Izdelki in raziskave ESET že leta ščitijo ukrajinsko IT infrastrukturo. Od začetka vojne februarja 2022 smo preprečili in preiskali veliko število napadov, ki so jih izvedle skupine, povezane z Rusijo. Nekaj najbolj zanimivih ugotovitev smo objavili tudi na WeLiveSecurity:
Čeprav ostaja naš glavni poudarek na analizi groženj, ki vključujejo zlonamerno programsko opremo, smo ugotovili, da preiskujemo informacijsko operacijo ali psihološko operacijo (PSYOP), s katero poskušamo zbuditi dvome v glavah Ukrajincev in ukrajinsko govorečih v tujini.
Operacija Texonto
Operacija Texonto je dezinformacijska/PSYOP kampanja, ki uporablja neželeno pošto kot glavno distribucijsko metodo. Presenetljivo je, da se zdi, da storilci za posredovanje svojih sporočil niso uporabljali običajnih kanalov, kot je Telegram ali lažna spletna mesta. Zaznali smo dva različna vala, prvega novembra 2023 in drugega konec decembra 2023. Vsebina elektronskih sporočil je bila o prekinitvah ogrevanja, pomanjkanju zdravil in pomanjkanju hrane, kar so tipične teme ruske propagande.
Poleg kampanje dezinformacij smo zaznali kampanjo lažnega predstavljanja, ki je bila tarča ukrajinskega obrambnega podjetja oktobra 2023 in agencije EU novembra 2023. Cilj obeh je bila ukrasti poverilnice za račune Microsoft Office 365. Zaradi podobnosti v omrežni infrastrukturi, ki se uporablja v teh PSYOP in operacijah lažnega predstavljanja, jih povezujemo z visoko stopnjo zaupanja.
Zanimivo je, da je nekaj več točk razkrilo tudi domenska imena, ki so del operacije Texonto in povezana z notranjimi ruskimi temami, kot je Aleksej Navalni, znani ruski opozicijski voditelj, ki je bil v zaporu in umrl februarja 16th, 2024. To pomeni, da operacija Texonto verjetno vključuje podvodno lažno predstavljanje ali operacije obveščanja, namenjene ruskim disidentom in podpornikom pokojnega vodje opozicije. Te domene vključujejo:
- navalny-glass[.]net
- navalny-votesmart[.]net
- navalny-voting[.]net
Morda je še bolj nenavadno, da je bil e-poštni strežnik, ki ga upravljajo napadalci in se uporablja za pošiljanje e-pošte PSYOP, dva tedna pozneje ponovno uporabljen za pošiljanje tipične neželene pošte iz kanadskih lekarn. Ta kategorija nezakonitega poslovanja je že dolgo zelo priljubljena v ruski skupnosti kibernetskega kriminala, saj ta blogpost iz leta 2011 pojasnjuje.
Slika 1 povzema glavne dogodke operacije Texonto.
Nenavaden zvarek vohunjenja, informacijskih operacij in lažne farmacije nas lahko samo spominja Callisto, znana z Rusijo povezana skupina za kibernetsko vohunjenje, ki je bila predmet obtožnica s strani Ministrstva za pravosodje ZDA decembra 2023. Callisto cilja na vladne uradnike, ljudi v možganskih trustih in organizacijah, povezanih z vojsko, prek spletnih mest za podvodno lažno predstavljanje, zasnovanih tako, da posnemajo običajne ponudnike v oblaku. Skupina je vodila tudi dezinformacijske operacije, kot je a uhajanje dokumentov tik pred splošnimi volitvami v Združenem kraljestvu leta 2019. Končno vrtenje na stari omrežni infrastrukturi vodi do lažnih farmacevtskih domen, kot je npr musclepharm[.]top or ukrpharma[.]ovh.
Medtem ko je med operacijo Operation Texonto in Callisto več točk podobnosti na visoki ravni, nismo našli nobenega tehničnega prekrivanja in trenutno operacije Texonto ne pripisujemo določenemu akterju grožnje. Vendar glede na TTP, ciljanje in širjenje sporočil operacijo z velikim zaupanjem pripisujemo skupini, ki je rusko usmerjena.
Kampanja proti lažnemu predstavljanju: oktober–november 2023
Zaposleni v velikem ukrajinskem obrambnem podjetju so oktobra 2023 prejeli e-poštno sporočilo z lažnim predstavljanjem, ki naj bi prihajalo iz njihovega oddelka za IT. E-poštna sporočila so bila poslana iz it.[redicted_company_name]@gmail.com, e-poštni naslov, ki je bil najverjetneje ustvarjen posebej za to oglaševalsko akcijo, zadeva e-pošte pa je bila Zaprošeno potrdilo: Inventarizacija načrta (strojni prevod iz ukrajinščine: Zahtevana odobritev: Načrtovani popis).
