Produsele și cercetările ESET au protejat infrastructura IT ucraineană de ani de zile. De la începutul războiului, în februarie 2022, am prevenit și am investigat un număr semnificativ de atacuri lansate de grupurile aliniate Rusiei. De asemenea, am publicat câteva dintre cele mai interesante descoperiri despre WeLiveSecurity:
Chiar dacă accentul nostru principal rămâne pe analiza amenințărilor care implică programe malware, ne-am trezit investigând o operațiune de informare sau o operațiune psihologică (PSYOP) încercând să ridice îndoieli în mintea ucrainenilor și vorbitorilor de ucraineană din străinătate.
Operațiunea Texonto
Operațiunea Texonto este o campanie de dezinformare/PSYOP care utilizează mail-uri spam ca metodă principală de distribuție. În mod surprinzător, nu se pare că făptașii au folosit canale obișnuite precum Telegram sau site-uri web false pentru a-și transmite mesajele. Am detectat două valuri diferite, primul în noiembrie 2023 și al doilea la sfârșitul lunii decembrie 2023. Conținutul e-mailurilor era despre întreruperi de încălzire, penurie de medicamente și penurie de alimente, care sunt teme tipice ale propagandei ruse.
Pe lângă campania de dezinformare, am detectat o campanie de spearphishing care a vizat o companie de apărare ucraineană în octombrie 2023 și o agenție a UE în noiembrie 2023. Scopul ambelor a fost să fure acreditările pentru conturile Microsoft Office 365. Datorită asemănărilor în infrastructura de rețea utilizată în aceste PSYOP-uri și operațiuni de phishing, le conectăm cu mare încredere.
Interesant este că alți câțiva pivoți au dezvăluit, de asemenea, nume de domenii care fac parte din Operațiunea Texonto și care au legătură cu subiecte interne rusești, cum ar fi Alexei Navalny, cunoscutul lider al opoziției ruse care a fost în închisoare și decedat pe februarie 16th, 2024. Aceasta înseamnă că Operațiunea Texonto include probabil operațiuni de spearphishing sau de informare care vizează dizidenții și susținătorii ruși ai regretatului lider al opoziției. Aceste domenii includ:
- navalny-voturi[.]net
- navalny-votesmart[.]net
- navalny-voting[.]net
Poate și mai ciudat este că un server de e-mail, operat de atacatori și folosit pentru a trimite e-mailuri PSYOP, a fost reutilizat două săptămâni mai târziu pentru a trimite spam tipic de farmacie canadian. Această categorie de afaceri ilegale a fost foarte populară în comunitatea rusă a criminalității cibernetice de mult timp, așa cum este aceasta postare pe blog din 2011 explică.
Figura 1 rezumă principalele evenimente ale Operațiunii Texonto.
Preparatul ciudat al spionajului, operațiunilor de informare și farmacii false nu poate decât să ne amintească Callisto, un cunoscut grup de spionaj cibernetic aliniat Rusiei care a făcut obiectul unui punere sub acuzare de către US DOJ în decembrie 2023. Callisto vizează oficialii guvernamentali, oamenii din grupurile de reflecție și organizațiile militare prin intermediul site-urilor web de spearphishing concepute pentru a imita furnizorii obișnuiți de cloud. Grupul a derulat și operațiuni de dezinformare, cum ar fi a scurgere de documente chiar înainte de alegerile generale din Marea Britanie din 2019. În cele din urmă, pivotarea asupra vechii sale infrastructuri de rețea duce la domenii farmaceutice false, cum ar fi musclepharm[.]top or ukrpharma[.]ovh.
Deși există mai multe puncte de similaritate la nivel înalt între operațiunile Operațiunea Texonto și Callisto, nu am găsit nicio suprapunere tehnică și în prezent nu atribuim Operațiunea Texonto unui anumit actor de amenințare. Cu toate acestea, având în vedere TTP-urile, direcționarea și răspândirea mesajelor, atribuim operațiunea cu mare încredere unui grup care este aliniat cu Rusia.
Campanie de phishing: octombrie-noiembrie 2023
Angajații care lucrează la o companie importantă de apărare din Ucraina au primit un e-mail de phishing în octombrie 2023, care se presupune că provenea de la departamentul lor IT. E-mailurile au fost trimise de la it.[nume_companie_redactată]@gmail.com, o adresă de e-mail creată cel mai probabil special pentru această campanie, iar subiectul e-mailului a fost Запрошено утверждение:Планова інвентаризація (traducere automată din ucraineană: Aprobare solicitată: Inventar planificat).
