |
Militer Rusia secara sistematis menembaki infrastruktur fasilitas energi. Pasokan pemanas jika terjadi keadaan darurat dan listrik ke rumah-rumah mungkin terputus sama sekali. Untuk bertahan dalam situasi seperti ini, kami merekomendasikan hal berikut: |
Anda dapat melakukan hal ini dengan benar. Suhu yang ada di dalam ruangan mungkin tidak dapat digunakan dalam waktu yang lama. Anda mungkin tidak dapat melakukan apa pun yang Anda inginkan, karena tidak ada yang perlu dilakukan я під постійною загрозою. Jika demikian, Anda mungkin perlu melakukan tindakan yang tidak bertanggung jawab. |
Mungkin ada gangguan pemanasan pada musim dingin ini. Tingkat suhu di dalam rumah bisa beberapa derajat di bawah nilai yang diizinkan. Dalam beberapa kasus, bahkan dimungkinkan untuk mematikan pemanas, keamanan energi fasilitas selalu terancam. Dalam hal ini, kami menyarankan Anda untuk mempertimbangkan rekomendasi berikut. |
Міністерство охорони здоров'я попереджає про дефіцит ліків в аптеках — доставка деяких препаратів на т ini adalah layanan yang dapat Anda gunakan. З початком війни з РФ Україна повністю відмовилася від лікарських засобів російських in білоруських фармацевтичних компаній, доходи населення впали, а inноземні ліки, логістика яких змінилася in стала більш складною in вартісною, значно подорожчали. Oleh karena itu, kami akan membantu Anda melakukan pembelian kembali panggilan telepon, panggilan telepon, panggilan telepon. Jika ini adalah masalah yang mungkin terjadi, maka Anda tidak perlu melakukan apa pun selain itu перевірених століттями народних методів лікування in випустив відповідні рекомендації. |
Kementerian Kesehatan memperingatkan akan kekurangan obat-obatan di apotek — pengiriman beberapa obat mungkin tertunda karena meningkatnya permintaan. Dengan dimulainya perang dengan Federasi Rusia, Ukraina sepenuhnya menolak perusahaan obat-obatan farmasi Rusia dan Belarusia, pendapatan penduduk turun, dan obat-obatan asing, yang logistiknya berubah dan menjadi lebih kompleks dan mahal, menjadi jauh lebih mahal. Pada saat yang sama, permintaan terbesar datang dari masyarakat. Ukraina menggunakan kelompok obat untuk pengobatan penyakit kronis, obat penenang, pereda nyeri dan alat bedah. Dengan latar belakang kekurangan tersebut, Kementerian Kesehatan Ukraina mengingatkan warganya untuk tidak mengabaikan pengalaman berharga dari metode pengobatan tradisional yang telah teruji selama berabad-abad dan merilis metode pengobatan yang sesuai dan direkomendasikan. |
Anda dapat menghubungi kami di toko online Ukraina. Ada banyak orang yang bisa membantu, menggunakan teknik yang tepat. Ada banyak hal yang perlu dilakukan tentang teknik teknis, teknis dan teknis. Apakah Anda telah menetapkan kebijakan-kebijakan yang akan membantu Anda dalam menangani masalah Anda? Anda perlu melakukan lebih banyak hal. Banyak orang yang menggunakan layanan ini untuk melakukan pekerjaan dan layanan. Selain itu, orang-orang yang melakukan hal ini akan melakukan hal yang sama dan kemudian melakukan hal yang sama. Banyak perusahaan yang terlibat dalam bisnis Anda. |
Agresi Rusia menyebabkan kerugian yang signifikan di sektor pertanian Ukraina. Tanahnya tercemar ranjau, dirusak oleh peluru, parit, dan pergerakan peralatan militer. Sejumlah besar mesin pertanian rusak dan hancur, serta lumbung hancur. Hingga situasi stabil, Kementerian Kebijakan Agraria dan Pangan merekomendasikan untuk mendiversifikasi pola makan Anda dengan hidangan yang terbuat dari tumbuhan liar yang tersedia. Mengonsumsi herba segar dan berair dalam bentuk salad adalah cara paling sederhana, bermanfaat, dan terjangkau. Ingatlah bahwa Anda harus mengumpulkan tanaman jauh dari kota besar dan kecil, serta dari jalan raya yang sibuk. Kami menawarkan kepada Anda beberapa resep yang bermanfaat dan mudah disiapkan. |
Lampiran PDF terkait diduga berasal dari Kementerian Wilayah Ukraina (lihat Gambar 4) dan Kementerian Pertanian (lihat Gambar 5).
