ESET-producten en onderzoek beschermen de Oekraïense IT-infrastructuur al jaren. Sinds het begin van de oorlog in februari 2022 hebben we een aanzienlijk aantal aanvallen van aan Rusland verbonden groepen voorkomen en onderzocht. We hebben ook enkele van de meest interessante bevindingen over WeLiveSecurity gepubliceerd:
Ook al blijft onze voornaamste focus liggen op het analyseren van bedreigingen waarbij malware betrokken is, toch hebben we een informatie- of psychologische operatie (PSYOP) onderzocht die twijfels probeerde te zaaien bij Oekraïners en Oekraïenssprekenden in het buitenland.
Operatie Texonto
Operatie Texonto is een desinformatie/PSYOP-campagne waarbij spammails de belangrijkste distributiemethode zijn. Verrassend genoeg lijkt het erop dat de daders geen gewone kanalen zoals Telegram of nepwebsites hebben gebruikt om hun boodschappen over te brengen. We hebben twee verschillende golven gedetecteerd, de eerste in november 2023 en de tweede eind december 2023. De inhoud van de e-mails ging over verwarmingsonderbrekingen, medicijntekorten en voedseltekorten, typische thema’s van de Russische propaganda.
Naast de desinformatiecampagne hebben we een spearphishing-campagne ontdekt die zich in oktober 2023 richtte op een Oekraïens defensiebedrijf en in november 2023 op een EU-agentschap. Het doel van beide was het stelen van inloggegevens voor Microsoft Office 365-accounts. Dankzij overeenkomsten in de netwerkinfrastructuur die bij deze PSYOP's en phishing-operaties wordt gebruikt, koppelen we ze met groot vertrouwen.
Interessant genoeg onthulden nog een paar draaipunten ook domeinnamen die deel uitmaken van Operatie Texonto en verband houden met interne Russische onderwerpen, zoals Alexei Navalny, de bekende Russische oppositieleider die in de gevangenis zat en gestorven op 16 van februarith, 2024. Dit betekent dat Operatie Texonto waarschijnlijk spearphishing- of informatieoperaties omvat die gericht zijn op Russische dissidenten en aanhangers van de overleden oppositieleider. Deze domeinen omvatten:
- navalny-stemmen[.]net
- navalny-votesmart[.]net
- navalny-voting[.]net
Misschien nog vreemder is dat een e-mailserver, beheerd door de aanvallers en gebruikt om PSYOP-e-mails te verzenden, twee weken later werd hergebruikt om typische Canadese apotheekspam te verzenden. Deze categorie illegale activiteiten is al lange tijd erg populair binnen de Russische cybercriminaliteitsgemeenschap blogpost lezen uit 2011 legt uit.
Figuur 1 vat de belangrijkste gebeurtenissen van Operatie Texonto samen.
Het vreemde brouwsel van spionage, informatieoperaties en nep-pharma kan ons daar alleen maar aan herinneren Callisto, een bekende, aan Rusland verbonden cyberspionagegroep die het onderwerp was van een aanklacht door het Amerikaanse DOJ in december 2023. Callisto richt zich op overheidsfunctionarissen, mensen in denktanks en militair-gerelateerde organisaties via spearphishing-websites die zijn ontworpen om gewone cloudproviders na te bootsen. De groep heeft ook desinformatieoperaties uitgevoerd, zoals a document lek vlak voor de Britse algemene verkiezingen van 2019. Ten slotte leidt het draaien op de oude netwerkinfrastructuur tot nep-pharma-domeinen zoals musclepharm[.]top or ukrpharma[.]ovh.
Hoewel er verschillende overeenkomsten op hoog niveau zijn tussen Operatie Texonto en Callisto-operaties, hebben we geen technische overlap gevonden en schrijven we Operatie Texonto momenteel niet toe aan een specifieke dreigingsacteur. Gezien de TTP's, de doelgerichtheid en de verspreiding van berichten schrijven we de operatie echter met groot vertrouwen toe aan een groep die Russische banden heeft.
Phishing-campagne: oktober-november 2023
Medewerkers van een groot Oekraïens defensiebedrijf ontvingen in oktober 2023 een phishing-e-mail, zogenaamd afkomstig van hun IT-afdeling. De e-mails zijn verzonden vanaf it.[redacted_company_name]@gmail.com, een e-mailadres dat hoogstwaarschijnlijk speciaal voor deze campagne is gemaakt, en het onderwerp van de e-mail was Bekijk het volgende: (machinevertaling uit het Oekraïens: Goedkeuring gevraagd: Geplande inventarisatie).