Conținutul e-mailului este următorul:
У період з 02 жовтня по 13 жовтня співробітники відділу інформаційних технологій провитники відділу інформаційних технологій проьваводі ію та видалення поштових скриньок, що не використовуються. Якщо Ви плануєте використовувати свою поштову адресу ([redacted_address]@[redacted_company_name].com) у май бутньомд,тньомд,тньа а веб-версію поштової скриньки за цим посиланням та увійдіть до системи, використеми, використові за цим посиланням та увійдіть до системи, використові за цим посиланням.
Жодних додаткових дій не потрібно, Ваша поштова скринька отримає статус „підтвердженд вердженд верджений ас планової інвентаризації ресурсів. Якщо ця поштова адреса не використовується Вами (або її використання не плануєтєтьь вуєтьь вується вує випадку Вам не потрібно виконувати жодних дій – поштову скриньку буде видалено автомат13 автоматич2023рова дій.
З повагою,
Відділ інформаційних технологій.
O traducere automată a e-mailului este:
În perioada 2 octombrie - 13 octombrie, angajații departamentului de tehnologie a informației vor efectua un inventar planificat și eliminarea cutiilor poștale neutilizate. Dacă intenționați să utilizați adresa dvs. de e-mail ([redacted_address]@[redacted_company_name].com) în viitor, vă rugăm să accesați versiunea web a căsuței poștale de la acest link și să vă conectați folosind datele de conectare.
Nu sunt necesare acțiuni suplimentare, căsuța dvs. poștală va primi starea „confirmată” și nu va fi eliminată în timpul unui inventar de resurse programat. Dacă această adresă de e-mail nu este utilizată de dvs. (sau utilizarea acesteia nu este planificată în viitor), atunci în acest caz nu trebuie să luați nicio măsură - căsuța poștală va fi ștearsă automat pe 13 octombrie 2023.
Toate cele bune,
Departamentul de tehnologii informaționale.
Scopul e-mailului este de a atrage țintele să facă clic pe за цим посиланням (traducere automată: la acest link), ceea ce duce la https://login.microsoftidonline[.]com/common/oauth2/authorize?client_id=[redacted];redirect_uri=https%3a%2f%2foutlook.office365.com%2fowa%2f&resource=[redacted]&response_mode=form_post&response_type=code+id_token&scope=openid&msafed=1&msaredir=1&client-request-id=[redacted]&protectedtoken=true&claims=%7b%22id_token%22%3a%7b%22xms_cc%22%3a%7b%22values%22%3a%5b%22CP1%22%5d%7d%7d%7d&domain_hint=[redacted]&nonce=[redacted]&state=[redacted] (parțial redactat). Această adresă URL indică domeniul rău intenționat login.microsoftidonline[.]com. Rețineți că acest domeniu este foarte aproape de cel oficial, login.microsoftonline.com.
Nu am reușit să recuperăm pagina de phishing, dar cel mai probabil a fost o pagină de autentificare Microsoft falsă menită să fure acreditările țintelor.
Pentru un alt domeniu aparținând Operațiunii Texonto, choicelive149200[.]com, au existat două trimiteri VirusTotal (unu și Două) pentru adresa URL https://choicelive149200[.]com/owa/auth/logon.aspx?replaceCurrent=1&url=https://hbd.eupolcopps.eu/owa/. Din păcate, site-ul nu mai era accesibil în momentul analizei, dar era probabil o pagină de phishing pentru autentificare pentru Outlook pe web/webmail OWA al eupolcopps.eu, Biroul de coordonare al UE pentru sprijinul poliției palestiniene. Rețineți că nu am văzut exemplul de e-mail, ci doar adresa URL trimisă către VirusTotal.
Primul val PSYOP: noiembrie 2023
În noiembrie 20th, am detectat primul val de e-mailuri de dezinformare cu un atașament PDF trimis la cel puțin câteva sute de destinatari din Ucraina. Oamenii care lucrează la guvernul ucrainean, companiile energetice și chiar persoane fizice au primit e-mailurile. Nu știm cum a fost construită lista de adrese de e-mail.
Spre deosebire de campania de phishing descrisă anterior, scopul acestor e-mailuri a fost de a semăna îndoiala în mintea ucrainenilor; de exemplu, un e-mail spune că „Pot exista întreruperi de încălzire în această iarnă”. Se pare că nu a existat vreo legătură rău intenționată sau malware în acest val specific, doar dezinformare.