Vsebina elektronske pošte je naslednja:
V obdobju od 02. oktobra do 13. oktobra sodelavci oddelka za informacijske tehnologije izvajajo načrt inventarizacije in izdaje poštnih skrinj, ki se ne uporabljajo. Če načrtujete uporabo svojega poštnega naslova ([redacted_address]@[redacted_company_name].com) v prihodnosti, prosimo, pojdite na spletno različico poštne skrinke za te povezave in vstopite v sistem z uporabo svojega računa.
Če dodatnih dejstev ni potrebno, vaša poštna skrinja ustvari status “podtrjenih” in ne bo prikazana pod časom načrta inventarizacije virov. Če ta poštni naslov ne uporabljate Vasi (ali njegova uporaba v prihodnje ne načrtuje), v tem primeru ne potrebujete nobenih dej – poštna skrinja bo samodejno odstranjena 13. oktobra 2023.
Lep pozdrav,
Oddel informacijskih tehnologij.
Strojni prevod e-pošte je:
V času od 2. do 13. oktobra bodo sodelavci službe za informatiko opravili načrtovani popis in odvoz neuporabljenih poštnih predalov. Če nameravate v prihodnje uporabljati svoj e-poštni naslov ([redacted_address]@[redacted_company_name].com), pojdite na spletno različico nabiralnika na tej povezavi in se prijavite s svojimi poverilnicami.
Nobena dodatna dejanja niso potrebna, vaš nabiralnik bo prejel status »potrjen« in ne bo odstranjen med načrtovanim inventarjem virov. Če tega e-poštnega naslova ne uporabljate (ali njegova uporaba ni načrtovana v prihodnosti), vam v tem primeru ni treba ukrepati – nabiralnik bo 13. oktobra 2023 samodejno izbrisan.
Lep pozdrav,
Katedra za informacijske tehnologije.
Cilj e-pošte je privabiti tarče, da kliknejo za temi povezavami (strojno prevajanje: na tej povezavi), kar vodi do https://login.microsoftidonline[.]com/common/oauth2/authorize?client_id=[redacted];redirect_uri=https%3a%2f%2foutlook.office365.com%2fowa%2f&resource=[redacted]&response_mode=form_post&response_type=code+id_token&scope=openid&msafed=1&msaredir=1&client-request-id=[redacted]&protectedtoken=true&claims=%7b%22id_token%22%3a%7b%22xms_cc%22%3a%7b%22values%22%3a%5b%22CP1%22%5d%7d%7d%7d&domain_hint=[redacted]&nonce=[redacted]&state=[redacted] (delno redigirano). Ta URL kaže na zlonamerno domeno prijava.microsoftidna spletu[.]com. Upoštevajte, da je ta domena zelo blizu uradni, login.microsoftonline.com.
Strani z lažnim predstavljanjem nam ni uspelo pridobiti, vendar je bila najverjetneje lažna Microsoftova stran za prijavo, namenjena kraji poverilnic tarč.
Za drugo domeno, ki pripada operaciji Texonto, choicelive149200[.]com, sta bili dve predložitvi VirusTotal (ena in dva) za URL https://choicelive149200[.]com/owa/auth/logon.aspx?replaceCurrent=1&url=https://hbd.eupolcopps.eu/owa/. Na žalost spletno mesto v času analize ni bilo več dosegljivo, vendar je verjetno šlo za lažno predstavljanje poverilnic za spletno pošto Outlook v spletu/OWA eupolcopps.eu, Usklajevalni urad EU za podporo palestinski policiji. Upoštevajte, da nismo videli vzorca e-pošte, le URL, poslan v VirusTotal.
Prvi PSYOP val: november 2023
20. novembrath, smo zaznali prvi val dezinformacijskih e-poštnih sporočil s priponko PDF, poslanih vsaj nekaj sto prejemnikom v Ukrajini. Ljudje, zaposleni v ukrajinski vladi, energetskih podjetjih in celo posamezniki, so prejeli e-pošto. Ne vemo, kako je bil sestavljen seznam e-poštnih naslovov.
V nasprotju s prej opisano kampanjo lažnega predstavljanja je bil cilj teh elektronskih sporočil zasejati dvom v glavah Ukrajincev; eno e-poštno sporočilo na primer pravi, da "to zimo lahko pride do prekinitev ogrevanja". Zdi se, da v tem specifičnem valu ni bilo zlonamerne povezave ali zlonamerne programske opreme, le dezinformacije.
