מוצרי ESET ומחקרים מגינים על תשתית IT אוקראינית במשך שנים. מאז תחילת המלחמה בפברואר 2022, מנענו וחקרנו מספר לא מבוטל של התקפות שבוצעו על ידי ארגונים המיושרים לרוסיה. פרסמנו גם כמה מהממצאים המעניינים ביותר ב-WeLiveSecurity:
למרות שההתמקדות העיקרית שלנו נותרה בניתוח איומים הכוללים תוכנות זדוניות, מצאנו את עצמנו חוקרים פעולת מידע או פעולה פסיכולוגית (PSYOP) שמנסה להעלות ספקות במוחם של אוקראינים ודוברי אוקראינית בחו"ל.
מבצע טקסונטו
מבצע טקסונטו הוא קמפיין דיסאינפורמציה/PSYOP המשתמש בדואר זבל כשיטת ההפצה העיקרית. באופן מפתיע, לא נראה שהמבצעים השתמשו בערוצים נפוצים כמו טלגרם או אתרים מזויפים כדי להעביר את המסרים שלהם. זיהינו שני גלים שונים, הראשון בנובמבר 2023 והשני בסוף דצמבר 2023. תוכן המיילים היה על הפרעות חימום, מחסור בסמים ומחסור במזון, שהם נושאים אופייניים לתעמולה הרוסית.
בנוסף למסע הדיסאינפורמציה, זיהינו מסע דיוג שכוון לחברה ביטחונית אוקראינית באוקטובר 2023 ולסוכנות האיחוד האירופי בנובמבר 2023. המטרה של שניהם הייתה לגנוב אישורים עבור חשבונות Microsoft Office 365. הודות לדמיון בתשתית הרשת המשמשת ב-PSYOPs אלה ופעולות דיוג, אנו מקשרים ביניהם בביטחון רב.
מעניין שעוד כמה צירים חשפו גם שמות מתחם שהם חלק ממבצע טקסונטו וקשורים לנושאים פנימיים רוסיים כמו אלכסיי נבלני, מנהיג האופוזיציה הרוסי הידוע שהיה בכלא מת ב- 16 בפברוארth, 2024. המשמעות היא שמבצע טקסונטו כולל ככל הנראה מבצעי חנית או מידע המכוונים למתנגדי משטר רוסים ותומכיו של מנהיג האופוזיציה המנוח. תחומים אלה כוללים:
- navalny-votes[.]נטו
- navalny-votesmart[.]net
- navalny-הצבעה[.]נטו
אולי מוזר עוד יותר הוא ששרת דוא"ל, שהופעל על ידי התוקפים ומשמש לשליחת מיילים של PSYOP, נעשה שימוש חוזר שבועיים לאחר מכן כדי לשלוח דואר זבל טיפוסי של בתי מרקחת קנדיים. קטגוריה זו של עסקים בלתי חוקיים הייתה פופולרית מאוד בקהילת פשע הסייבר הרוסית במשך זמן רב, שכן זו פוסט בבלוג מ-2011 מסביר.
איור 1 מסכם את האירועים העיקריים של מבצע טקסונטו.
המבשלה המוזרה של ריגול, פעולות מידע ופארמה מזויפת יכולה רק להזכיר לנו קליסטו, קבוצת ריגול סייבר ידועה מיושרת רוסיה, שהייתה מושא לארגון כתב האישום על ידי משרד המשפטים האמריקאי בדצמבר, 2023. Callisto מכוון לפקידי ממשל, אנשים בצוותי חשיבה וארגונים הקשורים לצבא באמצעות אתרי אינטרנט שנועדו לחקות ספקי ענן נפוצים. הקבוצה גם ניהלה פעולות דיסאינפורמציה כמו א דליפת מסמכים ממש לפני הבחירות הכלליות בבריטניה ב-2019. לבסוף, סיבוב על תשתית הרשת הישנה שלה מוביל לדומיינים מזויפים של פארמה כגון musclepharm[.]top or ukrpharma[.]ovh.
אמנם ישנן מספר נקודות דמיון ברמה גבוהה בין מבצעי טקסונטו ומבצעי קליסטו, אך לא מצאנו חפיפה טכנית, וכרגע איננו מייחסים את מבצע טקסנטו לשחקן איום ספציפי. עם זאת, בהתחשב ב-TTPs, במיקוד והתפשטות ההודעות, אנו מייחסים את הפעולה בביטחון רב לקבוצה מיושרת רוסית.
קמפיין דיוג: אוקטובר-נובמבר 2023
עובדים שעבדו בחברת הגנה אוקראינית גדולה קיבלו אימייל דיוג באוקטובר 2023, שהגיע לכאורה ממחלקת ה-IT שלהם. המיילים נשלחו מ זה.[redacted_company_name]@gmail.com, קרוב לוודאי כתובת דוא"ל שנוצרה במיוחד עבור מסע פרסום זה, ונושא הדוא"ל היה מידע נוסף: מידע נוסף (תרגום מכונה מאוקראינית: נדרש אישור: מלאי מתוכנן).