Figura 2 prezintă un exemplu de e-mail. Subiectul său este Рекомендації моз україни на тлі дефіциту ліків (traducere automată din ucraineană: Recomandări ale Ministerului Sănătății al Ucrainei la momentul lipsei de medicamente) și e-mailul a fost trimis de la mozua@ua-minagro[.]com. Rețineți că această adresă poate fi văzută în plic-de la și calea de intoarcere domenii.
ua-minagro[.]com este un domeniu operat de atacatori și a fost folosit exclusiv pentru trimiterea de e-mailuri de dezinformare în această campanie. Domeniul se preface drept Ministerul Politicii Agrare și Alimentației din Ucraina, al cărui domeniu legitim este minagro.gov.ua.
La e-mail este atașat un document PDF, așa cum se arată în Figura 3. Deși nu este rău intenționat în sine, conține și mesaje de dezinformare.
Documentul folosește greșit sigla Ministerului Sănătății al Ucrainei și explică că, din cauza războiului, există un deficit de medicamente în Ucraina. Se mai spune că guvernul ucrainean refuză să importe droguri din Rusia și Belarus. Pe a doua pagină, ei explică cum să înlocuiți unele medicamente cu plante.
Ceea ce este interesant de remarcat este că e-mailul a fost trimis dintr-un domeniu prefacut drept Ministerul Politicii Agrare și Alimentației al Ucrainei, în timp ce conținutul este despre penuria de medicamente, iar PDF-ul folosește greșit sigla Ministerului Sănătății al Ucrainei. Este posibil să fie o greșeală a atacatorilor sau, cel puțin, arată că nu le-a păsat de toate detaliile.
În plus față de ua-minagro[.]com, cinci domenii suplimentare au fost folosite pentru a trimite e-mailuri în acest val:
- uaminagro[.]com
- minuaregion[.]org
- minuaregionbecareful[.]com
- uamtu[.]com
- minagroua[.]org
minuaregion[.]org și minuaregionbecareful[.]com se mascară drept Ministerul Reintegrării Teritoriilor Ocupate Temporar din Ucraina al cărui site legitim este https://minre.gov.ua/en/.
uamtu[.]com se preface drept Ministerul Dezvoltării Comunităților, Teritoriilor și Infrastructurii din Ucraina, al cărui site legitim este https://mtu.gov.ua.
Am identificat încă trei șabloane diferite de mesaje de e-mail, fiecare cu un corp de e-mail și un atașament PDF diferit. Un rezumat este prezentat în Tabelul 1.
Tabel 1. E-mailuri de dezinformare
Organism de e-mail |
Traducere automată a corpului e-mailului |
Російськими військовими системно обстрілюються об'єкти енергетичної інфраструктури. У разі виникнення екстреної ситуації подача опалення та електрики в будинки може бунтача опалення та електрики в будинки може бунтача опалення. Щоб вижити в такій ситуації, рекомендуємо вам наступне: |
Armata rusă bombardează sistematic infrastructura instalațiilor energetice. Furnizarea de încălzire în caz de urgență și electricitatea la locuințe pot fi întrerupte complet. Pentru a supraviețui într-o astfel de situație, vă recomandăm următoarele: |
Цієї зими можуть спостерігатися перебої з опаленням. Рівень температури в будинках може бути нижче допустимих значень на кілька градусів. У деяких випадках можливо навіть відключення опалення, об'єкти енергетичної безоди стен пехпих ою загрозою. У зв'язку з цим, радимо взяти до уваги наступні рекомендації. |
Este posibil să apară întreruperi de încălzire în această iarnă. Nivelul temperaturii în case poate fi cu câteva grade sub valorile admise. În unele cazuri, este chiar posibilă oprirea încălzirii, securitatea energetică a instalațiilor este amenințată constant. În acest sens, vă sfătuim să țineți cont de următoarele recomandări. |
Міністерство охорони здоров'я попереджає про дефіцит ліків в аптеках — доставка детріких піх пареджає го попиту може затримуватися. З початком війни з РФ Україна повністю відмовилася від лікарських засобів росіїна росіфь ких цевтичних компаній, доходи населення впали, а іноземні ліки, логістика яких зміниласх змінилась іслення іслення іслених існою, значно подорожчали. При цьому, найбільшим попитом у громадян України користуються групи препаратів препаратів длхиконни длхик нни лікраїни користуються рювань, заспокійливі, знеболюючі та хірургічні засоби. На тлі виниклого дефіциту МОЗ України нагадав громадянам, що не варто нехтувато нехтувати нехтувати нехтувати беримни промадянам х століттями народних методів лікування і випустив відповідні рекомендації. |