Slika 2 prikazuje primer e-pošte. Zadeva je Рекомендації моз україні на тлі дефіциту ліків (strojni prevod iz ukrajinščine: Priporočila Ministrstva za zdravje Ukrajine v času pomanjkanja zdravil), e-pošta pa je bila poslana iz mozua@ua-minagro[.]com. Upoštevajte, da je ta naslov viden v ovojnica-iz in povratna pot Polja.
ua-minagro[.]com je domena, ki jo upravljajo napadalci in je bila uporabljena izključno za pošiljanje dezinformacijskih e-poštnih sporočil v tej kampanji. Domena se predstavlja za ukrajinsko ministrstvo za agrarno politiko in prehrano, katerega zakonita domena je minagro.gov.ua.
E-poštnemu sporočilu je priložen dokument PDF, kot je prikazano na sliki 3. Čeprav sam po sebi ni zlonameren, vsebuje tudi dezinformacijska sporočila.
Dokument zlorablja logotip ukrajinskega ministrstva za zdravje in pojasnjuje, da zaradi vojne v Ukrajini primanjkuje zdravil. Piše tudi, da ukrajinska vlada zavrača uvoz drog iz Rusije in Belorusije. Na drugi strani pojasnjujejo, kako nekatera zdravila nadomestiti z rastlinami.
Zanimivo je omeniti, da je bilo e-poštno sporočilo poslano z domene, ki se je predstavljala kot Ministrstvo za agrarno politiko in prehrano Ukrajine, medtem ko vsebina govori o pomanjkanju zdravil, PDF pa zlorablja logotip Ministrstva za zdravje Ukrajine. Morda gre za napako napadalcev ali pa vsaj kaže, da jim ni bilo mar za vse podrobnosti.
Poleg ua-minagro[.]com, je bilo v tem valu za pošiljanje e-pošte uporabljenih pet dodatnih domen:
- uaminagro[.]com
- minuaregija[.]org
- minuaregionbecareful[.]com
- uamtu[.]com
- minagroua[.]org
minuaregija[.]org in minuaregionbecareful[.]com se predstavljajo kot ministrstvo za ponovno integracijo začasno zasedenih ozemelj Ukrajine, katerega zakonita spletna stran je https://minre.gov.ua/en/.
uamtu[.]com se maskira kot ministrstvo za razvoj skupnosti, ozemelj in infrastrukture Ukrajine, katerega zakonita spletna stran je https://mtu.gov.ua.
Identificirali smo še tri različne predloge e-poštnih sporočil, od katerih ima vsaka drugačno telo pošte in prilogo PDF. Povzetek je podan v tabeli 1.
Tabela 1. E-poštna sporočila z dezinformacijami
telo sporočila |
Strojno prevajanje telesa elektronske pošte |
Ruski vojaški sistem je uničil objekte energetske infrastrukture. V primeru pojava izredne situacije lahko pride do okvare in elektrike v hiši. Če želite videti v tej situaciji, priporočamo naslednje: |
Ruska vojska sistematično obstreljuje infrastrukturo energetskih objektov. Oskrba z ogrevanjem v nujnih primerih in električna energija v domovih se lahko popolnoma prekineta. Za preživetje v takšni situaciji priporočamo naslednje: |
Цієї зими можуть спостерігати перебої з опаленням. Raven temperature v hišah je lahko nižja od dovoljenega števila na nekaj stopinjah. V nekaterih primerih je možna tudi odpoved odklopa, objekti energetske varnosti pa so pod stalno nevarnostjo. V zvezi s tem, radimo vzeti do pozornosti naslednje priporočili. |
To zimo lahko pride do prekinitev ogrevanja. Raven temperature v hišah je lahko nekaj stopinj pod dovoljenimi vrednostmi. V nekaterih primerih je mogoče celo izklopiti ogrevanje, energetska varnost objektov je nenehno ogrožena. V zvezi s tem vam svetujemo, da upoštevate naslednja priporočila. |
Ministrstvo za zdravstveno varstvo prednjači proti primanjkljaju zdravil v aptekah — dostava nekaterih pripravkov pri povečanem pitju se lahko zadrži. Z začetkom vojne z RF Ukrajina je popolnoma prenehala z zdravili ruskimi in beloruskimi farmacevtskimi podjetji, dohodki prebivalstva pali, in tuje številke, logistika, ki se je spremenila in je postala bolj zapletena in vartisna, znatno podražila. Pri tem, največjem popitom v državljanih Ukrajine se uporabljajo skupine pripravkov za zdravljenje vnetih bolezni, vnetnih, vnetnih in kirurških sredstev. На тлі виниклого дефіциту МОЗ України нагадав громадянам, що не варто нехтувати безцінним досвідом перевірки столітьмі народних методів лікування і випустив відповідні рекомендації. |