תוכן המייל הוא כדלקמן:
קבוצה של 02 שבוע ב 13 בדיקה מפורטת הצג מידע מידע טלפונית טלפון я поштових скриньок, що не використовуються. Якщо плануєте використовувати свою поштову כתובת ([redacted_address]@[redacted_company_name].com) у майбутньому, ב- אם יש לך מידע על מערכת הביטחון, תוכל לראות את המערכת.
Жодних додаткових дій не потрібно, Ваша поштова скринька отримає статус "підтверджений" іnе бедне інвентаризації ресурсів. Якщо ця поштова адреса не використовується Вами (або її використання не планується в майбуться в майбутне), не потрібно виконувати жодних дій – поштову скриньку буде видалено автоматично 13 жовтня 2023 рок.
З повагою,
Відділ іnformation технологій.
תרגום מכונה של המייל הוא:
בתקופה שבין ה-2 באוקטובר עד ה-13 באוקטובר יבצעו עובדי מחלקת טכנולוגיות המידע ביצוע מלאי מתוכנן ופינוי תיבות דואר שאינן בשימוש. אם אתה מתכנן להשתמש בכתובת הדואר האלקטרוני שלך ([redacted_address]@[redacted_company_name].com) בעתיד, אנא עבור לגרסת האינטרנט של תיבת הדואר בקישור הזה והיכנס באמצעות האישורים שלך.
אין צורך בפעולות נוספות, תיבת הדואר שלך תקבל את הסטטוס "אושרה" ולא תוסר במהלך מלאי מתוזמן של משאבים. אם כתובת הדואר האלקטרוני הזו לא נמצאת בשימושך (או שהשימוש בה אינו מתוכנן בעתיד), אזי במקרה זה אינך צריך לבצע כל פעולה - תיבת הדואר תימחק אוטומטית ב-13 באוקטובר 2023.
בברכה,
המחלקה לטכנולוגיות מידע.
מטרת המייל היא לפתות מטרות ללחוץ על за цим посиланням (תרגום מכונה: בקישור זה), מה שמוביל ל https://login.microsoftidonline[.]com/common/oauth2/authorize?client_id=[redacted];redirect_uri=https%3a%2f%2foutlook.office365.com%2fowa%2f&resource=[redacted]&response_mode=form_post&response_type=code+id_token&scope=openid&msafed=1&msaredir=1&client-request-id=[redacted]&protectedtoken=true&claims=%7b%22id_token%22%3a%7b%22xms_cc%22%3a%7b%22values%22%3a%5b%22CP1%22%5d%7d%7d%7d&domain_hint=[redacted]&nonce=[redacted]&state=[redacted] (מתוקן חלקית). כתובת URL זו מפנה לדומיין הזדוני login.microsoftidמקוון[.]com. שימו לב שהדומיין הזה קרוב מאוד לזה הרשמי, login.microsoftonline.com.
לא הצלחנו לאחזר את דף ההתחזות, אבל ככל הנראה מדובר היה בדף התחברות מזויף של מיקרוסופט שנועד לגנוב את האישורים של היעדים.
עבור תחום אחר השייך למבצע טקסונטו, choicelive149200[.]com, היו שתי הגשות של VirusTotal (אחד ו שתיים) עבור כתובת האתר https://choicelive149200[.]com/owa/auth/logon.aspx?replaceCurrent=1&url=https://hbd.eupolcopps.eu/owa/. למרבה הצער, האתר לא היה נגיש עוד בזמן הניתוח, אך סביר להניח שזה היה דף דיוג של אישורים עבור Outlook באינטרנט / דואר אינטרנט של OWA של eupolcopps.eu, משרד התיאום של האיחוד האירופי לתמיכת המשטרה הפלסטינית. שימו לב שלא ראינו את דוגמת האימייל, אלא רק את כתובת האתר שנשלחה ל-VirusTotal.
גל PSYOP ראשון: נובמבר 2023
בנובמבר 20th, זיהינו את הגל הראשון של אימיילים דיסאינפורמטיביים עם קובץ PDF מצורף שנשלח לפחות לכמה מאות נמענים באוקראינה. אנשים העובדים בממשלת אוקראינה, חברות אנרגיה ואפילו אנשים פרטיים קיבלו את המיילים. איננו יודעים כיצד נבנתה רשימת כתובות המייל.
בניגוד למסע הדיוג שתואר קודם לכן, מטרת המיילים הללו הייתה לזרוע ספק במוחם של האוקראינים; למשל, מייל אחד אומר ש"ייתכן שיהיו הפרעות חימום בחורף הזה". לא נראה שיש קישור זדוני או תוכנה זדונית בגל הספציפי הזה, רק דיסאינפורמציה.