Ministerul Sănătății avertizează cu privire la o penurie de medicamente în farmacii — livrarea unor medicamente pe fondul cererii crescute poate fi amânată. Odată cu începutul războiului cu Federația Rusă, Ucraina a refuzat complet companiile farmaceutice din Rusia și Belarus, veniturile populației au scăzut, iar medicamentele străine, a căror logistică s-a schimbat și au devenit mai complexe și mai scumpe, au devenit semnificativ mai scumpe. În același timp, cea mai mare cerere este din partea cetățenilor. Ucraina folosește grupuri de medicamente pentru tratamentul bolilor cronice, sedative, analgezice și mijloace chirurgicale. Pe fondul penuriei, Ministerul Sănătății al Ucrainei le-a reamintit cetățenilor că nu trebuie să neglijați experiența neprețuită a secolelor testate de metode populare de tratament și a lansat cele adecvate recomandate. |
Агресія Росії призвела до значних втрат в аграрному секторі України. Землі забруднені мінами, пошкоджені снарядами, окопами і рухом військової техніки. У великій кількості пошкоджено та знищено сільськогосподарську техніку, знищено знищено зерно зверно зверно щ. До стабілізації обстановки Міністерство аграрної політики та продовольства рекоменовки рекоментнуц рекоментнуц рекоментнуц рекоменовки стравами з доступних дикорослих трав. Вживання свіжих, соковитих листя трав у вигляді салатів є найбільш простим, корисним простим, корисносним. Пам'ятайте, що збирати рослини слід далеко від міст і селищ, а також від жвавих трас. Пропонуємо вам кілька корисних і простих у приготуванні рецептів. |
Agresiunea Rusiei a dus la pierderi semnificative în sectorul agricol al Ucrainei. Terenurile sunt poluate de mine, avariate de obuze, tranșee și deplasarea echipamentelor militare. O mare cantitate de mașini agricole a fost avariată și distrusă, iar grânarele au fost distruse. Până la stabilizarea situației, Ministerul Politicii Agrare și Alimentației recomandă diversificarea alimentației cu preparate din ierburi sălbatice disponibile. Consumul de frunze proaspete, suculente de ierburi sub formă de salate este cel mai simplu, util și mai accesibil. Amintiți-vă că ar trebui să colectați plante departe de orașe și orașe, precum și de pe drumurile aglomerate. Vă oferim câteva rețete utile și ușor de preparat. |
Se presupune că atașamentele PDF aferente provin de la Ministerul Regiunilor din Ucraina (a se vedea Figura 4) și de la Ministerul Agriculturii (a se vedea Figura 5).
În ultimul document, presupus de la Ministerul Agriculturii, ei sugerează să mănânce „risotto de porumbei” și chiar oferă o fotografie a unui porumbel viu și a unui porumbel gătit... Aceasta arată că acele documente au fost create în mod intenționat pentru a enerva cititorii.
În general, mesajele se aliniază cu temele comune de propagandă rusă. Ei încearcă să-i facă pe ucraineni să creadă că nu vor avea droguri, alimente și încălzire din cauza războiului Rusia-Ucraina.
Al doilea val PSYOP: decembrie 2023
La aproximativ o lună după primul val, am detectat o a doua campanie de e-mail PSYOP care vizează nu numai ucrainenii, ci și oameni din alte țări europene. Țintele sunt oarecum aleatorii, de la guvernul ucrainean la un producător italian de pantofi. Deoarece toate e-mailurile sunt scrise în ucraineană, este posibil ca țintele străine să fie vorbitori de ucraineană. Potrivit telemetriei ESET, câteva sute de oameni au primit e-mailuri în acest al doilea val.
Am găsit două șabloane diferite de e-mail în acest val. Primul a fost trimis pe 25 decembrieth și este prezentat în Figura 6. În ceea ce privește primul val, mesajele de e-mail au fost trimise de pe un server de e-mail operat de atacatori, infoatenție[.]com în acest caz.
O traducere automată a corpului de e-mail este următoarea:
Dragi ucraineni, vă felicităm pentru cea mai caldă și mai familială sărbătoare – Anul Nou!
Ne dorim din tot sufletul să sărbătorești anul 2024 alături de familia ta! Fie ca familia și prietenii tăi să nu se îmbolnăvească niciodată! Aveți grijă unul de celălalt! Numai împreună vom reuși să-i alungăm pe sataniștii din SUA și pe slujitorii lor de pe pământul original rusesc! Să reînvie Rusia Kievană în ciuda dușmanilor noștri! Să salvăm viețile oamenilor! Din Rusia, cu dragoste!
Sărbători fericite, dragi prieteni!