De inhoud van de e-mail is de volgende:
Vanaf 02 tot en met 13 maanden tot nu toe Als u dit wilt doen, is het niet mogelijk om dit te doen. U kunt een adres ([geredigeerd_adres]@[geredacteerde_bedrijfsnaam].com) met uw gegevens bekijken Als u op zoek bent naar een manier om dit te bereiken, u kunt de juiste keuze maken.
Dit is niet het geval, maar het is niet zo dat het “підтверджений” is Ik denk dat het goed is gegaan. Het is niet mogelijk om een goedkope persoon te zijn (het is niet mogelijk om in de problemen te komen) уму випадку Вам не потрібно виконувати жодних дій поштову скриньку буде видалено авт op 13 maart 2023.
Vriendelijke groet,
Het is mogelijk om dit te doen.
Een machinevertaling van de e-mail is:
In de periode van 2 oktober tot en met 13 oktober zullen medewerkers van de afdeling informatietechnologie een geplande inventarisatie en verwijdering van ongebruikte mailboxen uitvoeren. Als u van plan bent uw e-mailadres ([redacted_address]@[redacted_company_name].com) in de toekomst te gebruiken, ga dan naar de webversie van de mailbox via deze link en log in met uw inloggegevens.
Er zijn geen aanvullende acties nodig, uw mailbox krijgt de status “bevestigd” en wordt niet verwijderd tijdens een geplande resource-inventarisatie. Indien u dit e-mailadres niet gebruikt (of het gebruik ervan in de toekomst niet gepland is), hoeft u in dit geval geen actie te ondernemen; de mailbox wordt automatisch verwijderd op 13 oktober 2023.
Met vriendelijke groet,
Afdeling informatietechnologie.
Het doel van de e-mail is om doelen te verleiden om op за цим посиланням (machinevertaling: via deze link) te klikken, wat leidt tot https://login.microsoftidonline[.]com/common/oauth2/authorize?client_id=[redacted];redirect_uri=https%3a%2f%2foutlook.office365.com%2fowa%2f&resource=[redacted]&response_mode=form_post&response_type=code+id_token&scope=openid&msafed=1&msaredir=1&client-request-id=[redacted]&protectedtoken=true&claims=%7b%22id_token%22%3a%7b%22xms_cc%22%3a%7b%22values%22%3a%5b%22CP1%22%5d%7d%7d%7d&domain_hint=[redacted]&nonce=[redacted]&state=[redacted] (gedeeltelijk geredigeerd). Deze URL verwijst naar het kwaadaardige domein inloggen.microsoftidonline[.]com. Merk op dat dit domein zeer dicht bij het officiële domein ligt, inloggen.microsoftonline.com.
We hebben de phishing-pagina niet kunnen achterhalen, maar het was hoogstwaarschijnlijk een valse Microsoft-inlogpagina die bedoeld was om de inloggegevens van het doelwit te stelen.
Voor een ander domein dat behoort tot Operatie Texonto, keuzelive149200[.]com, waren er twee VirusTotal-inzendingen (een en twee) voor de URL https://choicelive149200[.]com/owa/auth/logon.aspx?replaceCurrent=1&url=https://hbd.eupolcopps.eu/owa/. Helaas was de site op het moment van analyse niet meer bereikbaar, maar het ging waarschijnlijk om een credential-phishing-pagina voor de Outlook op het web/OWA-webmail van eupolcopps.eu, het EU-coördinatiebureau voor Palestijnse politieondersteuning. Houd er rekening mee dat we het e-mailvoorbeeld niet hebben gezien, alleen de URL die bij VirusTotal is ingediend.
Eerste PSYOP-golf: november 2023
Op november 20thhebben we de eerste golf e-mails met desinformatie met een pdf-bijlage ontdekt die naar minstens een paar honderd ontvangers in Oekraïne zijn gestuurd. Mensen die bij de Oekraïense overheid werkten, energiebedrijven en zelfs particulieren ontvingen de e-mails. We weten niet hoe de lijst met e-mailadressen is opgebouwd.
In tegenstelling tot de eerder beschreven phishing-campagne was het doel van deze e-mails om twijfel te zaaien in de hoofden van de Oekraïners; In één e-mail staat bijvoorbeeld: “Er kunnen deze winter verwarmingsonderbrekingen zijn”. Het lijkt erop dat er in deze specifieke golf geen kwaadaardige link of malware zat, alleen desinformatie.
Figuur 2 toont een e-mailvoorbeeld. Het onderwerp is Рекомендації моз україни на тлі дефіциту ліків (automatische vertaling uit het Oekraïens: Aanbevelingen van het Ministerie van Volksgezondheid van Oekraïne ten tijde van een tekort aan medicijnen) en de e-mail werd verzonden vanuit mozua@ua-minagro[.]com. Houd er rekening mee dat dit adres te zien is in de envelop-van en terugweg te worden.
ua-minagro[.]com is een domein dat wordt beheerd door de aanvallers en dat in deze campagne uitsluitend werd gebruikt voor het verzenden van desinformatie-e-mails. Het domein doet zich voor als het Ministerie van Landbouwbeleid en Voedselvoorziening van Oekraïne, wiens legitieme domein dat is minagro.gov.ua.