איור 2 מציג דוגמה למייל. נושאו הוא Рекомендації моз україни на тлі дефіциту ліків (תרגום מכונה מאוקראינית: המלצות משרד הבריאות של אוקראינה בזמן מחסור בתרופות) והמייל נשלח מאת mozua@ua-minagro[.]com. שימו לב שניתן לראות כתובת זו ב- מעטפה-מ ו דרך חזרה שדות.
ua-minagro[.]com הוא דומיין המופעל על ידי התוקפים והיה בשימוש בלעדי לשליחת אימיילים דיסאינפורמטיביים בקמפיין זה. התחום מתחזה למשרד למדיניות אגררית ומזון של אוקראינה שהתחום הלגיטימי שלו הוא minagro.gov.ua.
למייל מצורף מסמך PDF, כפי שמוצג באיור 3. הוא אמנם אינו זדוני כשלעצמו, אך מכיל גם הודעות דיסאינפורמציה.
המסמך עושה שימוש לרעה בלוגו של משרד הבריאות של אוקראינה ומסביר כי עקב המלחמה קיים מחסור בסמים באוקראינה. עוד נכתב כי ממשלת אוקראינה מסרבת לייבא סמים מרוסיה ובלארוס. בעמוד השני הם מסבירים איך להחליף כמה תרופות בצמחים.
מה שמעניין לציין הוא שהמייל נשלח מדומיין שמתחזה למשרד המדיניות האגררית והמזון של אוקראינה, בעוד התוכן עוסק במחסור בתרופות וה-PDF עושה שימוש לרעה בלוגו של משרד הבריאות של אוקראינה. ייתכן שזו טעות של התוקפים או, לפחות, מראה שלא אכפת להם מכל הפרטים.
נוסף על ua-minagro[.]com, חמישה דומיינים נוספים שימשו לשליחת אימיילים בגל זה:
- uaminagro[.]com
- minuaregion[.]org
- minuaregionbecareful[.]com
- uamtu[.]com
- minagroa[.]org
minuaregion[.]org ו minuaregionbecareful[.]com מתחפשים למשרד לשילוב מחדש של השטחים הכבושים הזמניים של אוקראינה שהאתר הלגיטימי שלו הוא https://minre.gov.ua/en/.
uamtu[.]com מתחזה למשרד לפיתוח קהילות, שטחים ותשתיות של אוקראינה, שהאתר הלגיטימי שלו הוא https://mtu.gov.ua.
זיהינו עוד שלוש תבניות שונות של הודעת דואר אלקטרוני, כל אחת עם גוף דואר שונה וקובץ PDF מצורף. סיכום מובא בטבלה 1.
טבלה 1. מיילים דיסאינפורמטיביים
גוף הדוא"ל |
תרגום מכונה של גוף האימייל |
Російськими військовими системно обстрілюються об'єкти енергетичної нфраструктури. У разі виникнення екстреної ситуації подача опалення о електрики в будинки може подача опалення та будинки може повнистин. Щоб вижити в такій ситуації, rекомендуємо вам наступне: |
הצבא הרוסי מפגיז באופן שיטתי את תשתית מתקני האנרגיה. אספקת החימום למקרה חירום והחשמל לבתים עלולים להיות מנותקים לחלוטין. כדי לשרוד במצב כזה, אנו ממליצים על הדברים הבאים: |
Цієї зими можуть спостерігатися перебої з опаленням. Рівень температури в будинках може бути нижче допустимих значень на кілька градусів. У деяких випадках можливо навіть відключення опалення, обєкти енергетичної безпеки знаючення опалення. У зв'язку з цим, радимо взяти до уваги наступні рекомендації. |
יתכנו הפרעות חימום בחורף הקרוב. רמת הטמפרטורה בבתים יכולה להיות כמה מעלות מתחת לערכים המותרים. במקרים מסוימים, ניתן אפילו לכבות את החימום, אבטחת אנרגיה של מתקנים נמצאים תחת איום מתמיד. בהקשר זה, אנו ממליצים לך לקחת בחשבון את ההמלצות הבאות. |
Міністерство охорони здоров'я попереджає про дефіцит ліків в аптеках — доставка деяких препавтетив е затримуватися. З початком війни з РФ Україна повністю відмовилася від ликарських засобів російських и билковиц й, доходи населення впали, а іноземні ліки, логістика яких змінилася и стала більш складною сночно. צור קשר, דף עסקי למשחק, תקשורת הדרכה לתקשורת שוקנית, ві, знеболюючі та хірургічні засоби. אם אתה יכול לעשות את זה? и народних методів лікування и випустив відповідні rекомендації. |