Al doilea șablon de e-mail, prezentat în Figura 7, a fost trimis pe 26 decembrieth, 2023 de la un alt server de e-mail: stronginfo1[.]com. În timpul acestui val, au fost folosite două adrese de e-mail suplimentare:
- happyny@infonotifi[.]com
- happyny@infonotification[.]com
O traducere automată a corpului de e-mail este următoarea:
La mulți ani, fraților ucraineni! De Revelion, este timpul să vă amintiți cât de bine este să aveți două perechi de picioare și brațe, dar dacă ați pierdut una dintre ele, atunci nu vă supărați - asta înseamnă că nu veți întâlni un soldat rus în un șanț. Și aici dacă toate membrele tale sunt intacte, atunci nu te invidiem. Vă recomandăm să tăiați sau să tăiați singur cel puțin unul dintre cele patru – câteva minute de durere, dar apoi o viață fericită!
La mulți ani, ucraineni! Amintiți-vă că uneori unul este mai bun decât doi!
În timp ce prima campanie de e-mail PSYOP din noiembrie 2023 a fost destul de bine pregătită, cu documente PDF create special care au fost oarecum convingătoare, această a doua campanie este destul de mai simplă și mai întunecată în mesajele sale. Al doilea șablon de e-mail este deosebit de deranjant, atacatorii sugerând oamenilor să-și amputeze un picior sau un braț pentru a evita desfășurarea militară. În general, are toate caracteristicile PSYOP-urilor în timpul războiului.
Spam în farmacii canadian: ianuarie 2024
Într-o întorsătură destul de surprinzătoare a evenimentelor, unul dintre domenii a folosit pentru a trimite e-mailuri PSYOP în decembrie 2023, informare[.]com, a început să fie folosit pentru a trimite spam la farmaciile canadiene pe 7 ianuarieth, 2024.
Un exemplu este oferit în Figura 8, iar linkul redirecționează către site-ul fals al farmaciei canadiane onlinepharmacycenter[.]com. Campania de spam a fost moderat de mare (cel puțin în sute de mesaje) și oamenii din multe țări au primit astfel de e-mailuri.
E-mailurile au fost trimise de la happyny@infonotification[.]com și acest lucru a fost verificat în anteturile de e-mail:
Return-Path: <happyny@infonotification[.]com>
Delivered-To: [redacted]
[redacted]
Received: from infonotification[.]com ([185.12.14[.]13]) by [redacted] with esmtps (TLS1.3:TLS_AES_256_GCM_SHA384:256) [redacted] Sun, 07 Jan 2024 12:39:10 +0000
Spam-ul fals al farmaciilor canadiane este o afacere condusă istoric de criminali cibernetici ruși. A fost acoperit pe larg în trecut de bloggeri precum Brian Krebs, în special în cartea sa Spam Nation.
Legături între aceste campanii de spam
Deși nu știm de ce operatorii campaniilor PSYOP au decis să refolosească unul dintre serverele lor pentru a trimite spam de farmacie fals, este probabil să fi realizat că infrastructura lor a fost detectată. Prin urmare, este posibil ca aceștia să fi decis să încerce să monetizeze infrastructura deja arsă, fie pentru profit propriu, fie pentru a finanța viitoare operațiuni de spionaj sau PSYOP-uri. Figura 9 rezumă legăturile dintre diferitele domenii și campanii.
Concluzie
De la începutul războiului din Ucraina, grupuri aliniate Rusiei, cum ar fi Sandworm, au fost ocupate să perturbe infrastructura IT ucraineană folosind ștergătoare. În ultimele luni, am observat o creștere a operațiunilor de spionaj cibernetic, în special de către infamul grup Gamaredon.
Operațiunea Texonto arată încă o altă utilizare a tehnologiilor pentru a încerca să influențeze războiul. Am găsit câteva pagini de conectare Microsoft false tipice, dar cel mai important, au existat două valuri de PSYOP prin e-mailuri, probabil pentru a încerca să influențeze și să demoralizeze cetățenii ucraineni cu mesaje de dezinformare despre subiecte legate de război.
O listă cuprinzătoare de Indicatori de compromis (IoC) și mostre poate fi găsită în depozitul nostru GitHub.
Pentru orice întrebări despre cercetarea noastră publicată pe WeLiveSecurity, vă rugăm să ne contactați la threatintel@eset.com.
ESET Research oferă rapoarte private de informații APT și fluxuri de date. Pentru orice întrebări despre acest serviciu, vizitați ESET Threat Intelligence .