Ministrstvo za zdravje opozarja na pomanjkanje zdravil v lekarnah - dostava nekaterih zdravil zaradi povečanega povpraševanja lahko zamuja. Z začetkom vojne z Rusko federacijo je Ukrajina popolnoma zavrnila ruske in beloruske farmacevtske družbe, dohodki prebivalstva so padli, tuja zdravila, katerih logistika se je spremenila, postala kompleksnejša in dražja, so se znatno podražila. Ob tem je največ povpraševanja občanov. Ukrajina uporablja skupine zdravil za zdravljenje kroničnih bolezni, pomirjevala, zdravila proti bolečinam in kirurška sredstva. V ozadju pomanjkanja je ministrstvo za zdravje Ukrajine državljane opozorilo, da ne smete zanemariti neprecenljivih izkušenj preizkušenih stoletij ljudskih metod zdravljenja in izdalo ustrezne priporočene. |
Agresija Rusije se je zgodila do pomembnih vtratov v agrarnem sektorju Ukrajine. Zemlí okuženeí minami, okužení snarádami, okopami і ruhom vojaškої техніки. У великій токсичности знищено сільськогосподарську техніку, знищенно зерносховища. До стабілізації обстановки Ministrstvo agrarne politike та продовольства рекомендує вам урізноманітніти раціон страви з доступних дикорослих трав. Življenje svežih, sokovitih listov trav v obliki solat je najbolj prostim, uporabnim in dostopnim. Zapomnite si, da zbrati rastline sledi daleč od mest і naselja, pa tudi od žvavih tras. Predlagamo vam več uporabnih in prostih pri pripravi receptov. |
Ruska agresija je povzročila znatne izgube v kmetijskem sektorju Ukrajine. Zemljišča so onesnažena z minami, poškodovana zaradi granat, jarkov in premikanja vojaške opreme. Poškodovana in uničena je bila večja količina kmetijske mehanizacije, uničene so kašče. Do stabilizacije razmer Ministrstvo za agrarno politiko in prehrano priporoča, da svojo prehrano popestrite z jedmi iz dostopnih divjih zelišč. Uživanje svežih, sočnih listov zelišč v obliki solate je najbolj preprosto, uporabno in cenovno dostopno. Ne pozabite, da morate rastline nabirati daleč od mest, pa tudi od prometnih cest. Ponujamo vam nekaj uporabnih in enostavnih receptov. |
Povezane priloge PDF so domnevno iz ukrajinskega ministrstva za regije (glej sliko 4) in ministrstva za kmetijstvo (glej sliko 5).
V zadnjem dokumentu, domnevno ministrstva za kmetijstvo, predlagajo uživanje "golobje rižote" in podajajo celo fotografijo živega in kuhanega goloba... To kaže, da so ti dokumenti nastali namenoma, da bi razjezili bralce.
Na splošno se sporočila ujemajo s splošnimi temami ruske propagande. Ukrajince skušajo prepričati, da zaradi rusko-ukrajinske vojne ne bodo imeli drog, hrane in ogrevanja.
Drugi PSYOP val: december 2023
Približno mesec dni po prvem valu smo zaznali drugo e-poštno kampanjo PSYOP, ki ni ciljala le na Ukrajince, ampak tudi na ljudi v drugih evropskih državah. Tarče so nekoliko naključne, od ukrajinske vlade do italijanskega proizvajalca čevljev. Ker so vsa elektronska sporočila napisana v ukrajinščini, je verjetno, da so tuje tarče ukrajinsko govoreči. Glede na telemetrijo ESET je nekaj sto ljudi prejelo e-pošto v tem drugem valu.
V tem valu smo našli dve različni predlogi e-pošte. Prva je bila poslana 25. decembrath in je prikazano na sliki 6. Kar zadeva prvi val, so bila e-poštna sporočila poslana iz e-poštnega strežnika, ki ga upravljajo napadalci, infoattention[.]com v tem primeru.
Strojni prevod telesa elektronske pošte je naslednji:
Dragi Ukrajinci, čestitamo vam za najtoplejši in najbolj družinski praznik - novo leto!
Iskreno vam želimo, da leto 2024 praznujete s svojo družino! Naj vaša družina in prijatelji nikoli ne zbolijo! Pazite drug na drugega! Samo skupaj nam bo uspelo pregnati sataniste iz ZDA in njihove privržence iz prvobitne ruske zemlje! Oživimo Kijevsko Rusijo sovražnikom navkljub! Rešujmo življenja ljudi! Iz Rusije z ljubeznijo!
Vesel praznik, dragi prijatelji!