משרד הבריאות מזהיר ממחסור בתרופות בבתי המרקחת - אספקת חלק מהתרופות על רקע עלייה בביקוש עשויה להתעכב. עם תחילת המלחמה עם הפדרציה הרוסית, אוקראינה סירבה לחלוטין לחברות תרופות רוסיות ובלארוסיות, הכנסות האוכלוסייה ירדו ותרופות זרות, שהלוגיסטיקה שלהן השתנתה והפכה מורכבת ויקרה יותר, התייקרו באופן משמעותי. יחד עם זאת, הביקוש הגדול ביותר הוא מצד האזרחים. אוקראינה משתמשת בקבוצות של תרופות לטיפול במחלות כרוניות, תרופות הרגעה, משככי כאבים ואמצעים כירורגיים. על רקע המחסור, משרד הבריאות של אוקראינה הזכיר לאזרחים כי אסור להזניח את הניסיון רב הערך של מאות השנים שנבדקו של שיטות טיפול עממיות ושחרר את המומלצות המתאימות. |
Агресія Росії призвела до значних втрат в аграному сектори України. Землі забруднені мінами, пошкоджені снарядами, окопами и рухом військової техники. У великій кількості пошкоджено та знищено сільськогосподарську технику, знищено зерносховища. До стабілізації обстановки Міністерство аграрної політики та продовольства rекомендує вам урізноманітнивам дикорослих трав. כל הזכויות שמורות. אם כן, אתה יכול להסתובב עם פסים אחרים. פרופונומו вам кілька корисних и простих у приготуванні рецептів. |
התוקפנות של רוסיה הובילה להפסדים משמעותיים במגזר החקלאי של אוקראינה. הקרקעות מזוהמות על ידי מוקשים, נפגעות מפגזים, תעלות ותנועת ציוד צבאי. כמות גדולה של מכונות חקלאיות נפגעה ונהרסה, ואגרנות נהרסו. עד שהמצב יתייצב, המשרד למדיניות חקלאית ומזון ממליץ לגוון את התזונה במנות העשוי מעשבי בר זמינים. אכילת עלים טריים ועסיסיים של עשבי תיבול בצורת סלטים היא הפשוטה, השימושית והמשתלמת ביותר. זכרו שכדאי לאסוף צמחים הרחק מערים ועיירות, כמו גם מכבישים סואנים. אנו מציעים לכם מספר מתכונים שימושיים וקלים להכנה. |
קבצי ה-PDF הקשורים הם לכאורה ממשרד האזורים האוקראיני (ראה איור 4) וממשרד החקלאות (ראה איור 5).
במסמך האחרון, לכאורה של משרד החקלאות, הם מציעים לאכול "ריזוטו יונים" והם אפילו מספקים תמונה של יונה חיה ויונה מבושלת... זה מראה שהמסמכים האלה נוצרו בכוונה כדי להרגיז את הקוראים.
בסך הכל, המסרים מתיישבים עם נושאי התעמולה הרוסית הנפוצים. הם מנסים לגרום לאנשים אוקראינים להאמין שלא יהיו להם סמים, מזון וחימום בגלל מלחמת רוסיה-אוקראינה.
גל PSYOP שני: דצמבר 2023
כחודש לאחר הגל הראשון, זיהינו קמפיין דוא"ל שני של PSYOP המכוון לא רק לאוקראינים, אלא גם לאנשים במדינות אחרות באירופה. המטרות הן מעט אקראיות, החל מממשלת אוקראינה ועד ליצרן נעליים איטלקי. מכיוון שכל המיילים כתובים באוקראינית, סביר להניח שהמטרות הזרות הן דוברי אוקראינית. לפי הטלמטריה של ESET, כמה מאות אנשים קיבלו מיילים בגל השני הזה.
מצאנו שתי תבניות דוא"ל שונות בגל הזה. הראשון נשלח ב-25 בדצמברth ומוצג באיור 6. באשר לגל הראשון, הודעות הדוא"ל נשלחו משרת דוא"ל שהופעל על ידי התוקפים, infoattention[.]com במקרה הזה.
תרגום מכונה של גוף האימייל הוא הבא:
אוקראינים יקרים, אנו מברכים אתכם על החג החם והמשפחתי ביותר - השנה החדשה!
אנחנו באמת רוצים שתחגוג את 2024 עם המשפחה שלך! שהמשפחה והחברים שלך לעולם לא יחלו! לדאוג אחד לשני! רק ביחד נוכל לגרש את השטניסטים מארה"ב ואת החניכים שלהם מהאדמה הרוסית המקורית! בואו להחיות את קייב רוס למרות אויבינו! בואו נציל חיים של אנשים! מרוסיה באהבה!
חג שמח חברים יקרים!
תבנית הדוא"ל השנייה, המוצגת באיור 7, נשלחה ב-26 בדצמברth, 2023 משרת דוא"ל אחר: stronginfo1[.]com. במהלך הגל הזה, נעשה שימוש בשתי כתובות דוא"ל נוספות:
- happyny@infonotifi[.]com
- happyny@infonotification[.]com
תרגום מכונה של גוף האימייל הוא הבא:
שנה טובה, אחים אוקראינים! בערב ראש השנה, זה הזמן להיזכר כמה טוב שיש שני זוגות רגליים וידיים, אבל אם איבדת אחד מהם, אז אל תתעצבן - זה אומר שלא תפגשו חייל רוסי ב תעלה. והנה אם כל איבריך שלמים, אז אנחנו לא מקנאים בך. אנו ממליצים לחתוך או לנסר לפחות אחד מהארבעה בעצמך - כמה דקות של כאב, אבל אז חיים מאושרים!