IoC-uri
Fişiere
SHA-1 |
Filename |
Nume de detectare ESET |
Descriere |
3C201B2E40357996B383 |
Minagroua111.pdf |
PDF/Fraud.CDY |
PDF folosit într-o operațiune de informare împotriva Ucrainei. |
15BF71A771256846D44E |
Mozua.pdf |
PDF/Fraud.CDU |
PDF folosit într-o operațiune de informare împotriva Ucrainei. |
960341B2C296C425821E |
Minregion.pdf |
PDF/Fraud.CDT |
PDF folosit într-o operațiune de informare împotriva Ucrainei. |
BB14153040608A4F559F |
Minregion.pdf |
PDF/Fraud.CDX |
PDF folosit într-o operațiune de informare împotriva Ucrainei. |
Reţea
IP |
domeniu |
Furnizor de găzduire |
Prima dată văzut |
Detalii |
- |
navalny-voturi[.]net |
- |
2023-09-09 |
Domeniu legat de Alexei Navalny. |
- |
navalny-votesmart[.]net |
- |
2023-09-09 |
Domeniu legat de Alexei Navalny. |
- |
navalny-voting[.]net |
- |
2023-09-09 |
Domeniu legat de Alexei Navalny. |
45.9.148[.]165 |
infoatenție[.]com |
Nice IT Services Group Inc. |
2023-12-25 |
Server folosit pentru a trimite e-mailuri în Operațiunea Texonto. |
45.9.148[.]207 |
minuaregionbecareful[.]com |
Nice IT Services Group Inc. |
2023-11-23 |
Server folosit pentru a trimite e-mailuri în Operațiunea Texonto. |
45.9.150[.]58 |
stronginfo1[.]com |
Nice IT Services Group Inc. |
2023-12-25 |
Server folosit pentru a trimite e-mailuri în Operațiunea Texonto. |
45.129.199[.]200 |
minuaregion[.]org |
Hostinger |
2023-11-21 |
Server folosit pentru a trimite e-mailuri în Operațiunea Texonto. |
45.129.199[.]222 |
uamtu[.]com |
Hostinger |
2023-11-20 |
Server folosit pentru a trimite e-mailuri în Operațiunea Texonto. |
46.249.58[.]177 |
infonotifi[.]com |
serverius-mnt |
2023-12-28 |
Server folosit pentru a trimite e-mailuri în Operațiunea Texonto. |
89.116.52[.]79 |
uaminagro[.]com |
IPXO LIMITED |
2023-11-17 |
Server folosit pentru a trimite e-mailuri în Operațiunea Texonto. |
154.49.137[.]16 |
choicelive149200[.]com |
Hostinger |
2023-10-26 |
Server de phishing. |
185.12.14[.]13 |
informare[.]com |
Serverius |
2023-12-28 |
Server folosit pentru a trimite e-mailuri în Operațiunea Texonto. |
193.43.134[.]113 |
login.microsoftidonline[.]com |
Hostinger |
2023-10-03 |
Server de phishing Office 365. |
195.54.160[.]59 |
minagroua[.]org |
BlueVPS |
2023-11-21 |
Server folosit pentru a trimite e-mailuri în Operațiunea Texonto. |
Adrese de email
- minregion@uaminagro[.]com
- minregion@minuaregion[.]org
- minregion@minuaregionbecareful[.]com
- minregion@uamtu[.]com
- mozua@ua-minagro[.]com
- mozua@minagroua[.]org
- minagroua@vps-3075.lethost[.]rețea
- happyny@infoattention[.]com
- happyny@stronginfo1[.]com
- happyny@infonotifi[.]com
- happyny@infonotification[.]com
Tehnici MITRE ATT&CK
Acest tabel a fost construit folosind Versiunea 14 din cadrul MITRE ATT&CK.