Bij de e-mail is een pdf-document gevoegd, zoals weergegeven in figuur 3. Hoewel de e-mail op zichzelf niet schadelijk is, bevat deze ook desinformatieberichten.
Het document misbruikt het logo van het Ministerie van Volksgezondheid van Oekraïne en legt uit dat er als gevolg van de oorlog een tekort aan medicijnen is in Oekraïne. Er staat ook dat de Oekraïense regering weigert drugs uit Rusland en Wit-Rusland te importeren. Op de tweede pagina leggen ze uit hoe je sommige medicijnen kunt vervangen door planten.
Wat interessant is om op te merken is dat de e-mail is verzonden vanaf een domein dat zich voordoet als het Ministerie van Landbouwbeleid en Voedselvoorziening van Oekraïne, terwijl de inhoud gaat over geneesmiddelentekorten en de pdf misbruik maakt van het logo van het Ministerie van Volksgezondheid van Oekraïne. Het is mogelijk een fout van de aanvallers, of het laat in ieder geval zien dat ze niet om alle details gaven.
Naast ua-minagro[.]comwerden in deze golf vijf extra domeinen gebruikt om e-mails te verzenden:
- uaminagro[.]com
- minuaregio[.]org
- minuaregiowees voorzichtig[.]com
- uamtu[.]com
- minagroua[.]org
minuaregio[.]org en minuaregiowees voorzichtig[.]com doen zich voor als het Ministerie van Re-integratie van de Tijdelijk Bezette Gebieden van Oekraïne, waarvan de legitieme website is https://minre.gov.ua/en/.
uamtu[.]com doet zich voor als het Ministerie van Ontwikkeling van Gemeenschappen, Gebieden en Infrastructuur van Oekraïne, waarvan de legitieme website is https://mtu.gov.ua.
We hebben nog drie verschillende e-mailberichtsjablonen geïdentificeerd, elk met een andere e-mailtekst en PDF-bijlage. Een samenvatting vindt u in Tabel 1.
Tabel 1. E-mails met desinformatie
e-mail lichaam |
Machinevertaling van de e-mailtekst |
Zorg ervoor dat u geen gebruik maakt van de juiste instellingen. U kunt het beste uw geld verdienen met uw geld verdienen рипинена. Als u de juiste keuze maakt, kunt u het volgende doen: |
Het Russische leger beschiet systematisch de infrastructuur van de energiefaciliteiten. De verwarming kan in geval van nood volledig worden afgesloten en de elektriciteit naar woningen kan volledig worden afgesloten. Om in een dergelijke situatie te overleven, raden wij het volgende aan: |
Zorg dat het apparaat goed werkt. Zorg ervoor dat het apparaat niet op de juiste manier wordt weergegeven. Als u een probleem heeft met het gebruik ervan, kunt u dit doen Het is mogelijk om dit te doen. Als dit het geval is, kunt u de juiste keuze maken. |
Er kunnen deze winter verwarmingsonderbrekingen optreden. Het temperatuurniveau in huizen kan enkele graden onder de toegestane waarden liggen. In sommige gevallen is het zelfs mogelijk om de verwarming uit te zetten, omdat de energieveiligheid van faciliteiten voortdurend in gevaar is. In dit verband raden wij u aan rekening te houden met de volgende aanbevelingen. |
De beste manier om dit te doen is in het apparaat — het is mogelijk dat u dit apparaat gebruikt. U kunt uw geld verdienen met uw geld in uw huis het is belangrijk om te weten wat u kunt doen, en hoe u dat kunt doen Ik denk dat het een goed idee is, als ik het goed begrijp. Als u dit wilt weten, kunt u een kredietaanvraag indienen u kunt de juiste keuze maken. На тлі виниклоombin дефццциту моз україни нагаynict громадянам, що вщ вщ пх�у�и незцзцзцзцзцзцзцзцзцзцзцзцзцзцзцзцзцзцзцзцзцзцзцзцзцзцзцзцзцзцзцCax псхзцзцapport псхзцзцapport нсхзцзцapport нсхзцзцзцapport пamil одних методclus лкhoud і випустив Відповclus рекомендаццїї. |