שנה טובה, אוקראינים! זכרו שלפעמים אחד עדיף על שניים!
בעוד שקמפיין הדוא"ל הראשון של PSYOP בנובמבר 2023 היה מוכן למדי, עם מסמכי PDF שנוצרו במיוחד שהיו משכנעים במקצת, מסע הפרסום השני הזה הוא בסיסי יותר ואפל יותר בהודעות שלו. תבנית הדוא"ל השנייה מטרידה במיוחד, כאשר התוקפים מציעים לאנשים לקטוע רגל או יד כדי להימנע מהיערכות צבאית. בסך הכל, יש לו את כל המאפיינים של PSYOPs בזמן מלחמה.
דואר זבל של בתי מרקחת קנדיים: ינואר 2024
בתפנית די מפתיעה של אירועים, אחד מהתחומים ששימשו לשלוח מיילים של PSYOP בדצמבר 2023, infonotification[.]com, החל לשמש לשליחת דואר זבל לבתי מרקחת קנדיים ב-7 בינוארth 2024.
דוגמה מסופקת באיור 8 והקישור מפנה לאתר האינטרנט המזויף של בית המרקחת הקנדי onlinepharmacycenter[.]com. מסע הספאם היה גדול במידה (במאות ההודעות לפחות) ואנשים במדינות רבות קיבלו מיילים כאלה.
המיילים נשלחו מ happyny@infonotification[.]com וזה אומת בכותרות האימייל:
Return-Path: <happyny@infonotification[.]com>
Delivered-To: [redacted]
[redacted]
Received: from infonotification[.]com ([185.12.14[.]13]) by [redacted] with esmtps (TLS1.3:TLS_AES_256_GCM_SHA384:256) [redacted] Sun, 07 Jan 2024 12:39:10 +0000
דואר זבל מזויף של בתי מרקחת קנדיים הוא עסק שהופעל היסטורית על ידי פושעי סייבר רוסים. זה סוקרה בהרחבה בעבר על ידי בלוגרים כגון בריאן קרבס, במיוחד בספרו Spam Nation.
קישורים בין מסעות פרסום אלו לספאם
אמנם איננו יודעים מדוע מפעילי הקמפיינים של PSYOP החליטו לעשות שימוש חוזר באחד מהשרתים שלהם כדי לשלוח דואר זבל מזויף של בתי מרקחת, סביר להניח שהם הבינו שהתשתית שלהם זוהתה. לפיכך, ייתכן שהם החליטו לנסות לייצר רווחים מהתשתית שנשרפה כבר, או למען הרווח שלהם או לממן פעולות ריגול עתידיות או PSYOPs. איור 9 מסכם את הקישורים בין התחומים והקמפיינים השונים.
סיכום
מאז תחילת המלחמה באוקראינה, קבוצות המתואמות לרוסיה כמו תולעת חול עסקו בשיבוש תשתית ה-IT האוקראינית באמצעות מגבים. בחודשים האחרונים ראינו עלייה בפעולות ריגול סייבר, במיוחד על ידי קבוצת Gamaredon הידועה לשמצה.
מבצע טקסונטו מציג שימוש נוסף בטכנולוגיות כדי לנסות להשפיע על המלחמה. מצאנו כמה דפי התחברות מזויפים טיפוסיים של מיקרוסופט, אבל הכי חשוב, היו שני גלים של PSYOPs באמצעות דוא"ל כנראה כדי לנסות להשפיע על אזרחים אוקראינים ולהפחיד אותם עם הודעות דיסאינפורמציה על נושאים הקשורים למלחמה.
רשימה מקיפה של אינדיקטורים של פשרה (IoCs) ודוגמאות ניתן למצוא ב מאגר GitHub שלנו.
לכל שאלה לגבי המחקר שלנו שפורסם ב-WeLiveSecurity, אנא צור איתנו קשר בכתובת threatintel@eset.com.
ESET Research מציע דוחות מודיעין פרטיים של APT והזנות נתונים. לכל שאלה לגבי שירות זה, בקר באתר ESET Threat Intelligence עמוד.