Druga e-poštna predloga, prikazana na sliki 7, je bila poslana 26. decembrath, 2023 z drugega e-poštnega strežnika: stronginfo1[.]com. Med tem valom sta bila uporabljena dva dodatna e-poštna naslova:
- happyny@infonotifi[.]com
- happyny@infonotification[.]com
Strojni prevod telesa elektronske pošte je naslednji:
Srečno novo leto, bratje Ukrajinci! Na silvestrovo je čas, da se spomnite, kako dobro je imeti dva para nog in rok, a če ste izgubili enega od njiju, potem ne bodite razburjeni - to pomeni, da ruskega vojaka ne boste srečali v jarek. In tukaj, če so vsi vaši udi nedotaknjeni, potem vam ne zavidamo. Priporočamo, da vsaj enega od štirih odrežete ali odžagate sami – nekaj minut bolečine, potem pa srečno življenje!
Srečno novo leto, Ukrajinci! Ne pozabite, da je včasih eden boljši od dveh!
Medtem ko je bila prva e-poštna kampanja PSYOP novembra 2023 precej dobro pripravljena, s posebej ustvarjenimi dokumenti PDF, ki so bili nekoliko prepričljivi, je ta druga kampanja precej bolj osnovna in temnejša v svojih sporočilih. Druga e-poštna predloga je še posebej moteča, saj napadalci predlagajo, da bi ljudje amputirali nogo ali roko, da bi se izognili vojaški napotitvi. Na splošno ima vse značilnosti PSYOP v vojnem času.
Neželena pošta v kanadskih lekarnah: januar 2024
V precej presenetljivem preobratu dogodkov je ena od domen, uporabljenih za pošiljanje e-pošte PSYOP decembra 2023, infoobvestilo[.]com, se je 7. januarja začela uporabljati za pošiljanje neželene e-pošte kanadskih lekarnth, 2024.
Primer je prikazan na sliki 8, povezava pa preusmerja na spletno mesto lažne kanadske lekarne onlinepharmacycenter[.]com. Kampanja z neželeno pošto je bila zmerno velika (vsaj na stotine sporočil) in ljudje v mnogih državah so prejeli takšna e-poštna sporočila.
E-poštna sporočila so bila poslana iz happyny@infonotification[.]com in to je bilo preverjeno v glavah e-poštnih sporočil:
Return-Path: <happyny@infonotification[.]com>
Delivered-To: [redacted]
[redacted]
Received: from infonotification[.]com ([185.12.14[.]13]) by [redacted] with esmtps (TLS1.3:TLS_AES_256_GCM_SHA384:256) [redacted] Sun, 07 Jan 2024 12:39:10 +0000
Lažna neželena kanadska lekarniška pošta je podjetje, ki ga v preteklosti vodijo ruski kiberkriminalci. O njem so v preteklosti izdatno poročali blogerji, kot npr Brian Krebs, zlasti v njegovi knjigi Spam Nation.
Povezave med temi neželenimi kampanjami
Čeprav ne vemo, zakaj so se operaterji kampanj PSYOP odločili ponovno uporabiti enega od svojih strežnikov za pošiljanje lažne neželene pošte iz lekarn, je verjetno, da so ugotovili, da je bila njihova infrastruktura zaznana. Zato so se morda odločili, da bodo poskušali monetizirati že požgano infrastrukturo, bodisi za svoj dobiček bodisi za financiranje prihodnjih vohunskih operacij ali PSYOP. Slika 9 povzema povezave med različnimi domenami in kampanjami.
zaključek
Od začetka vojne v Ukrajini so skupine, povezane z Rusijo, kot je Sandworm, zaposlene z motnjami ukrajinske IT infrastrukture z uporabo brisalcev. V zadnjih mesecih smo opazili porast operacij kibernetskega vohunjenja, zlasti s strani zloglasne skupine Gamaredon.
Operacija Texonto prikazuje še eno uporabo tehnologij za poskus vplivanja na vojno. Našli smo nekaj tipičnih lažnih Microsoftovih strani za prijavo, a kar je najpomembneje, obstajala sta dva vala PSYOP prek e-pošte, da bi verjetno poskušali vplivati in demoralizirati ukrajinske državljane z dezinformacijskimi sporočili o temah, povezanih z vojno.
Obsežen seznam indikatorjev ogroženosti (IoC) in vzorcev lahko najdete v naš GitHub repozitorij.
Za vsa vprašanja o naši raziskavi, objavljeni na WeLiveSecurity, nas kontaktirajte na grožnjaintel@eset.com.
ESET Research ponuja zasebna obveščevalna poročila APT in vire podatkov. Za vsa vprašanja o tej storitvi obiščite ESET Threat Intelligence stran.
