ESET ürünleri ve araştırmaları Ukrayna BT altyapısını yıllardır koruyor. Savaşın başladığı Şubat 2022'den bu yana, Rusya yanlısı grupların gerçekleştirdiği önemli sayıda saldırıyı önledik ve araştırdık. WeLiveSecurity'deki en ilginç bulgulardan bazılarını da yayınladık:
Ana odak noktamız kötü amaçlı yazılım içeren tehditleri analiz etmeye devam etse de, kendimizi yurtdışındaki Ukraynalıların ve Ukraynaca konuşanların zihinlerinde şüphe uyandırmaya çalışan bir bilgi operasyonunu veya psikolojik operasyonu (PSYOP) araştırırken bulduk.
Texonto Operasyonu
Texonto Operasyonu, ana dağıtım yöntemi olarak spam postaları kullanan bir dezenformasyon/PSYOP kampanyasıdır. Şaşırtıcı bir şekilde, faillerin mesajlarını iletmek için Telegram gibi ortak kanalları veya sahte web sitelerini kullanmadıkları görülüyor. İlki Kasım 2023'te, ikincisi ise Aralık 2023'ün sonunda olmak üzere iki farklı dalga tespit ettik. E-postaların içeriği, Rus propagandasının tipik temaları olan ısınma kesintileri, ilaç kıtlığı ve yiyecek kıtlığıyla ilgiliydi.
Dezenformasyon kampanyasına ek olarak, Ekim 2023'te Ukraynalı bir savunma şirketini ve Kasım 2023'te bir AB kurumunu hedef alan bir hedef odaklı kimlik avı kampanyası tespit ettik. Her ikisinin de amacı, Microsoft Office 365 hesaplarının kimlik bilgilerini çalmaktı. Bu PSYOP'larda ve kimlik avı operasyonlarında kullanılan ağ altyapısındaki benzerlikler sayesinde bunları yüksek güvenle birbirine bağlıyoruz.
İlginç bir şekilde, birkaç pivot daha Texonto Operasyonunun bir parçası olan ve hapiste olan ünlü Rus muhalefet lideri Alexei Navalny gibi Rusya'nın iç meseleleriyle ilgili alan adlarını da ortaya çıkardı. öldü Şubat 16 tarihindeth, 2024. Bu, Texonto Operasyonunun muhtemelen Rus muhalifleri ve merhum muhalefet liderinin destekçilerini hedef alan hedef odaklı kimlik avı veya bilgi operasyonlarını içerdiği anlamına geliyor. Bu alanlar şunları içerir:
- donanma oyları[.]net
- donanma-oylarıakıllı[.]net
- donanma oylama[.]net
Belki de daha tuhafı, saldırganlar tarafından işletilen ve PSYOP e-postaları göndermek için kullanılan bir e-posta sunucusunun, iki hafta sonra tipik Kanada eczane spam'lerini göndermek için yeniden kullanılmasıdır. Bu yasa dışı iş kategorisi uzun süredir Rus siber suç camiasında çok popüler. Blog yazısı 2011'den itibaren açıklıyor.
Şekil 1, Texonto Operasyonu'nun ana olaylarını özetlemektedir.
Casusluğun, bilgi operasyonlarının ve sahte ilaçların tuhaf karışımı bize yalnızca şunu hatırlatabilir: CallistoRusya bağlantılı tanınmış bir siber casusluk grubu iddianame Aralık 2023'te ABD Adalet Bakanlığı tarafından. Callisto, yaygın bulut sağlayıcılarını taklit etmek üzere tasarlanmış hedef odaklı kimlik avı web siteleri aracılığıyla hükümet yetkililerini, düşünce kuruluşlarındaki kişileri ve orduyla ilgili kuruluşları hedef alıyor. Grup aynı zamanda dezenformasyon operasyonları da yürütüyor. belge sızıntısı 2019 Birleşik Krallık genel seçimlerinin hemen öncesinde. Son olarak, eski ağ altyapısını kullanmak, aşağıdaki gibi sahte ilaç alan adlarına yol açmaktadır: kas eczanesi[.]top or ukrpharma[.]ovh.
Texonto Operasyonu ile Callisto operasyonları arasında birçok üst düzey benzerlik olsa da herhangi bir teknik örtüşme bulamadık ve şu anda Texonto Operasyonunu belirli bir tehdit aktörüne atfetmiyoruz. Ancak TTP'ler, hedefleme ve mesajların yayılması göz önüne alındığında, operasyonu büyük bir güvenle Rusya yanlısı bir gruba bağlıyoruz.