IoCs
קבצים
SHA-1 |
שם הקובץ |
שם זיהוי ESET |
תיאור |
3C201B2E40357996B383 |
Minagroa111.pdf |
PDF/Fraud.CDY |
PDF בשימוש במבצע מידע נגד אוקראינה. |
15BF71A771256846D44E |
Mozua.pdf |
PDF/Fraud.CDU |
PDF בשימוש במבצע מידע נגד אוקראינה. |
960341B2C296C425821E |
Minregion.pdf |
PDF/Fraud.CDT |
PDF בשימוש במבצע מידע נגד אוקראינה. |
BB14153040608A4F559F |
Minregion.pdf |
PDF/Fraud.CDX |
PDF בשימוש במבצע מידע נגד אוקראינה. |
רשת
IP |
תְחוּם |
ספק אירוח |
נראה לראשונה |
פרטים |
N / A |
navalny-votes[.]נטו |
N / A |
2023-09-09 |
תחום הקשור לאלכסיי נבלני. |
N / A |
navalny-votesmart[.]net |
N / A |
2023-09-09 |
תחום הקשור לאלכסיי נבלני. |
N / A |
navalny-הצבעה[.]נטו |
N / A |
2023-09-09 |
תחום הקשור לאלכסיי נבלני. |
45.9.148[.]165 |
infoattention[.]com |
Nice IT Services Group Inc. |
2023-12-25 |
שרת המשמש לשליחת מיילים במבצע טקסונטו. |
45.9.148[.]207 |
minuaregionbecareful[.]com |
Nice IT Services Group Inc. |
2023-11-23 |
שרת המשמש לשליחת מיילים במבצע טקסונטו. |
45.9.150[.]58 |
stronginfo1[.]com |
Nice IT Services Group Inc. |
2023-12-25 |
שרת המשמש לשליחת מיילים במבצע טקסונטו. |
45.129.199[.]200 |
minuaregion[.]org |
Hostinger |
2023-11-21 |
שרת המשמש לשליחת מיילים במבצע טקסונטו. |
45.129.199[.]222 |
uamtu[.]com |
Hostinger |
2023-11-20 |
שרת המשמש לשליחת מיילים במבצע טקסונטו. |
46.249.58[.]177 |
infonotifi[.]com |
serverius-mnt |
2023-12-28 |
שרת המשמש לשליחת מיילים במבצע טקסונטו. |
89.116.52[.]79 |
uaminagro[.]com |
IPXO מוגבלת |
2023-11-17 |
שרת המשמש לשליחת מיילים במבצע טקסונטו. |
154.49.137[.]16 |
choicelive149200[.]com |
Hostinger |
2023-10-26 |
שרת דיוג. |
185.12.14[.]13 |
infonotification[.]com |
שרתיוס |
2023-12-28 |
שרת המשמש לשליחת מיילים במבצע טקסונטו. |
193.43.134[.]113 |
login.microsoftidonline[.]com |
Hostinger |
2023-10-03 |
שרת פישינג של Office 365. |
195.54.160[.]59 |
minagroa[.]org |
BlueVPS |
2023-11-21 |
שרת המשמש לשליחת מיילים במבצע טקסונטו. |
כתובות דוא"ל
- minregion@uaminagro[.]com
- minregion@minuaregion[.]org
- minregion@minuaregionbecareful[.]com
- minregion@uamtu[.]com
- mozua@ua-minagro[.]com
- mozua@minagroua[.]org
- minagroa@vps-3075.lethost[.]network
- happyny@infoattention[.]com
- happyny@stronginfo1[.]com
- happyny@infonotifi[.]com
- happyny@infonotification[.]com
טכניקות MITER ATT & CK
שולחן זה נבנה באמצעות גרסה 14 של מסגרת MITER ATT & CK.
טקטיקה |
ID |
שם |
תיאור |
פיתוח משאבים |
רכישת תשתית: דומיינים |
מפעילים קנו שמות דומיין ב-Namecheap. |
|
רכישת תשתית: שרת |
מפעילים שכרו שרתים ב-Nice IT, Hostinger, Serverius ו-BlueVPS. |
||
גישה ראשונית |
דיוג |
מפעילים שלחו מיילים עם תוכן דיסאינפורמטיבי. |
|
פישינג: קישור ל-Spearphishing |
מפעילים שלחו מיילים עם קישור לדף התחברות מזויף של Microsoft. |
||
התחמקות הגנה |
מסווה |
המפעילים השתמשו בשמות דומיינים הדומים לשמות הדומיינים הרשמיים של ממשלת אוקראינה. |
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers-context-war/
- :יש ל
- :הוא