tactică |
ID |
Nume si Prenume |
Descriere |
Dezvoltarea resurselor |
Achiziționați infrastructură: Domenii |
Operatorii au cumpărat nume de domenii de la Namecheap. |
|
Achiziționați infrastructură: Server |
Operatorii au închiriat servere la Nice IT, Hostinger, Serverius și BlueVPS. |
||
Acces inițial |
Phishing |
Operatorii au trimis e-mailuri cu conținut dezinformare. |
|
Phishing: Link de spearphishing |
Operatorii au trimis e-mailuri cu un link către o pagină de autentificare Microsoft falsă. |
||
Evaziunea apărării |
Mascarada |
Operatorii au folosit nume de domenii similare cu numele de domenii oficiale ale guvernului ucrainean. |
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers-context-war/
- :are
- :este
- :nu
- 07
- 1
- 10
- 11
- 116
- 12
- 13
- 14
- 15%
- 16
- 17
- 179
- 180
- 19
- 20
- 2011
- 2019
- 2022
- 2023
- 2024
- 22
- 321
- 39
- 40
- 43
- 49
- 54
- 7
- 8
- 9
- a
- Capabil
- Despre Noi
- in strainatate
- Conform
- Cont
- Conturi
- Acțiune
- acțiuni
- plus
- Suplimentar
- adresa
- adrese
- sfătui
- accesibil
- După
- împotriva
- agenție
- Agricol
- agricultură
- înainte
- alinia
- aliniat
- TOATE
- ar fi
- deja
- de asemenea
- sumă
- amp
- an
- analiză
- analiza
- și
- și infrastructură
- O alta
- Orice
- adecvat
- aprobare
- APT
- SUNT
- ARM
- arme
- AS
- At
- Atacuri
- în mod automat
- disponibil
- evita
- fundal
- de bază
- BE
- a devenit
- deoarece
- fost
- Început
- fiind
- Bielorusia
- Crede
- apartenenta
- de mai jos
- Mai bine
- între
- corp
- carte
- atât
- au cumpărat
- construit
- ars
- afaceri
- ocupat
- dar
- by
- Campanie
- Campanii
- CAN
- canadian
- pasă
- caz
- cazuri
- Categorii
- sărbători
- secole
- si-a schimbat hainele;
- canale
- Caracteristici
- Oraşe
- cetăţenii
- Închide
- Cloud
- colecta
- COM
- venire
- Comun
- Comunități
- comunitate
- Companii
- companie
- complet
- complex
- cuprinzător
- compromis
- Conduce
- încredere
- CONFIRMAT
- constant
- contactați-ne
- conține
- conţinut
- conținut
- context
- gătit
- coordonator
- țări
- Cuplu
- acoperit
- a creat
- scrisori de acreditare
- În prezent
- Tăiat
- tăiere
- criminalităţii cibernetice
- cybercriminals
- mai întunecat
- de date
- dragă
- decembrie
- hotărât
- Apărare
- Întârziat
- livrare
- Cerere
- Departament
- desfășurarea
- descris
- proiectat
- distrus
- detalii
- detectat
- Detectare
- Dezvoltare
- FĂCUT
- Dietă
- diferit
- boli
- dezinformare
- distribuire
- do
- document
- documente
- Nu
- DOJ
- domeniu
- NUMELE DE DOMENIU
- domenii
- don
- Dont
- îndoială
- îndoieli
- conduce
- medicament
- Droguri
- două
- în timpul
- fiecare
- mânca
- oricare
- Alegere
- electricitate
- e-mailuri
- caz de urgență
- de angajați
- capăt
- energie
- echipament
- mai ales
- spionaj
- EU
- european
- Tari europene
- ajun
- Chiar
- evenimente
- exemplu
- exclusiv
- scump
- experienţă
- Explica
- explică
- extensiv
- facilități
- fals
- familie
- departe
- februarie
- Federaţie
- puțini
- Domenii
- Figura
- În cele din urmă
- constatările
- First
- cinci
- Concentra
- următor
- alimente
- Pentru
- străin
- formă
- găsit
- patru
- proaspăt
- Prietenii lui
- din
- fond
- viitor
- General
- obține
- GitHub
- dat
- Go
- scop
- bine
- Guvern
- Oficiali guvernamentali
- cea mai mare
- grup
- Grupului
- fericit
- Avea
- anteturile
- Sănătate
- prin urmare
- aici
- Înalt
- la nivel înalt
- lui
- istoricește
- Vacanță
- Case
- case
- Cum
- Cum Pentru a
- Totuși
- HTTPS
- sută
- sute
- identificat
- if
- Ilegal
- imagine
- import
- important
- in
- În altele
- include
- include
- a crescut
- Indicatorii
- persoane fizice
- infam
- influență
- informații
- tehnologia informației
- Infrastructură
- Cereri
- instanță
- Inteligență
- destinate
- interesant
- intern
- în
- neprețuit
- inventar
- investigare
- implicând
- IT
- Italiană
- ESTE
- închisoare
- Jan
- ianuarie
- doar
- Justiție
- Cunoaște
- terenuri
- mare
- Nume
- Târziu
- mai tarziu
- a lansat
- lider
- Conduce
- cel mai puțin
- Led
- legitim
- picioare
- lăsa
- Nivel
- Probabil
- LINK
- legarea
- Link-uri
- Listă
- viaţă
- log
- Logare
- logistică
- siglă
- Lung
- perioadă lungă de timp
- mai lung
- pierderi
- pierdut
- maşină
- mașini
- făcut
- Principal
- major
- face
- rău
- malware
- Producător
- multe
- Mai..