Het ministerie van Volksgezondheid waarschuwt voor een tekort aan medicijnen in apotheken; de levering van sommige medicijnen kan tegen de achtergrond van de toegenomen vraag vertraging oplopen. Met het begin van de oorlog met de Russische Federatie weigerde Oekraïne Russische en Wit-Russische farmaceutische farmaceutische bedrijven volledig, daalden de inkomens van de bevolking en werden buitenlandse medicijnen, waarvan de logistiek veranderde en complexer en duurder werd, aanzienlijk duurder. Tegelijkertijd komt de grootste vraag van burgers. Oekraïne gebruikt groepen medicijnen voor de behandeling van chronische ziekten, kalmerende middelen, pijnstillers en chirurgische middelen. Tegen de achtergrond van het tekort herinnerde het ministerie van Volksgezondheid van Oekraïne de burgers eraan dat je de onschatbare ervaring van de beproefde eeuwen van volksbehandelingsmethoden niet mag verwaarlozen en heeft de aanbevolen aanbevolen methoden vrijgegeven. |
Zorg ervoor dat u het apparaat in de juiste stand zet. Als u dit wilt, kunt u het beste weten wat u nodig hebt. Als u een kredietverzekering wilt afsluiten, kunt u dit doen . De beste manier om dit te doen Het apparaat kan niet meer worden gebruikt. U kunt het beste uw geld verdienen met uw aankoop, het is een goede zaak пним. Als u dit wilt, kunt u het beste een keuze maken. Zorg ervoor dat u een kredietkaart in uw bezit heeft. |
De Russische agressie leidde tot aanzienlijke verliezen in de landbouwsector van Oekraïne. De landen zijn vervuild door mijnen, beschadigd door granaten, loopgraven en de verplaatsing van militair materieel. Een grote hoeveelheid landbouwmachines werd beschadigd en vernield, en graanschuren werden vernietigd. Totdat de situatie zich stabiliseert, raadt het Ministerie van Landbouwbeleid en Voedselvoorziening aan om uw dieet te diversifiëren met gerechten gemaakt van beschikbare wilde kruiden. Het eten van verse, sappige kruidenblaadjes in de vorm van salades is het meest eenvoudig, nuttig en betaalbaar. Vergeet niet dat je planten moet verzamelen ver van steden en dorpen, maar ook van drukke wegen. Wij bieden u verschillende nuttige en eenvoudig te bereiden recepten aan. |
De gerelateerde pdf-bijlagen zijn vermoedelijk afkomstig van het Oekraïense Ministerie van Regio's (zie Figuur 4) en het Ministerie van Landbouw (zie Figuur 5).
In het laatste document, zogenaamd afkomstig van het Ministerie van Landbouw, stellen ze voor om “duivenrisotto” te eten en geven ze zelfs een foto van een levende duif en een gekookte duif… Dit toont aan dat deze documenten met opzet zijn gemaakt om de lezers op te hitsen.
Over het algemeen sluiten de berichten aan bij gemeenschappelijke Russische propagandathema's. Ze proberen het Oekraïense volk te laten geloven dat ze geen medicijnen, voedsel en verwarming zullen hebben vanwege de oorlog tussen Rusland en Oekraïne.
Tweede PSYOP-golf: december 2023
Ongeveer een maand na de eerste golf ontdekten we een tweede PSYOP-e-mailcampagne die zich niet alleen op Oekraïners richtte, maar ook op mensen in andere Europese landen. De doelwitten zijn enigszins willekeurig, variërend van de Oekraïense overheid tot een Italiaanse schoenenfabrikant. Omdat alle e-mails in het Oekraïens zijn geschreven, is het waarschijnlijk dat de buitenlandse doelwitten Oekraïens spreken. Volgens ESET-telemetrie ontvingen een paar honderd mensen e-mails tijdens deze tweede golf.
We hebben in deze wave twee verschillende e-mailsjablonen gevonden. De eerste werd op 25 december verzondenth en wordt weergegeven in Figuur 6. Wat de eerste golf betreft, werden de e-mailberichten verzonden vanaf een e-mailserver die door de aanvallers werd beheerd. infoaandacht[.]com in dit geval.
Een machinevertaling van de e-mailtekst is als volgt:
Beste Oekraïners, wij feliciteren jullie met de warmste en meest gezinsvakantie: het nieuwe jaar!
Wij willen oprecht dat u 2024 met uw gezin viert! Moge uw familie en vrienden nooit ziek worden! Zorg voor elkaar! Alleen samen zullen we in staat zijn de satanisten uit de VS en hun handlangers van het oorspronkelijke Russische grondgebied te verdrijven! Laten we Kievan Rus weer tot leven wekken, ondanks onze vijanden! Laten we mensenlevens redden! Van Rusland met liefde!
Fijne vakantie, lieve vrienden!