Dalam dokumen terakhir, diduga dari Kementerian Pertanian, mereka menyarankan untuk makan “merpati risotto” dan bahkan mereka memberikan foto merpati hidup dan merpati yang sudah dimasak.… Ini menunjukkan bahwa dokumen-dokumen tersebut sengaja dibuat untuk membuat marah pembacanya.
Secara keseluruhan, pesan-pesan tersebut selaras dengan tema-tema propaganda umum Rusia. Mereka berusaha membuat rakyat Ukraina percaya bahwa mereka tidak akan mempunyai obat-obatan, makanan, dan pemanas karena perang Rusia-Ukraina.
Gelombang PSYOP kedua: Desember 2023
Sekitar sebulan setelah gelombang pertama, kami mendeteksi kampanye email PSYOP kedua yang menargetkan tidak hanya warga Ukraina, tetapi juga orang-orang di negara-negara Eropa lainnya. Sasarannya agak acak, mulai dari pemerintah Ukraina hingga produsen sepatu Italia. Karena semua email ditulis dalam bahasa Ukraina, kemungkinan besar target asingnya adalah penutur bahasa Ukraina. Menurut telemetri ESET, beberapa ratus orang menerima email pada gelombang kedua ini.
Kami menemukan dua templat email berbeda di gelombang ini. Yang pertama dikirim pada 25 Desemberth dan ditunjukkan pada Gambar 6. Sedangkan untuk gelombang pertama, pesan email dikirim dari server email yang dioperasikan oleh penyerang, infoattention[.]com pada kasus ini.
Terjemahan mesin dari badan email adalah sebagai berikut:
Warga Ukraina yang terkasih, kami mengucapkan selamat kepada Anda atas liburan terhangat dan paling kekeluargaan – Tahun Baru!
Kami dengan tulus ingin Anda merayakan tahun 2024 bersama keluarga Anda! Semoga keluarga dan teman Anda tidak pernah sakit! Merawat satu sama lain! Hanya bersama-sama kita akan mampu mengusir para pemuja setan dari Amerika Serikat dan antek-antek mereka dari tanah asli Rusia! Mari kita hidupkan kembali Kievan Rus meskipun ada musuh kita! Mari selamatkan nyawa orang-orang! Dari Rusia dengan cinta!
Selamat berlibur, teman-teman terkasih!
Templat email kedua, ditunjukkan pada Gambar 7, dikirim pada tanggal 26 Desemberth, 2023 dari server email lain: info kuat1[.]com. Selama gelombang ini, dua alamat email tambahan digunakan:
- happyny@infonotifi[.]com
- happyny@infonotifikasi[.]com
Terjemahan mesin dari badan email adalah sebagai berikut:
Selamat Tahun Baru, saudara-saudara Ukraina! Di malam tahun baru, saatnya mengingat betapa nikmatnya memiliki dua pasang kaki dan tangan, namun jika Anda kehilangan salah satunya, jangan kecewa – artinya Anda tidak akan bertemu tentara Rusia di tahun baru. sebuah parit. Dan jika semua anggota tubuhmu utuh, maka kami tidak iri padamu. Kami merekomendasikan untuk memotong atau menggergaji sendiri setidaknya satu dari empat hal tersebut – beberapa menit kesakitan, tetapi kemudian hidup bahagia!
Selamat Tahun Baru, warga Ukraina! Ingatlah bahwa terkadang satu lebih baik daripada dua!
Meskipun kampanye email PSYOP pertama pada bulan November 2023 cukup dipersiapkan dengan baik, dengan dokumen PDF yang dibuat khusus dan cukup meyakinkan, kampanye kedua ini lebih mendasar dan pesannya lebih gelap. Templat email kedua sangat meresahkan, karena para penyerang menyarankan orang-orang mengamputasi kaki atau lengan mereka untuk menghindari penempatan militer. Secara keseluruhan, ia memiliki semua karakteristik PSYOP pada masa perang.
Spam apotek Kanada: Januari 2024
Dalam kejadian yang cukup mengejutkan, salah satu domain yang digunakan untuk mengirim email PSYOP pada bulan Desember 2023, infonotifikasi[.]com, mulai digunakan untuk mengirim spam apotek Kanada pada 7 Januarith, 2024.