Kimlik avı kampanyası: Ekim – Kasım 2023
Ukrayna'nın büyük bir savunma şirketinde çalışan çalışanlar, Ekim 2023'te BT departmanlarından geldiği iddia edilen bir kimlik avı e-postası aldı. E-postalar şuradan gönderildi: o.[redacted_company_name]@gmail.com, büyük olasılıkla bu kampanya için özel olarak oluşturulmuş bir e-posta adresi ve e-posta konusu: Запрошено утверждение:Планова інвентаризація (Ukraynaca'dan makine çevirisi: Onay istendi: Planlanan envanter).
E-postanın içeriği şu şekilde:
У період з 02 жовтня по 13 жовтня співробітники відділу інформаційних технологій проводять планову інвентаризацію т а видалення поштових скриньок, що не використовуються. Якщо Ви плануєте використовувати свою поштову адресу ([redacted_address]@[redacted_company_name].com) у майбутньому, будь ласка, перейдіть на в еб-версію поштової скриньки за цим посиланням та увійдіть до системи, використовуючи свої облікові дані.
Жодних додаткових дій не потрібно, Ваша поштова скринька отримає статус “підтверджений” ve не буде видалена під час планової інвентаризації ресурсів. Якщо ця поштова адреса не використовується Вами (або її використання не планується в майбутньому), то в цьому випад ку Вам не потрибно виконувати жодних дій – поштову скриньку буде видалено автоматично 13 Şubat 2023 року.
Evet,
Відділ інформаційних технологій.
E-postanın makine çevirisi şöyledir:
2 Ekim'den 13 Ekim'e kadar olan dönemde, bilgi teknolojisi departmanı çalışanları planlı bir envanter yapacak ve kullanılmayan posta kutularını kaldıracak. Gelecekte e-posta adresinizi ([redacted_address]@[redacted_company_name].com) kullanmayı planlıyorsanız, lütfen bu bağlantıdan posta kutusunun web sürümüne gidin ve kimlik bilgilerinizi kullanarak giriş yapın.
Hiçbir ek eyleme gerek yoktur; posta kutunuz "onaylandı" durumunu alacak ve planlanmış kaynak envanteri sırasında kaldırılmayacaktır. Bu e-posta adresini kullanmıyorsanız (veya gelecekte kullanılması planlanmıyorsa), bu durumda herhangi bir işlem yapmanıza gerek yoktur; posta kutusu 13 Ekim 2023'te otomatik olarak silinecektir.
Saygılarımla,
Bilgi teknolojileri bölümü.
E-postanın amacı, hedefleri за цим посиланням (makine çevirisi: bu bağlantıda) seçeneğine tıklamaya ikna etmektir; https://login.microsoftidonline[.]com/common/oauth2/authorize?client_id=[redacted];redirect_uri=https%3a%2f%2foutlook.office365.com%2fowa%2f&resource=[redacted]&response_mode=form_post&response_type=code+id_token&scope=openid&msafed=1&msaredir=1&client-request-id=[redacted]&protectedtoken=true&claims=%7b%22id_token%22%3a%7b%22xms_cc%22%3a%7b%22values%22%3a%5b%22CP1%22%5d%7d%7d%7d&domain_hint=[redacted]&nonce=[redacted]&state=[redacted] (kısmen düzeltildi). Bu URL kötü amaçlı etki alanına işaret ediyor oturum açma.microsoftidçevrimiçi[.]com. Bu alan adının resmi alana çok yakın olduğunu unutmayın. login.microsoftonline.com.
Kimlik avı sayfasını alamadık, ancak bu büyük olasılıkla hedeflerin kimlik bilgilerini çalmayı amaçlayan sahte bir Microsoft oturum açma sayfasıydı.
Texonto Operasyonuna ait başka bir alan adı için, seçimlive149200[.]comiki VirusTotal gönderimi vardı (bir ve iki) URL için https://choicelive149200[.]com/owa/auth/logon.aspx?replaceCurrent=1&url=https://hbd.eupolcopps.eu/owa/. Ne yazık ki, analiz sırasında siteye artık ulaşılamıyordu, ancak muhtemelen web üzerinde Outlook/OWA web postası için bir kimlik avı sayfasıydı. eupolcopps.eu, Filistin Polis Desteğine ilişkin AB Koordinasyon Ofisi. E-posta örneğini görmediğimizi, yalnızca VirusTotal'a gönderilen URL'yi gördüğümüzü unutmayın.
İlk PSYOP dalgası: Kasım 2023
Kasım ayında 20th, Ukrayna'da en az birkaç yüz alıcıya PDF eki içeren dezenformasyon e-postalarının ilk dalgasını tespit ettik. E-postaları Ukrayna hükümetinde çalışan kişiler, enerji şirketleri ve hatta bireyler aldı. E-posta adresleri listesinin nasıl oluşturulduğunu bilmiyoruz.