IoC
datoteke
SHA-1 |
Ime datoteke |
Ime zaznavanja ESET |
Opis |
3C201B2E40357996B383 |
Minagroua111.pdf |
PDF/prevare.CDY |
PDF uporabljen v informacijski operaciji proti Ukrajini. |
15BF71A771256846D44E |
Mozua.pdf |
PDF/prevare.CDU |
PDF uporabljen v informacijski operaciji proti Ukrajini. |
960341B2C296C425821E |
Minregion.pdf |
PDF/prevare.CDT |
PDF uporabljen v informacijski operaciji proti Ukrajini. |
BB14153040608A4F559F |
Minregion.pdf |
PDF/prevare.CDX |
PDF uporabljen v informacijski operaciji proti Ukrajini. |
mreža
IP |
Domena |
Ponudnik gostovanja |
Prvič viden |
podrobnosti |
N / A |
navalny-glass[.]net |
N / A |
2023-09-09 |
Domena, povezana z Aleksejem Navalnim. |
N / A |
navalny-votesmart[.]net |
N / A |
2023-09-09 |
Domena, povezana z Aleksejem Navalnim. |
N / A |
navalny-voting[.]net |
N / A |
2023-09-09 |
Domena, povezana z Aleksejem Navalnim. |
45.9.148[.]165 |
infoattention[.]com |
Nice IT Services Group Inc. |
2023-12-25 |
Strežnik, ki se uporablja za pošiljanje e-pošte v operaciji Texonto. |
45.9.148[.]207 |
minuaregionbecareful[.]com |
Nice IT Services Group Inc. |
2023-11-23 |
Strežnik, ki se uporablja za pošiljanje e-pošte v operaciji Texonto. |
45.9.150[.]58 |
stronginfo1[.]com |
Nice IT Services Group Inc. |
2023-12-25 |
Strežnik, ki se uporablja za pošiljanje e-pošte v operaciji Texonto. |
45.129.199[.]200 |
minuaregija[.]org |
Hostinger |
2023-11-21 |
Strežnik, ki se uporablja za pošiljanje e-pošte v operaciji Texonto. |
45.129.199[.]222 |
uamtu[.]com |
Hostinger |
2023-11-20 |
Strežnik, ki se uporablja za pošiljanje e-pošte v operaciji Texonto. |
46.249.58[.]177 |
infonotifi[.]com |
serverius-mnt |
2023-12-28 |
Strežnik, ki se uporablja za pošiljanje e-pošte v operaciji Texonto. |
89.116.52[.]79 |
uaminagro[.]com |
IPXO LIMITED |
2023-11-17 |
Strežnik, ki se uporablja za pošiljanje e-pošte v operaciji Texonto. |
154.49.137[.]16 |
choicelive149200[.]com |
Hostinger |
2023-10-26 |
Strežnik za lažno predstavljanje. |
185.12.14[.]13 |
infoobvestilo[.]com |
Serverij |
2023-12-28 |
Strežnik, ki se uporablja za pošiljanje e-pošte v operaciji Texonto. |
193.43.134[.]113 |
login.microsoftidonline[.]com |
Hostinger |
2023-10-03 |
Strežnik za lažno predstavljanje Office 365. |
195.54.160[.]59 |
minagroua[.]org |
BlueVPS |
2023-11-21 |
Strežnik, ki se uporablja za pošiljanje e-pošte v operaciji Texonto. |
E-poštni naslovi
- minregion@uaminagro[.]com
- minregion@minuaregion[.]org
- minregion@minuaregionbecareful[.]com
- minregion@uamtu[.]com
- mozua@ua-minagro[.]com
- mozua@minagroua[.]org
- minagroua@vps-3075.lethost[.]network
- happyny@infoattention[.]com
- happyny@stronginfo1[.]com
- happyny@infonotifi[.]com
- happyny@infonotification[.]com
Tehnike MITER ATT&CK
Ta tabela je bila izdelana z uporabo različica 14 okvira MITER ATT&CK.