- :לֹא
- 07
- 1
- 10
- 11
- 116
- 12
- 13
- 14
- 15%
- 16
- 17
- 179
- 180
- 19
- 20
- 2011
- 2019
- 2022
- 2023
- 2024
- 22
- 321
- 39
- 40
- 43
- 49
- 54
- 7
- 8
- 9
- a
- יכול
- אודות
- מחוץ לארץ
- פי
- חֶשְׁבּוֹן
- חשבונות
- פעולה
- פעולות
- תוספת
- נוסף
- כתובת
- כתובות
- לייעץ
- מחיר סביר
- לאחר
- נגד
- סוכנות
- חַקלָאִי
- חקלאות
- קדימה
- ליישר
- מיושר
- תעשיות
- לִכאוֹרָה
- כְּבָר
- גם
- כמות
- amp
- an
- אנליזה
- ניתוח
- ו
- תשתיות
- אחר
- כל
- מתאים
- הסכמה
- APT
- ARE
- זרוע
- נשק
- AS
- At
- המתקפות
- באופן אוטומטי
- זמין
- לְהִמָנַע
- רקע
- בסיסי
- BE
- הפך
- כי
- היה
- ההתחלה
- להיות
- בלארוס
- תאמינו
- שייכות
- להלן
- מוטב
- בֵּין
- גוּף
- ספר
- שניהם
- קנה
- נבנה
- שרוף
- עסקים
- עסוק
- אבל
- by
- מבצע
- קמפיינים
- CAN
- קנדי
- אשר
- מקרה
- מקרים
- קטגוריה
- לחגוג
- מאות שנים
- השתנה
- ערוצים
- מאפיינים
- ערים
- אזרחים
- סְגוֹר
- ענן
- לגבות
- COM
- מגיע
- Common
- הקהילות
- קהילה
- חברות
- חברה
- לחלוטין
- מורכב
- מַקִיף
- פשרה
- לנהל
- אמון
- מְאוּשָׁר
- קבוע
- צור קשר
- מכיל
- תוכן
- תוכן
- הקשר
- מבושל
- תיאום
- מדינות
- זוג
- מכוסה
- נוצר
- אישורים
- כיום
- חותך
- גזירה
- פשעי אינטרנט
- עברייני אינטרנט
- כהה יותר
- נתונים
- יקר
- דֵצֶמבֶּר
- החליט
- גופי בטחון
- נדחה
- מסירה
- דרישה
- מַחלָקָה
- פריסה
- מְתוּאָר
- מעוצב
- הרוס
- פרטים
- זוהה
- איתור
- צעצועי התפתחות
- DID
- דִיאֵטָה
- אחר
- מחלות
- מֵידָע מַטעֶה
- הפצה
- do
- מסמך
- מסמכים
- לא
- משרד המשפטים
- תחום
- שמות דומיינים
- תחומים
- דון
- לא
- ספק
- ספקות
- נהיגה
- תרופה
- סמים
- ראוי
- בְּמַהֲלָך
- כל אחד
- לאכול
- או
- בחירה
- חשמל
- אמייל
- מיילים
- חירום
- עובדים
- סוף
- אנרגיה
- ציוד
- במיוחד
- ריגול
- EU
- אֵירוֹפִּי
- מדינות אירופה
- ערב
- אֲפִילוּ
- אירועים
- דוגמה
- אך ורק
- יקר
- ניסיון
- להסביר
- מסביר
- בהרחבה
- מתקנים
- מְזוּיָף
- משפחה
- רחוק
- פבואר
- פֵדֵרַצִיָה
- מעטים
- שדות
- תרשים
- בסופו של דבר
- ממצאים
- ראשון
- חמש
- להתמקד
- הבא
- מזון
- בעד
- זר
- טופס
- מצא
- ארבע
- טרי
- חברים
- החל מ-
- קרן
- עתיד
- כללי
- לקבל
- GitHub
- נתן
- Go
- מטרה
- טוב
- ממשלה
- פקידי ממשלה
- הגדול ביותר
- קְבוּצָה
- קבוצה
- שמח
- יש
- כותרות
- בְּרִיאוּת
- ומכאן
- כאן
- גָבוֹהַ
- ברמה גבוהה
- שֶׁלוֹ
- הסטורי
- חַג
- בתי מגורים
- בתים
- איך
- איך
- אולם
- HTTPS
- חמישים ק"ג
- מאות
- מזוהה
- if
- לא חוקי
- תמונה
- לייבא
- חשוב
- in
- באחר
- לכלול
- כולל
- גדל
- אינדיקטורים
- אנשים
- מְתוֹעָב
- להשפיע
- מידע
- טכנולוגיית מידע
- תשתית
- פניות
- למשל
- מוֹדִיעִין
- התכוון
- מעניין
- פנימי
- אל תוך
- לֹא יְסוּלֵא בְּפָּז
- מלאי
- חקירה
- מעורב
- IT
- איטלקית
- שֶׁלָה
- כלא
- יאן
- יָנוּאָר
- רק
- שופט
- לדעת
- אדמות
- גָדוֹל
- אחרון
- מְאוּחָר
- מאוחר יותר
- הושק
- מנהיג
- מוביל
- הכי פחות
- הוביל
- לגיטימי
- רגליים
- לתת
- רמה
- סביר
- קשר
- מְקַשֵׁר
- קישורים
- רשימה
- חי
- היכנס
- התחבר
- לוגיסטיקה
- סֵמֶל
- ארוך
- הרבה זמן
- עוד
- אבדות
- אבוד
- מכונה
- מכונות
- עשוי
- ראשי
- גדול
- לעשות
- זדוני
- תוכנות זדוניות
- יַצרָן
- רב
- מאי..