Het tweede e-mailsjabloon, weergegeven in Figuur 7, werd op 26 december verzondenth, 2023 vanaf een andere e-mailserver: sterkeinfo1[.]com. Tijdens deze golf werden twee extra e-mailadressen gebruikt:
- happyny@infonotifi[.]com
- happyny@infonotification[.]com
Een machinevertaling van de e-mailtekst is als volgt:
Gelukkig nieuwjaar, Oekraïense broeders! Op oudejaarsavond is het tijd om te onthouden hoe goed het is om twee paar benen en armen te hebben, maar als je er één kwijt bent, wees dan niet boos – dit betekent dat je in de toekomst geen Russische soldaat zult ontmoeten. een geul. En als al je ledematen intact zijn, dan zijn we niet jaloers op je. Wij raden aan om minimaal één van de vier zelf af te zagen of af te zagen – een paar minuten pijn, maar daarna een gelukkig leven!
Gelukkig nieuwjaar, Oekraïners! Onthoud dat soms één beter is dan twee!
Terwijl de eerste PSYOP-e-mailcampagne in november 2023 tamelijk goed voorbereid was, met speciaal gemaakte pdf-documenten die enigszins overtuigend waren, is deze tweede campagne wat fundamenteler en donkerder in de berichtgeving. Het tweede e-mailsjabloon is bijzonder verontrustend, waarbij de aanvallers suggereren dat mensen een been of arm moeten amputeren om militaire inzet te voorkomen. Over het geheel genomen heeft het alle kenmerken van PSYOP's in oorlogstijd.
Canadese apotheekspam: januari 2024
In een nogal verrassende gang van zaken bleek dat een van de domeinen die in december 2023 PSYOP-e-mails verzond, infonotificatie[.]com, werd op 7 januari gebruikt om Canadese apotheekspam te verzendenth2024.
Figuur 8 toont een voorbeeld en de link verwijst door naar de nep-Canadese apotheekwebsite onlineapotheekcentrum[.]com. De spamcampagne was redelijk groot (in ieder geval honderden berichten) en mensen in veel landen ontvingen dergelijke e-mails.
De e-mails zijn verzonden vanaf happyny@infonotification[.]com en dit werd geverifieerd in de e-mailheaders:
Return-Path: <happyny@infonotification[.]com>
Delivered-To: [redacted]
[redacted]
Received: from infonotification[.]com ([185.12.14[.]13]) by [redacted] with esmtps (TLS1.3:TLS_AES_256_GCM_SHA384:256) [redacted] Sun, 07 Jan 2024 12:39:10 +0000
Valse Canadese apotheekspam is een bedrijf dat van oudsher werd beheerd door Russische cybercriminelen. Er werd in het verleden uitgebreid aandacht aan besteed door bloggers zoals Brian Krebs, vooral in zijn Spam Nation-boek.
Koppelingen tussen deze spamcampagnes
Hoewel we niet weten waarom de exploitanten van de PSYOP-campagnes besloten een van hun servers te hergebruiken om valse apotheekspam te verzenden, is het waarschijnlijk dat ze zich realiseerden dat hun infrastructuur was gedetecteerd. Daarom hebben ze misschien besloten om te proberen geld te verdienen met de reeds afgebrande infrastructuur, hetzij voor hun eigen gewin, hetzij om toekomstige spionageoperaties of PSYOP's te financieren. Figuur 9 vat de verbanden tussen de verschillende domeinen en campagnes samen.
Conclusie
Sinds het begin van de oorlog in Oekraïne zijn aan Rusland verbonden groepen zoals Sandworm druk bezig geweest met het ontwrichten van de Oekraïense IT-infrastructuur met behulp van ruitenwissers. De afgelopen maanden hebben we een toename waargenomen in cyberspionageoperaties, vooral door de beruchte Gamaredon-groep.
Operatie Texonto laat nog een ander gebruik zien van technologieën om de oorlog te beïnvloeden. We hebben een paar typische nep-inlogpagina's van Microsoft gevonden, maar het allerbelangrijkste: er waren twee golven PSYOP's via e-mails, waarschijnlijk om te proberen Oekraïense burgers te beïnvloeden en te demoraliseren met desinformatieberichten over oorlogsgerelateerde onderwerpen.
Een uitgebreide lijst van Indicators of Compromise (IoC's) en voorbeelden is te vinden in: onze GitHub-repository.
Neem voor vragen over ons onderzoek gepubliceerd op WeLiveSecurity contact met ons op via: bedreigingintel@eset.com.
ESET Research biedt privé APT-inlichtingenrapporten en datafeeds. Voor vragen over deze service kunt u terecht op de ESET-bedreigingsinformatie pagina.