Taktika |
ID |
Ime |
Opis |
Razvoj virov |
Pridobite infrastrukturo: Domene |
Operaterji so kupovali imena domen pri Namecheapu. |
|
Pridobite infrastrukturo: strežnik |
Operaterji so najeli strežnike pri Nice IT, Hostinger, Serverius in BlueVPS. |
||
Začetni dostop |
Ribarjenje |
Operaterji so pošiljali elektronsko pošto z dezinformacijsko vsebino. |
|
Lažno predstavljanje: povezava do podvodnega lažnega predstavljanja |
Operaterji so pošiljali e-pošto s povezavo do lažne Microsoftove strani za prijavo. |
||
Izmikanje obrambi |
Maškaranje |
Operaterji so uporabljali domenska imena, podobna uradnim ukrajinskim državnim domenskim imenom. |
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers-context-war/
- :ima
- : je
- :ne
- 07
- 1
- 10
- 11
- 116
- 12
- 13
- 14
- 15%
- 16
- 17
- 179
- 180
- 19
- 20
- 2011
- 2019
- 2022
- 2023
- 2024
- 22
- 321
- 39
- 40
- 43
- 49
- 54
- 7
- 8
- 9
- a
- Sposobna
- O meni
- v tujini
- Po
- Račun
- računi
- Ukrep
- dejavnosti
- Poleg tega
- Dodatne
- Naslov
- naslovi
- svetuje
- cenovno
- po
- proti
- agencija
- Kmetijski
- Kmetijstvo
- naprej
- uskladiti
- poravnano
- vsi
- domnevno
- že
- Prav tako
- znesek
- amp
- an
- Analiza
- analiziranje
- in
- in infrastrukturo
- Še ena
- kaj
- primerno
- odobritev
- APT
- SE
- ARM
- orožjem
- AS
- At
- Napadi
- samodejno
- Na voljo
- izogniti
- ozadje
- Osnovni
- BE
- postal
- ker
- bilo
- Začetek
- počutje
- Belorusija
- Verjemite
- pripadnosti
- spodaj
- Boljše
- med
- telo
- Knjiga
- tako
- Kupil
- zgrajena
- zgorela
- poslovni
- zaseden
- vendar
- by
- Akcija
- Kampanje
- CAN
- Kanadski
- ki
- primeru
- primeri
- Kategorija
- praznujejo
- stoletja
- spremenilo
- kanali
- lastnosti
- Mesta
- Državljani
- Zapri
- Cloud
- zbiranje
- COM
- prihajajo
- Skupno
- skupnosti
- skupnost
- Podjetja
- podjetje
- popolnoma
- kompleksna
- celovito
- Kompromis
- Ravnanje
- zaupanje
- POTRJENO
- stalna
- kontakt
- Vsebuje
- vsebina
- Vsebina
- ozadje
- kuhan
- usklajevanje
- države
- par
- zajeti
- ustvaril
- Mandatno
- Trenutno
- Cut
- rezanje
- kibernetski kriminaliteti
- cybercriminals
- temnejši
- datum
- dragi
- december
- odločil
- Defense
- Zamujena
- dostava
- Povpraševanje
- Oddelek
- uvajanje
- opisano
- zasnovan
- uničeni
- Podrobnosti
- Zaznali
- Odkrivanje
- Razvoj
- DID
- Prehrana
- drugačen
- bolezni
- dezinformacija
- distribucija
- do
- dokument
- Dokumenti
- Ne
- DoJ
- domena
- IMENA DOMEN
- domen
- don
- dont
- dvomim
- Dvomi
- pogon
- drog
- Droge
- 2
- med
- vsak
- jesti
- bodisi
- Volitve
- elektrika
- E-naslov
- e-pošta
- v sili
- Zaposleni
- konec
- energija
- oprema
- zlasti
- vohunjenja
- EU
- Evropski
- Evropskih državah
- eve
- Tudi
- dogodki
- Primer
- ekskluzivno
- drago
- izkušnje
- Pojasnite
- Pojasni
- obširno
- objekti
- ponaredek
- družina
- daleč
- februar
- Federacija
- Nekaj
- Področja
- Slika
- končno
- Ugotovitve
- prva
- pet
- Osredotočite
- po
- hrana
- za
- tuji
- obrazec
- je pokazala,
- štiri
- sveže
- prijatelji
- iz
- Sklad
- Prihodnost
- splošno
- dobili
- GitHub
- dana
- Go
- Cilj
- dobro
- vlada
- Državni uradniki
- Največji
- skupina
- Skupine
- srečna
- Imajo
- Glave
- Zdravje
- zato
- tukaj
- visoka
- na visoki ravni
- njegov
- Zgodovinsko
- počitnice
- Homes
- hiše
- Kako
- Kako
- Vendar
- HTTPS
- sto
- Stotine
- identificirati
- if
- nezakonito
- slika
- uvoz
- kar je pomembno
- in
- V drugi
- vključujejo
- vključuje
- povečal
- kazalniki
- posamezniki
- zloglasni
- vplivajo
- Podatki
- informacijska tehnologija
- Infrastruktura
- Poizvedbe
- primer
- Intelligence
- namenjen
- Zanimivo
- notranji
- v
- neprecenljivo
- inventar
- preiskuje
- vključujejo
- IT
- italijanski
- ITS
- zapor
- John
- januar
- samo
- Justice
- Vedite
- Zemljišč
- velika
- Zadnja
- Pozen
- pozneje
- začela
- Vodja
- Interesenti
- vsaj
- Led
- legitimno
- noge
- Naj
- Stopnja
- Verjeten
- LINK
- povezovanje
- Povezave
- Seznam
- živi
- prijavi
- prijava
- logistika
- logo
- Long
- dolgo časa
- več
- izgube
- izgubil
- stroj
- stroji
- je
- Glavne
- velika
- Znamka
- zlonamerno
- zlonamerna programska oprema
- Proizvajalec
- več
- Maj ..