Contohnya diberikan pada Gambar 8 dan tautannya dialihkan ke situs web apotek Kanada palsu pusat farmasi online[.]com. Kampanye spam ini cukup besar (setidaknya mencapai ratusan pesan) dan orang-orang di banyak negara menerima email semacam itu.
Email dikirim dari happyny@infonotifikasi[.]com dan ini telah diverifikasi di header email:
Return-Path: <happyny@infonotification[.]com>
Delivered-To: [redacted]
[redacted]
Received: from infonotification[.]com ([185.12.14[.]13]) by [redacted] with esmtps (TLS1.3:TLS_AES_256_GCM_SHA384:256) [redacted] Sun, 07 Jan 2024 12:39:10 +0000
Spam farmasi palsu Kanada adalah bisnis yang secara historis dioperasikan oleh penjahat dunia maya Rusia. Hal ini diliput secara luas di masa lalu oleh blogger seperti Brian Krebs, terutama dalam bukunya Spam Nation.
Tautan antara kampanye spam ini
Meskipun kami tidak mengetahui alasan operator kampanye PSYOP memutuskan untuk menggunakan kembali salah satu server mereka untuk mengirim spam apotek palsu, kemungkinan besar mereka menyadari bahwa infrastruktur mereka terdeteksi. Oleh karena itu, mereka mungkin memutuskan untuk mencoba memonetisasi infrastruktur yang sudah terbakar, baik untuk keuntungan mereka sendiri atau untuk mendanai operasi spionase atau PSYOP di masa depan. Gambar 9 merangkum hubungan antara berbagai domain dan kampanye.
Kesimpulan
Sejak dimulainya perang di Ukraina, kelompok-kelompok yang bersekutu dengan Rusia seperti Sandworm sibuk mengganggu infrastruktur TI Ukraina dengan menggunakan wiper. Dalam beberapa bulan terakhir, kita telah mengamati peningkatan dalam operasi spionase dunia maya, terutama yang dilakukan oleh kelompok terkenal Gamaredon.
Operasi Texonto menunjukkan penggunaan teknologi lainnya untuk mencoba mempengaruhi perang. Kami menemukan beberapa halaman login Microsoft palsu, namun yang terpenting, ada dua gelombang PSYOP melalui email yang mungkin mencoba mempengaruhi dan menurunkan moral warga Ukraina dengan pesan disinformasi tentang topik terkait perang.
Daftar lengkap Indikator Kompromi (IoC) dan sampel dapat ditemukan di repositori GitHub kami.
Untuk pertanyaan apa pun tentang penelitian kami yang dipublikasikan di WeLiveSecurity, silakan hubungi kami di ancamanintel@eset.com.
ESET Research menawarkan laporan intelijen APT pribadi dan umpan data. Untuk setiap pertanyaan tentang layanan ini, kunjungi Intelijen Ancaman ESET .
IoC
File
SHA-1 |
Filename |
Nama deteksi ESET |
Deskripsi Produk |
3C201B2E40357996B383 |
Minagroua111.pdf |
PDF/Penipuan.CDY |
PDF digunakan dalam operasi informasi melawan Ukraina. |
15BF71A771256846D44E |
Mozua.pdf |
PDF/Penipuan.CDU |
PDF digunakan dalam operasi informasi melawan Ukraina. |
960341B2C296C425821E |
Wilayah Min.pdf |
PDF/Penipuan.CDT |
PDF digunakan dalam operasi informasi melawan Ukraina. |
BB14153040608A4F559F |
Wilayah Min.pdf |
PDF/Penipuan.CDX |
PDF digunakan dalam operasi informasi melawan Ukraina. |
jaringan
IP |
Domain |
Penyedia hosting |
Pertama kali melihat |
Rincian |
N / A |
navyny-votes[.]net |
N / A |
2023-09-09 |
Domain terkait dengan Alexei Navalny. |
N / A |
navyny-votesmart[.]net |
N / A |