IoC's
Bestanden
SHA-1 |
Bestandsnaam |
ESET-detectienaam |
Omschrijving |
3C201B2E40357996B383 |
Minagroua111.pdf |
PDF/Fraude.CDY |
PDF gebruikt bij een informatieoperatie tegen Oekraïne. |
15BF71A771256846D44E |
Mozua.pdf |
PDF/Fraude.CDU |
PDF gebruikt bij een informatieoperatie tegen Oekraïne. |
960341B2C296C425821E |
Minregion.pdf |
PDF/Fraude.CDT |
PDF gebruikt bij een informatieoperatie tegen Oekraïne. |
BB14153040608A4F559F |
Minregion.pdf |
PDF/Fraude.CDX |
PDF gebruikt bij een informatieoperatie tegen Oekraïne. |
Netwerk
IP |
Domein |
Hostingprovider |
Eerst gezien |
Details |
NB |
navalny-stemmen[.]net |
NB |
2023-09-09 |
Domein gerelateerd aan Alexei Navalny. |
NB |
navalny-votesmart[.]net |
NB |
2023-09-09 |
Domein gerelateerd aan Alexei Navalny. |
NB |
navalny-voting[.]net |
NB |
2023-09-09 |
Domein gerelateerd aan Alexei Navalny. |
45.9.148[.]165 |
infoaandacht[.]com |
Nice IT Services Group Inc. |
2023-12-25 |
Server die wordt gebruikt om e-mails te verzenden in Operatie Texonto. |
45.9.148[.]207 |
minuaregiowees voorzichtig[.]com |
Nice IT Services Group Inc. |
2023-11-23 |
Server die wordt gebruikt om e-mails te verzenden in Operatie Texonto. |
45.9.150[.]58 |
sterkeinfo1[.]com |
Nice IT Services Group Inc. |
2023-12-25 |
Server die wordt gebruikt om e-mails te verzenden in Operatie Texonto. |
45.129.199[.]200 |
minuaregio[.]org |
Hostinger |
2023-11-21 |
Server die wordt gebruikt om e-mails te verzenden in Operatie Texonto. |
45.129.199[.]222 |
uamtu[.]com |
Hostinger |
2023-11-20 |
Server die wordt gebruikt om e-mails te verzenden in Operatie Texonto. |
46.249.58[.]177 |
infonotifi[.]com |
serverius-mnt |
2023-12-28 |
Server die wordt gebruikt om e-mails te verzenden in Operatie Texonto. |
89.116.52[.]79 |
uaminagro[.]com |
IPXO BEPERKT |
2023-11-17 |
Server die wordt gebruikt om e-mails te verzenden in Operatie Texonto. |
154.49.137[.]16 |
keuzelive149200[.]com |
Hostinger |
2023-10-26 |
Phishing-server. |
185.12.14[.]13 |
infonotificatie[.]com |
Serverius |
2023-12-28 |
Server die wordt gebruikt om e-mails te verzenden in Operatie Texonto. |
193.43.134[.]113 |
login.microsoftidonline[.]com |
Hostinger |
2023-10-03 |
Office 365 phishing-server. |
195.54.160[.]59 |
minagroua[.]org |
BlauweVPS |
2023-11-21 |
Server die wordt gebruikt om e-mails te verzenden in Operatie Texonto. |
E-mailadressen
- minregion@uaminagro[.]com
- minregion@minuaregion[.]org
- minregion@minuaregionwees voorzichtig[.]com
- minregion@uamtu[.]com
- mozua@ua-minagro[.]com
- mozua@minagroua[.]org
- minagroua@vps-3075.lethost[.]netwerk
- happyny@infoattention[.]com
- happyny@stronginfo1[.]com
- happyny@infonotifi[.]com
- happyny@infonotification[.]com
MITRE ATT&CK-technieken
Deze tafel is gemaakt met behulp van versie 14 van het MITRE ATT&CK raamwerk.
Tactiek |
ID |
Naam |
Omschrijving |
Ontwikkeling van hulpbronnen |
Infrastructuur verwerven: domeinen |
Operators kochten domeinnamen bij Namecheap. |
|
Infrastructuur verwerven: Server |
Operators huurden servers bij Nice IT, Hostinger, Serverius en BlueVPS. |
||
Eerste toegang |
Phishing |
Operators stuurden e-mails met desinformatie-inhoud. |
|
Phishing: Spearphishing-link |
Operators stuurden e-mails met een link naar een valse Microsoft-inlogpagina. |
||
verdediging ontduiking |
Het vermommen |
Operators gebruikten domeinnamen die leken op officiële domeinnamen van de Oekraïense overheid. |
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers-context-war/
- : heeft
- :is
- :niet
- 07
- 1
- 10
- 11
- 116
- 12
- 13
- 14
- 15%
- 16
- 17
- 179
- 180
- 19
- 20
- 2011
- 2019
- 2022
- 2023
- 2024
- 22
- 321
- 39
- 40
- 43
- 49
- 54
- 7
- 8
- 9
- a
- in staat
- Over
- Buitenland
- Volgens
- Account
- accounts
- Actie
- acties
- toevoeging
- Extra
- adres
- adressen
- adviseren
- betaalbaar
- Na
- tegen
- agentschap
- agrarisch
- landbouw
- vooruit
- richten
- uitgelijnd
- Alles
- naar verluidt
- al
- ook
- bedragen
- amp
- an
- analyse
- het analyseren van
- en
- en infrastructuur
- Nog een
- elke
- passend
- goedkeuring
- APT
- ZIJN
- ARM
- armen
- AS
- At
- Aanvallen
- webmaster.