- mijloace
- Întâlni
- mesaj
- mesaje
- mesagerie
- metodă
- Metode
- Microsoft
- Militar
- minte
- mințile
- mine
- minister
- minute
- greşeală
- moderat
- genera bani
- Lună
- luni
- mai mult
- cele mai multe
- mişcare
- NameCheap
- nume
- naţiune
- Nevoie
- reţea
- nu
- Nou
- Anul Nou
- frumos
- Nu.
- nota
- noiembrie
- număr
- octombrie
- of
- de pe
- oferi
- promoții
- Birou
- oficial
- Oficialii
- Vechi
- on
- ONE
- cele
- afară
- operat
- operaţie
- Operațiuni
- Operatorii
- opoziţie
- or
- comandă
- organizații
- original
- Altele
- al nostru
- ne
- afară
- Perspectivă
- global
- suprapune
- propriu
- pagină
- pagini
- Durere
- perechi
- parte
- în special
- trecut
- oameni
- pentru
- perioadă
- Pharma
- Farmaceutic
- farmacii
- Phishing
- campanie de phishing
- pivotează
- plan
- planificat
- Plante
- Plato
- Informații despre date Platon
- PlatoData
- "vă rog"
- puncte
- Police
- Politica
- Popular
- populație
- posibil
- eventual
- prevenite
- în prealabil
- privat
- probabil
- Produse
- Profit
- propagandă
- protectoare
- furniza
- prevăzut
- furnizori
- psihologic
- publicat
- cu totul
- ridica
- aleator
- variind
- mai degraba
- cititori
- realizat
- a primi
- primit
- recent
- destinatari
- recomanda
- Recomandări
- recomandat
- recomandă
- refuzat
- refuzare
- considera
- ceea ce privește
- regiuni
- legate de
- eliberat
- rămășițe
- minte
- îndepărtare
- îndepărtat
- înlocui
- Rapoarte
- necesar
- cercetare
- resursă
- reutilizarea
- Reuters
- Dezvăluit
- reînvia
- drumuri
- Alerga
- Rusia
- Războiul Rusia-Ucraina
- Rusă
- Federația Rusă
- s
- acelaşi
- probă
- Economisiți
- spune
- programată
- Al doilea
- sector
- securitate
- vedea
- părea
- văzut
- trimite
- trimitere
- trimis
- serverul
- Servere
- serviciu
- Servicii
- câteva
- deficit
- penuriei
- să
- indicat
- Emisiuni
- semnificativ
- semnificativ
- asemănător
- asemănări
- simplu
- întrucât
- Cu sinceritate
- teren
- situație
- unele
- uneori
- oarecum
- SOW
- spam-
- difuzoare
- special
- specific
- specific
- ciudă
- răspândire
- Începe
- început
- Stare
- ciudat
- străin
- subiect
- Subscrieri
- prezentat
- astfel de
- sugera
- REZUMAT
- soare
- livra
- a sustine
- susținători
- chirurgical
- surprinzător
- surprinzător
- supravieţui
- tabel
- Lua
- Rezervoare
- vizate
- direcționare
- obiective
- Tehnic
- Tehnologii
- Tehnologia
- Telegramă
- șablon
- şabloane
- teritorii
- testat
- decât
- mulțumesc
- acea
- Viitorul
- informațiile
- lor
- Lor
- tematică
- apoi
- Acolo.
- Acestea
- ei
- crede
- acest
- aceste
- deşi?
- amenințare
- amenințări
- trei
- timp
- cronologie
- la
- împreună
- subiecte
- orașe
- Traducere
- tratament
- încerca
- încercat
- ÎNTORCĂ
- twist
- Două
- tipic
- Uk
- Ucraina
- ucrainean
- Ucraineni
- în
- din pacate
- până la
- nefolosit
- URL-ul
- us
- SUA DOJ
- Statele Unite ale Americii
- utilizare
- utilizat
- util
- utilizări
- folosind
- Valori
- verificat
- versiune
- foarte
- de
- Vizita
- vrea
- război
- Război în Ucraina
- avertizează
- a fost
- Val
- valuri
- we
- web
- website
- site-uri web
- săptămâni
- BINE
- bine cunoscut
- au fost
- care
- în timp ce
- OMS
- a caror
- de ce
- lățime
- Sălbatic
- voi
- Iarnă
- cu
- în
- Castigat
- de lucru
- scris
- an
- ani
- încă
- Tu
- Ta
- te
- zephyrnet