2023-09-09 |
Domain terkait dengan Alexei Navalny. |
N / A |
pemungutan suara angkatan laut[.]net |
N / A |
2023-09-09 |
Domain terkait dengan Alexei Navalny. |
45.9.148[.]165 |
infoattention[.]com |
Grup Layanan TI yang bagus Inc. |
2023-12-25 |
Server yang digunakan untuk mengirim email dalam Operasi Texonto. |
45.9.148[.]207 |
minuaregionbecareful[.]com |
Grup Layanan TI yang bagus Inc. |
2023-11-23 |
Server yang digunakan untuk mengirim email dalam Operasi Texonto. |
45.9.150[.]58 |
info kuat1[.]com |
Grup Layanan TI yang bagus Inc. |
2023-12-25 |
Server yang digunakan untuk mengirim email dalam Operasi Texonto. |
45.129.199[.]200 |
minuaregion[.]org |
Hostinger |
2023-11-21 |
Server yang digunakan untuk mengirim email dalam Operasi Texonto. |
45.129.199[.]222 |
uamtu[.]com |
Hostinger |
2023-11-20 |
Server yang digunakan untuk mengirim email dalam Operasi Texonto. |
46.249.58[.]177 |
infonotifikasi[.]com |
serverius-mnt |
2023-12-28 |
Server yang digunakan untuk mengirim email dalam Operasi Texonto. |
89.116.52[.]79 |
uaminagro[.]com |
IPXO TERBATAS |
2023-11-17 |
Server yang digunakan untuk mengirim email dalam Operasi Texonto. |
154.49.137[.]16 |
choicelive149200[.]com |
Hostinger |
2023-10-26 |
Server phishing. |
185.12.14[.]13 |
infonotifikasi[.]com |
Serverius |
2023-12-28 |
Server yang digunakan untuk mengirim email dalam Operasi Texonto. |
193.43.134[.]113 |
login.microsoftidonline[.]com |
Hostinger |
2023-10-03 |
Server phishing Office 365. |
195.54.160[.]59 |
minagroua[.]org |
VPS Biru |
2023-11-21 |
Server yang digunakan untuk mengirim email dalam Operasi Texonto. |
Alamat email
- minregion@uaminagro[.]com
- minregion@minuaregion[.]org
- minregion@minuaregionbecareful[.]com
- minregion@uamtu[.]com
- mozua@ua-minagro[.]com
- mozua@minagroua[.]org
- minagroua@vps-3075.lethost[.]jaringan
- happyny@infoattention[.]com
- happyny@stronginfo1[.]com
- happyny@infonotifi[.]com
- happyny@infonotifikasi[.]com
Teknik ATT&CK MITER
Tabel ini dibuat menggunakan versi 14 dari kerangka MITRE ATT&CK.
Taktik |
ID |
Nama |
Deskripsi Produk |
Pengembangan Sumber Daya |
Akuisisi Infrastruktur: Domain |
Operator membeli nama domain di Namecheap. |
|
Dapatkan Infrastruktur: Server |
Operator menyewa server di Nice IT, Hostinger, Serverius, dan BlueVPS. |
||
Akses Awal |
phishing |
Operator mengirim email dengan konten disinformasi. |
|
Phishing: Tautan Spearphishing |
Operator mengirim email dengan link ke halaman login Microsoft palsu. |
||
Penghindaran Pertahanan |
Menyamar |
Operator menggunakan nama domain yang mirip dengan nama domain resmi pemerintah Ukraina. |
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers-context-war/
- :memiliki
- :adalah
- :bukan
- 07
- 1
- 10
- 11
- 116
- 12
- 13
- 14
- 15%
- 16
- 17
- 179
- 180
- 19
- 20
- 2011
- 2019
- 2022
- 2023
- 2024
- 22
- 321
- 39
- 40
- 43
- 49
- 54
- 7
- 8
- 9
- a
- Sanggup
- Tentang Kami
- di luar negeri
- Menurut
- Akun
- Akun
- Tindakan
- tindakan
- tambahan
- Tambahan
- alamat
- alamat
- menasihati
- terjangkau
- Setelah
- terhadap
- badan
- Pertanian
- pertanian
- di depan
- meluruskan
- selaras