- Beschikbaar
- vermijd
- achtergrond
- basis-
- BE
- werd
- omdat
- geweest
- Begin
- wezen
- Wit-Rusland
- geloofd wie en wat je bent
- behorende
- onder
- Betere
- tussen
- lichaam
- boek
- zowel
- gekocht
- bebouwd
- verbrand
- bedrijfsdeskundigen
- druk
- maar
- by
- Campagne
- Campagnes
- CAN
- Canadees
- verzorging
- geval
- gevallen
- Categorie
- vieren
- eeuwen
- veranderd
- kanalen
- kenmerken
- Steden
- burgers
- Sluiten
- Cloud
- verzamelen
- COM
- komst
- Gemeen
- Gemeenschappen
- gemeenschap
- Bedrijven
- afstand
- compleet
- complex
- uitgebreid
- compromis
- Gedrag
- vertrouwen
- BEVESTIGD
- constante
- contact
- bevat
- content
- inhoud
- verband
- gekookt
- coördineren
- landen
- Koppel
- bedekt
- aangemaakt
- Geloofsbrieven
- Op dit moment
- Snijden
- snijdend
- cybercrime
- cybercriminelen
- donkerder
- gegevens
- Geachte
- December
- beslist
- Verdediging
- Vertraagd
- levering
- Vraag
- afdeling
- inzet
- beschreven
- ontworpen
- vernietigd
- gegevens
- gedetecteerd
- Opsporing
- Ontwikkeling
- DEED
- Dieet
- anders
- ziekten
- disinformatie
- distributie
- do
- document
- documenten
- Nee
- DoJ
- domein
- DOMEINNAMEN
- domeinen
- don
- Dont
- twijfelen
- twijfels
- rit
- drug
- Drugs
- twee
- gedurende
- elk
- eten
- beide
- Verkiezing
- elektriciteit
- e-mails
- noodgeval
- medewerkers
- einde
- energie-niveau
- uitrusting
- vooral
- spionage
- EU
- Nederlands
- Europese Landen
- vooravond
- Zelfs
- EVENTS
- voorbeeld
- uitsluitend
- duur
- ervaring
- Verklaren
- Verklaart
- uitgebreid
- inrichting
- nep
- familie
- ver
- Februari
- Federatie
- weinig
- Velden
- Figuur
- Tot slot
- bevindingen
- Voornaam*
- vijf
- Focus
- volgend
- eten
- Voor
- vreemd
- formulier
- gevonden
- vier
- vers
- vrienden
- oppompen van
- fonds
- toekomst
- Algemeen
- krijgen
- GitHub
- gegeven
- Go
- doel
- goed
- Overheid
- Ambtenaren
- beste
- Groep
- Groep
- gelukkig
- Hebben
- headers
- Gezondheid
- Vandaar
- hier
- Hoge
- high-level
- zijn
- historisch
- vakantie
- Woningen
- huizen
- Hoe
- How To
- Echter
- HTTPS
- honderd
- Honderden
- geïdentificeerd
- if
- Onwettig
- beeld
- importeren
- belangrijker
- in
- Anders
- omvatten
- omvat
- meer
- indicatoren
- individuen
- berucht
- beïnvloeden
- informatie
- informatietechnologie
- Infrastructuur
- vragen
- instantie
- Intelligentie
- bestemde
- interessant
- intern
- in
- onschatbaar
- inventaris
- onderzoeken
- waarbij
- IT
- Italiaans
- HAAR
- gevangenis
- jan
- Januari
- voor slechts
- gerechtigheid
- blijven
- landt
- Groot
- Achternaam*
- Laat
- later
- gelanceerd
- leider
- Leads
- minst
- LED
- rechtmatig
- benen
- laten
- Niveau
- Waarschijnlijk
- LINK
- Koppeling
- links
- Lijst
- leven
- inloggen
- Log in
- logistiek
- logo
- lang
- lange tijd
- langer
- verliezen
- verloren
- machine
- machinerie
- gemaakt
- Hoofd
- groot
- maken
- kwaadaardig
- malware
- Fabrikant
- veel
- Mei..