- pomeni
- Srečati
- Sporočilo
- sporočil
- sporočanje
- Metoda
- Metode
- Microsoft
- Vojaška
- moti
- misli
- mine
- ministrstva
- Minute
- napaka
- zmerno
- monetizirati
- mesec
- mesecev
- več
- Najbolj
- Gibanje
- Namecheap
- Imena
- Narod
- Nimate
- mreža
- nikoli
- Novo
- novo leto
- lepo
- št
- Upoštevajte
- november
- Številka
- oktober
- of
- off
- ponudba
- Ponudbe
- Office
- Uradni
- uradniki
- Staro
- on
- ONE
- tiste
- samo
- upravlja
- Delovanje
- operacije
- operaterji
- opozicija
- or
- Da
- organizacije
- izvirno
- Ostalo
- naši
- sami
- ven
- Outlook
- Splošni
- prekrivajo
- lastne
- Stran
- strani
- bolečina
- parov
- del
- zlasti
- preteklosti
- ljudje
- za
- Obdobje
- Pharma
- Farmacevtska
- lekarne
- Ribarjenje
- phishing kampanje
- fotografija
- Pivoti
- Načrt
- načrtovano
- Rastline
- platon
- Platonova podatkovna inteligenca
- PlatoData
- prosim
- točke
- policija
- politika
- Popular
- prebivalstvo
- mogoče
- mogoče
- preprečiti
- prej
- zasebna
- verjetno
- Izdelki
- Dobiček
- propaganda
- zaščito
- zagotavljajo
- če
- ponudniki
- psihološko
- objavljeno
- precej
- dvigniti
- naključno
- obsegu
- precej
- bralci
- realizirano
- prejeti
- prejetih
- nedavno
- prejemnikov
- Priporočamo
- Priporočila
- priporočeno
- priporoča
- zavrnil
- zavrnitev
- obravnavajo
- pozdrav
- regije
- povezane
- sprosti
- ostanki
- ne pozabite
- odstranitev
- Odstranjeno
- zamenjajte
- Poročila
- obvezna
- Raziskave
- vir
- ponovna
- Reuters
- Razkrito
- Oživiti
- Ceste
- Run
- Rusija
- Vojna Rusije in Ukrajine
- russian
- Ruska federacija
- s
- Enako
- Vzorec
- Shrani
- pravi
- načrtovano
- drugi
- sektor
- varnost
- glej
- zdi se
- videl
- pošljite
- pošiljanja
- poslan
- strežnik
- Strežniki
- Storitev
- Storitve
- več
- pomanjkanje
- pomanjkanja
- shouldnt
- pokazale
- Razstave
- pomemben
- bistveno
- Podoben
- podobnosti
- Enostavno
- saj
- iskreno
- spletna stran
- Razmere
- nekaj
- Včasih
- nekoliko
- sejati
- spam
- zvočniki
- posebej
- specifična
- posebej
- Zloben
- namaz
- Začetek
- začel
- Status
- čudno
- tujec
- predmet
- Stališča
- predložen
- taka
- predlagajte
- POVZETEK
- ne
- dobavi
- podpora
- Navijačem
- kirurški
- presenetljivo
- Presenetljivo
- preživetje
- miza
- Bodite
- Rezervoarji
- ciljno
- ciljanje
- Cilji
- tehnični
- Tehnologije
- Tehnologija
- Telegram
- Predloga
- predloge
- ozemelj
- Testiran
- kot
- Hvala
- da
- O
- Prihodnost
- informacije
- njihove
- Njih
- teme
- POTEM
- Tukaj.
- te
- jih
- mislim
- ta
- tisti,
- čeprav?
- Grožnja
- grožnje
- 3
- čas
- časovnica
- do
- skupaj
- Teme
- mestih
- prevod
- Zdravljenje
- poskusite
- poskuša
- OBRAT
- Twist
- dva
- tipičen
- Uk
- Ukrajina
- Ukrajinski
- Ukrajinci
- pod
- na žalost
- dokler
- neuporabljeno
- URL
- us
- DOJ ZDA
- ZDA
- uporaba
- Rabljeni
- koristno
- uporablja
- uporabo
- Vrednote
- preverjeno
- različica
- zelo
- preko
- obisk
- želeli
- vojna
- Vojna v Ukrajini
- Opozori
- je
- Wave
- valovi
- we
- web
- Spletna stran
- spletne strani
- Weeks
- Dobro
- dobro znana
- so bili
- ki
- medtem
- WHO
- katerih
- zakaj
- širina
- Wild
- bo
- Winter
- z
- v
- Zmagali
- deluje
- pisni
- leto
- let
- še
- Vi
- Vaša rutina za
- sami
- zefirnet