- Semua
- diduga
- sudah
- juga
- jumlah
- amp
- an
- analisis
- menganalisis
- dan
- dan infrastruktur
- Lain
- Apa pun
- sesuai
- persetujuan
- APT
- ADALAH
- ARM
- senjata
- AS
- At
- Serangan
- secara otomatis
- tersedia
- menghindari
- latar belakang
- dasar
- BE
- menjadi
- karena
- menjadi
- Awal
- makhluk
- Belarus
- Percaya
- termasuk
- di bawah
- Lebih baik
- antara
- tubuh
- Book
- kedua
- membeli
- dibangun di
- dibakar
- bisnis
- sibuk
- tapi
- by
- Kampanye
- Kampanye
- CAN
- Kanada
- yang
- kasus
- kasus
- Kategori
- merayakan
- abad
- berubah
- saluran
- karakteristik
- kota
- Warga
- Penyelesaian
- awan
- mengumpulkan
- COM
- kedatangan
- Umum
- Masyarakat
- masyarakat
- Perusahaan
- perusahaan
- sama sekali
- kompleks
- luas
- kompromi
- Mengadakan
- kepercayaan
- DIKONFIRMASI
- konstan
- kontak
- mengandung
- Konten
- isi
- konteks
- matang
- koordinasi
- negara
- sepasang
- tercakup
- dibuat
- Surat kepercayaan
- Sekarang
- Memotong
- pemotongan
- cybercrime
- penjahat cyber
- gelap
- data
- sayang
- Desember
- memutuskan
- Pertahanan
- terlambat
- pengiriman
- Permintaan
- Departemen
- penyebaran
- dijelaskan
- dirancang
- musnah
- rincian
- terdeteksi
- Deteksi
- Pengembangan
- MELAKUKAN
- Diet
- berbeda
- penyakit
- disinformasi
- distribusi
- do
- dokumen
- dokumen
- Tidak
- DoJ
- domain
- NAMA DOMAIN
- domain
- don
- Dont
- meragukan
- keraguan
- mendorong
- obat
- Obat-obatan
- dua
- selama
- setiap
- makan
- antara
- pemilihan
- listrik
- keadaan darurat
- karyawan
- akhir
- energi
- peralatan
- terutama
- spionase
- EU
- Eropa
- Negara-negara Eropa
- malam
- Bahkan
- peristiwa
- contoh
- khusus
- mahal
- pengalaman
- Menjelaskan
- Menjelaskan
- secara ekstensif
- fasilitas
- gadungan
- keluarga
- jauh
- Februari
- Federasi
- beberapa
- Fields
- Angka
- Akhirnya
- Temuan
- Pertama
- lima
- Fokus
- berikut
- makanan
- Untuk
- asing
- bentuk
- ditemukan
- empat
- segar
- teman
- dari
- dana
- masa depan
- Umum
- mendapatkan
- GitHub
- diberikan
- Go
- tujuan
- baik
- Pemerintah
- Pejabat pemerintah
- terbesar
- Kelompok
- Grup
- senang
- Memiliki
- header
- Kesehatan
- karenanya
- di sini
- High
- tingkat tinggi
- -nya
- secara historis
- Liburan
- Rumah
- rumah
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- Namun
- HTTPS
- ratus
- Ratusan
- diidentifikasi
- if
- liar
- gambar
- mengimpor
- penting
- in
- Di lain
- memasukkan
- termasuk
- Pada meningkat
- indikator
- individu
- hina
- mempengaruhi
- informasi
- teknologi informasi
- Infrastruktur
- Pertanyaan
- contoh
- Intelijen
- dimaksudkan
- menarik
- intern
- ke
- tak ternilai
- inventaris
- menyelidiki
- melibatkan
- IT
- Italia
- NYA
- penjara
- jan
- Januari
- hanya
- Keadilan
- Tahu
- Tanah
- besar
- Terakhir
- Terlambat
- kemudian
- diluncurkan
- pemimpin
- Memimpin
- paling sedikit
- Dipimpin
- sah
- kaki
- membiarkan
- Tingkat
- Mungkin
- LINK
- menghubungkan
- link
- Daftar
- hidup
- mencatat
- masuk
- logistik
- logo
- Panjang
- lama
- lagi
- kerugian
- kalah
- mesin
- mesin-mesin
- terbuat
- Utama
- utama
- membuat
- jahat
- malware
- Pabrikan
- banyak
- Mungkin..