- אומר
- לִפְגוֹשׁ
- הודעה
- הודעות
- הודעות
- שיטה
- שיטות
- מיקרוסופט
- צבאי
- אכפת לי
- מוחות
- מוקשים
- משרד
- דקות
- טעות
- בִּמְתִינוּת
- מונטיזציה
- חוֹדֶשׁ
- חודשים
- יותר
- רוב
- תנועה
- Namecheap
- שמות
- אוּמָה
- צורך
- רשת
- לעולם לא
- חדש
- ראש השנה
- נחמד
- לא
- הערות
- נוֹבֶמבֶּר
- מספר
- אוֹקְטוֹבֶּר
- of
- כבוי
- הַצָעָה
- המיוחדות שלנו
- Office
- רשמי
- גורמים רשמיים
- זקן
- on
- ONE
- יחידות
- רק
- מופעל
- מבצע
- תפעול
- מפעילי
- התנגדות
- or
- להזמין
- ארגונים
- מְקוֹרִי
- אחר
- שלנו
- בעצמנו
- הַחוּצָה
- Outlook
- מקיף
- חֲפִיפָה
- שֶׁלוֹ
- עמוד
- דפים
- כְּאֵב
- זוגות
- חלק
- במיוחד
- עבר
- אֲנָשִׁים
- עבור
- תקופה
- פארמה
- התרופות
- בתי מרקחת
- דיוג
- קמפיין דיוג
- צילום
- צירים
- תכנית
- מתוכנן
- צמחים
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- אנא
- נקודות
- מִשׁטָרָה
- מדיניות
- פופולרי
- אוכלוסייה
- אפשרי
- יִתָכֵן
- מנע
- קוֹדֶם
- פְּרָטִי
- כנראה
- מוצרים
- להרוויח
- תעמולה
- אבטחה
- לספק
- ובלבד
- ספקים
- פסיכולוגי
- לאור
- דַי
- להעלות
- אקראי
- טִוּוּחַ
- במקום
- הקוראים
- הבין
- לקבל
- קיבלו
- לאחרונה
- נמענים
- להמליץ
- המלצות
- מוּמלָץ
- ממליצה
- סירב
- סירוב
- להתייחס
- דרישת שלום
- אזורים
- קָשׁוּר
- שוחרר
- שְׂרִידִים
- לזכור
- הסרה
- הוסר
- להחליף
- דוחות לדוגמא
- נדרש
- מחקר
- משאב
- שימוש חוזר
- רויטרס
- גילה
- להחיות
- כבישים
- הפעלה
- רוסיה
- מלחמת רוסיה-אוקראינה
- רוסי
- הפדרציה הרוסית
- s
- אותו
- לִטעוֹם
- שמור
- אומר
- מתוכנן
- שְׁנִיָה
- מגזר
- אבטחה
- לִרְאוֹת
- נראה
- לראות
- לשלוח
- שליחה
- נשלח
- שרת
- שרתים
- שרות
- שירותים
- כמה
- מחסור
- מחסור
- צריך
- הראה
- הופעות
- משמעותי
- באופן משמעותי
- דומה
- הדמיון
- פָּשׁוּט
- since
- בכנות
- אתר
- מצב
- כמה
- לפעמים
- במידה מסוימת
- לזרוע
- דואר זבל
- רמקולים
- במיוחד
- ספציפי
- במיוחד
- לירוק
- התפשטות
- התחלה
- החל
- מצב
- מוזר
- זר
- נושא
- הגשות
- הוגש
- כזה
- להציע
- סיכום
- שמש
- לספק
- תמיכה
- תומכים
- כירורגי
- מפתיע
- להפליא
- לשרוד
- שולחן
- לקחת
- טנקים
- ממוקד
- מיקוד
- מטרות
- טכני
- טכנולוגיות
- טכנולוגיה
- מברק
- תבנית
- תבניות
- שטחים
- נבדק
- מֵאֲשֶׁר
- תודה
- זֶה
- השמיים
- העתיד
- המידע
- שֶׁלָהֶם
- אותם
- נושאים
- אז
- שם.
- אלה
- הֵם
- לחשוב
- זֶה
- אלה
- אם כי?
- איום
- איומים
- שְׁלוֹשָׁה
- זמן
- ציר זמן
- ל
- יַחַד
- נושאים
- עיירות
- תרגום
- טיפול
- לנסות
- מנסה
- תור
- לפתול
- שתיים
- טיפוסי
- Uk
- אוקראינה
- אוקראיני
- האוקראינים
- תחת
- לצערי
- עד
- לא בשימוש
- כתובת האתר
- us
- DOJ האמריקאי
- ארה"ב
- להשתמש
- מְשׁוּמָשׁ
- מועיל
- שימושים
- באמצעות
- ערכים
- מְאוּמָת
- גרסה
- מאוד
- באמצעות
- לְבַקֵר
- רוצה
- מִלחָמָה
- מלחמה באוקראינה
- מזהיר
- היה
- גל
- גלים
- we
- אינטרנט
- אתר
- אתרים
- שבועות
- טוֹב
- מוכר
- היו
- אשר
- בזמן
- מי
- של מי
- למה
- רוחב
- בר
- יצטרך
- חוֹרֶף
- עם
- בתוך
- נצחנות
- עובד
- כתוב
- שנה
- שנים
- עוד
- אתה
- עצמך
- זפירנט