- middel
- Maak kennis met
- Bericht
- berichten
- messaging
- methode
- methoden
- Microsoft
- Leger
- denken
- deskundigen
- mijnen
- ministerie
- minuten
- fout
- matig
- gelde
- Maand
- maanden
- meer
- meest
- beweging
- Namecheap
- namen
- natie
- Noodzaak
- netwerk
- nooit
- New
- Nieuwjaar
- mooi
- geen
- nota
- November
- aantal
- oktober
- of
- korting
- bieden
- Aanbod
- Kantoor
- officieel
- ambtenaren
- Oud
- on
- EEN
- degenen
- Slechts
- bediend
- operatie
- Operations
- exploitanten
- oppositie
- or
- bestellen
- organisaties
- origineel
- Overige
- onze
- onszelf
- uit
- Outlook
- totaal
- overlappen
- het te bezitten.
- pagina
- paginas
- Pijn
- paren
- deel
- vooral
- verleden
- Mensen
- voor
- periode
- Pharma
- Farmaceutisch
- apotheken
- Phishing
- phishing-campagne
- foto
- pivots
- plan
- gepland
- Plants
- Plato
- Plato gegevensintelligentie
- PlatoData
- dan
- punten
- Politie
- beleidsmaatregelen
- Populair
- bevolking
- mogelijk
- mogelijk
- verhinderd
- die eerder
- privaat
- waarschijnlijk
- Producten
- Profit
- propaganda
- beschermen
- zorgen voor
- mits
- providers
- psychologisch
- gepubliceerde
- heel
- verhogen
- willekeurige
- variërend
- liever
- lezers
- realiseerde
- ontvangen
- ontvangen
- recent
- ontvangers
- adviseren
- aanbevelingen
- aanbevolen
- beveelt
- geweigerd
- weigeren
- Beschouwen
- betreft de
- regio
- verwant
- uitgebracht
- stoffelijk overschot
- niet vergeten
- verwijdering
- verwijderd
- vervangen
- Rapporten
- nodig
- onderzoek
- hulpbron
- hergebruiken
- Reuters
- Revealed
- Herleven
- wegen
- lopen
- Rusland
- Oorlog tussen Rusland en Oekraïne
- Russisch
- Russische Federatie
- s
- dezelfde
- monster
- Bespaar
- zegt
- gepland
- Tweede
- sector
- veiligheid
- zien
- lijken
- gezien
- sturen
- verzending
- verzonden
- server
- Servers
- service
- Diensten
- verscheidene
- schaarste
- tekorten
- moet
- getoond
- Shows
- aanzienlijke
- aanzienlijk
- gelijk
- overeenkomsten
- Eenvoudig
- sinds
- oprecht
- website
- situatie
- sommige
- soms
- enigszins
- zeug
- spam
- speakers
- speciaal
- specifiek
- specifiek
- wrok
- verspreiden
- begin
- gestart
- Status
- vreemd
- vreemdeling
- onderwerpen
- Inzending
- ingediend
- dergelijk
- stel
- OVERZICHT
- Zon
- leveren
- ondersteuning
- aanhang
- chirurgisch
- verrassend
- verrassend
- te overleven
- tafel
- Nemen
- tanks
- doelgerichte
- targeting
- doelen
- Technisch
- Technologies
- Technologie
- Telegram
- sjabloon
- templates
- territoria
- getest
- neem contact
- Bedankt
- dat
- De
- De toekomst
- de informatie
- hun
- Ze
- thema's
- harte
- Er.
- Deze
- ze
- denken
- dit
- die
- toch?
- bedreiging
- bedreigingen
- drie
- niet de tijd of
- tijdlijn
- naar
- samen
- onderwerpen
- steden
- Vertaling
- behandeling
- proberen
- proberen
- BEURT
- twist
- twee
- typisch
- Uk
- Oekraïne
- Oekraïens
- Oekraïners
- voor
- helaas
- tot
- ongebruikt
- URL
- us
- Amerikaanse DOJ
- USA
- .
- gebruikt
- nuttig
- toepassingen
- gebruik
- Values
- geverifieerd
- versie
- zeer
- via
- Bezoek
- willen
- oorlog
- Oorlog in Oekraïne
- Warns
- was
- Wave
- golven
- we
- web
- Website
- websites
- weken
- GOED
- bekend
- waren
- welke
- en
- WIE
- waarvan
- Waarom
- Breedte
- Wild
- wil
- Winter
- Met
- binnen
- Won
- werkzaam
- geschreven
- jaar
- jaar
- nog
- You
- Your
- jezelf
- zephyrnet