Daha önce açıklanan kimlik avı kampanyasının aksine, bu e-postaların amacı Ukraynalıların zihnine şüphe tohumları ekmekti; örneğin bir e-postada “Bu kış ısınmada kesintiler yaşanabilir” yazıyor. Bu özel dalgada herhangi bir kötü amaçlı bağlantı veya kötü amaçlı yazılım yok gibi görünüyor, yalnızca dezenformasyon var.
Şekil 2'de bir e-posta örneği gösterilmektedir. Konusu Рекомендації моз україни на тлі дефіциту ліків (Ukraynaca'dan makine çevirisi: İlaç kıtlığı zamanında Ukrayna Sağlık Bakanlığı'nın tavsiyeleri) ve e-posta şu adresten gönderildi: mozua@ua-minagro[.]com. Bu adresin şu adreste görülebileceğini unutmayın: zarf-dan ve dönüş yolu alanları.
ua-minagro[.]com saldırganlar tarafından işletilen bir alan adıdır ve bu kampanyada yalnızca dezenformasyon e-postaları göndermek için kullanılmıştır. Alan adı, meşru alanı olan Ukrayna Tarım Politikası ve Gıda Bakanlığı gibi görünüyor minagro.gov.ua.
E-postanın ekinde, Şekil 3'te gösterildiği gibi bir PDF belgesi bulunmaktadır. Kendi başına kötü amaçlı olmasa da, dezenformasyon mesajları da içermektedir.
Belgede Ukrayna Sağlık Bakanlığı logosunun kötüye kullanıldığı ve savaş nedeniyle Ukrayna'da ilaç sıkıntısı yaşandığının anlatıldığı belirtiliyor. Ayrıca Ukrayna hükümetinin Rusya ve Belarus'tan ilaç ithal etmeyi reddettiği de belirtiliyor. İkinci sayfada bazı ilaçların bitkilerle nasıl değiştirilebileceğini anlatıyorlar.
İlginç olan, e-postanın Ukrayna Tarım Politikası ve Gıda Bakanlığı gibi görünen bir alan adından gönderilmiş olması, içeriğin ilaç kıtlığıyla ilgili olması ve PDF'nin Ukrayna Sağlık Bakanlığı logosunu kötüye kullanmasıdır. Bu muhtemelen saldırganların bir hatasıdır veya en azından tüm ayrıntıları umursamadıklarını gösterir.
Ek olarak ua-minagro[.]com, bu dalgada e-posta göndermek için beş ek alan kullanıldı:
- uaminagro[.]com
- küçük bölge[.]org
- minuaregionbecareful[.]com
- uamtu[.]com
- minagroua[.]org
küçük bölge[.]org ve minuaregionbecareful[.]com meşru web sitesi olan Ukrayna'nın Geçici İşgal Altındaki Topraklarının Yeniden Entegrasyonu Bakanlığı kılığına giriyorlar https://minre.gov.ua/en/.
uamtu[.]com meşru web sitesi olan Ukrayna Topluluklar, Bölgeler ve Altyapı Kalkınma Bakanlığı kılığına giriyor https://mtu.gov.ua.
Her biri farklı bir posta gövdesine ve PDF ekine sahip üç farklı e-posta mesajı şablonu daha belirledik. Tablo 1'de bir özet verilmiştir.
Tablo 1. Dezenformasyon e-postaları
E-posta gövdesi |
E-posta gövdesinin makine çevirisi |
Російськими військовими системно обстрілюються об'єкти енергетичної інфраструктури. У разі виникнення екстреної ситуації подача опалення та будинки виникнення екстреної повністю припинена. Bu sitede şunları söyleyebilirim, en yakın zamanda: |
Rus ordusu sistematik olarak enerji tesislerinin altyapısını bombalıyor. Acil durumlarda ısınma ve evlerin elektriği tamamen kesilebilir. Böyle bir durumda hayatta kalabilmek için aşağıdakileri öneriyoruz: |
Bu, daha iyi bir performans için en iyi seçimdir. Evinizin sıcaklığı, evinizin sıcaklığına göre ayarlanamaz. У деяких випадках можливо навіть відключення опалення, об'єкти енергетичної безпеки знаходяться під постійно ю загрозою. Bu nedenle, en iyi değerlendirmeyi yapmak için zaman ayırın. |
Bu kış ısıtmada kesintiler yaşanabilir. Evlerdeki sıcaklık seviyesi izin verilen değerlerin birkaç derece altında olabilir. Bazı durumlarda ısıtmanın kapatılması bile mümkün olduğundan tesislerin enerji güvenliği sürekli tehdit altındadır. Bu bağlamda aşağıdaki önerileri dikkate almanızı öneririz. |