- cara
- Pelajari
- pesan
- pesan
- pesan
- metode
- metode
- Microsoft
- Militer
- keberatan
- pikiran
- tambang
- kementerian
- menit
- kesalahan
- sedang
- uangkan
- Bulan
- bulan
- lebih
- paling
- gerakan
- Namecheap
- nama
- bangsa
- Perlu
- jaringan
- tak pernah
- New
- Tahun Baru
- bagus
- tidak
- mencatat
- November
- jumlah
- Oktober
- of
- lepas
- menawarkan
- Penawaran
- Office
- resmi
- pejabat
- Tua
- on
- ONE
- yang
- hanya
- dioperasikan
- operasi
- Operasi
- operator
- oposisi
- or
- urutan
- organisasi
- asli
- Lainnya
- kami
- diri
- di luar
- Outlook
- secara keseluruhan
- tumpang tindih
- sendiri
- halaman
- halaman
- Sakit
- pasang
- bagian
- khususnya
- lalu
- Konsultan Ahli
- untuk
- periode
- Pharma
- farmasi
- apotek
- Phishing
- kampanye phishing
- foto
- Pivot
- rencana
- berencana
- tanaman
- plato
- Kecerdasan Data Plato
- Data Plato
- silahkan
- poin
- Polisi
- kebijaksanaan
- Populer
- populasi
- mungkin
- mungkin
- dicegah
- sebelumnya
- swasta
- mungkin
- Produk
- Keuntungan
- propaganda
- melindungi
- memberikan
- disediakan
- penyedia
- psikologis
- diterbitkan
- agak
- menaikkan
- acak
- mulai
- agak
- pembaca
- menyadari
- menerima
- diterima
- baru
- penerima
- sarankan
- rekomendasi
- direkomendasikan
- merekomendasikan
- menolak
- penolakan
- menganggap
- salam
- daerah
- terkait
- dirilis
- sisa
- ingat
- pemindahan
- Dihapus
- menggantikan
- laporan
- wajib
- penelitian
- sumber
- menggunakan kembali
- Reuters
- Terungkap
- Menghidupkan kembali
- jalan
- Run
- Rusia
- Perang Rusia-Ukraina
- Rusia
- Federasi Rusia
- s
- sama
- mencicipi
- Save
- mengatakan
- dijadwalkan
- Kedua
- sektor
- keamanan
- melihat
- terlihat
- terlihat
- mengirim
- mengirim
- mengirim
- Server
- Server
- layanan
- Layanan
- beberapa
- kekurangan
- kekurangan
- harus
- ditunjukkan
- Pertunjukkan
- penting
- signifikan
- mirip
- kesamaan
- Sederhana
- sejak
- sungguh-sungguh
- situs web
- situasi
- beberapa
- kadang-kadang
- agak
- menabur
- Spam
- speaker
- khususnya
- tertentu
- Secara khusus
- Meskipun
- penyebaran
- awal
- mulai
- Status
- aneh
- orang asing
- subyek
- Submissions
- disampaikan
- seperti itu
- menyarankan
- RINGKASAN
- matahari
- menyediakan
- mendukung
- pendukung
- bedah
- mengherankan
- heran
- bertahan
- tabel
- Mengambil
- Tank
- ditargetkan
- penargetan
- target
- Teknis
- Teknologi
- Teknologi
- Telegram
- Template
- template
- wilayah
- diuji
- dari
- Terima kasih
- bahwa
- Grafik
- Masa depan
- informasi
- mereka
- Mereka
- tema
- kemudian
- Sana.
- Ini
- mereka
- berpikir
- ini
- itu
- meskipun?
- ancaman
- ancaman
- tiga
- waktu
- waktu
- untuk
- bersama
- Topik
- kota-kota
- Terjemahan
- pengobatan
- mencoba
- mencoba
- MENGHIDUPKAN
- twist
- dua
- khas
- Uk
- Ukraina
- Ukraina
- Ukraina
- bawah
- sayangnya
- sampai
- terpakai
- URL
- us
- DOJ AS
- Amerika Serikat
- menggunakan
- bekas
- berguna
- kegunaan
- menggunakan
- Nilai - Nilai
- diverifikasi
- versi
- sangat
- melalui
- Mengunjungi
- ingin
- perang
- Perang di Ukraina
- Peringatkan
- adalah
- Gelombang
- ombak
- we
- jaringan
- Situs Web
- situs web
- minggu
- BAIK
- terkenal
- adalah
- yang
- sementara
- SIAPA
- yang
- mengapa
- lebar
- Liar
- akan
- Musim dingin
- dengan
- dalam
- Won
- kerja
- tertulis
- tahun
- tahun
- namun
- Kamu
- Anda
- diri
- zephyrnet.dll