Міністерство охорони здоров'я попереджає про дефіцит ліків в аптеках — доставка деяких препаратів на тлі підвищеного попиту може затримуватися. З початком війни з РФ Україна повністю відмовилася від лікарських засобів російських ve білоруських фармацевти чних компаній, доходи населення впали, а іноземні ліки, логістика яких змінилася і стала більш складною і вартісною, çok iyi. При цьому, найбільшим попитом у громадян України користуються групи препаратів для лікування хронічних захворюва нь, заспокійливі, знеболюючі та хірургічні засоби. На виниклого дефіциту МОЗ України нагадав громадянам, що не варто нехтувати безцінним досвідом еревірених En iyi yöntem, en iyi şekilde geri bildirimde bulunmaktır. |
Sağlık Bakanlığı eczanelerde ilaç sıkıntısı konusunda uyarıyor; artan talep nedeniyle bazı ilaçların teslimatı gecikebilir. Rusya Federasyonu ile savaşın başlamasıyla birlikte Ukrayna, Rus ve Belarus ilaç ilaç şirketlerini tamamen terk etti, nüfusun geliri düştü ve lojistiği değişen, daha karmaşık ve pahalı hale gelen yabancı ilaçlar önemli ölçüde daha pahalı hale geldi. Aynı zamanda en büyük talep vatandaşlardan geliyor. Ukrayna'da kronik hastalıkların tedavisi için ilaç grupları, sakinleştiriciler, ağrı kesiciler ve cerrahi yöntemler kullanılıyor. Kıtlığın arka planına karşı, Ukrayna Sağlık Bakanlığı vatandaşlara yüzyıllarca test edilmiş halk tedavi yöntemlerinin paha biçilmez deneyimini ihmal etmemeleri gerektiğini hatırlattı ve önerilen uygun olanları yayınladı. |
Агресія Росії, аграрному сектори України'de значних втрат призвела. Землі забруднені мінами, пошкоджені снарядами, окопами ve рухом військової техніки. У великій кількості пошкоджено та знищено сільськогосподарську техніку, знищено зерносховища. До стабілізації обстановки Міністерство аграрної политики та продовольства рекомендує вам урізноманітнити раціон стра. bu, bir nakliye aracıdır. Вживання свіжих, соковитих листя трав у вигляді салатів є найбільш простим, корисним і доступним. Neyse ki, bu durumda havanın iyi durumda olması, seyahat sırasında da iyi bir sonuç alınmasını sağlar. Bu, sizin için uygun olan bir kredi türüdür. |
Rusya'nın saldırganlığı Ukrayna'nın tarım sektöründe önemli kayıplara yol açtı. Topraklar mayınlarla kirleniyor, top mermileri, hendekler ve askeri teçhizatın hareketi nedeniyle hasar görüyor. Çok sayıda tarım makinesi hasar gördü ve tahrip edildi, tahıl ambarları da tahrip edildi. Durum istikrara kavuşuncaya kadar Tarım Politikası ve Gıda Bakanlığı, diyetinizi mevcut yabani bitkilerden yapılan yemeklerle çeşitlendirmenizi tavsiye ediyor. Taze, sulu bitki yapraklarını salata şeklinde yemek en basit, kullanışlı ve uygun fiyatlıdır. Bitkileri şehirlerden, kasabalardan ve işlek yollardan uzakta toplamanız gerektiğini unutmayın. Size birkaç faydalı ve hazırlaması kolay tarif sunuyoruz. |
İlgili PDF eklerinin Ukrayna Bölgeler Bakanlığı (bkz. Şekil 4) ve Tarım Bakanlığı'na (bkz. Şekil 5) ait olduğu iddia ediliyor.
Tarım Bakanlığı'ndan geldiği iddia edilen son belgede ise “güvercinli risotto” yenmesi öneriliyor, hatta canlı güvercin ve pişmiş güvercin fotoğrafı bile veriliyor… Bu da söz konusu belgelerin okuyucuyu sinirlendirmek amacıyla özel olarak hazırlandığını gösteriyor.
Genel olarak mesajlar yaygın Rus propaganda temalarıyla uyumludur. Ukrayna halkını, Rusya-Ukrayna savaşı nedeniyle uyuşturucu, yiyecek ve ısınmaya sahip olamayacaklarına inandırmaya çalışıyorlar.
İkinci PSYOP dalgası: Aralık 2023
İlk dalgadan yaklaşık bir ay sonra, yalnızca Ukraynalıları değil, diğer Avrupa ülkelerindeki insanları da hedef alan ikinci bir PSYOP e-posta kampanyası tespit ettik. Hedefler, Ukrayna hükümetinden İtalyan ayakkabı üreticisine kadar biraz rastgele. Tüm e-postalar Ukraynaca yazıldığı için yabancı hedeflerin Ukraynaca konuşan kişiler olması muhtemeldir. ESET telemetrisine göre bu ikinci dalgada birkaç yüz kişi e-posta aldı.
Bu dalgada iki farklı e-posta şablonu bulduk. İlki 25 Aralık'ta gönderildith Şekil 6'da gösterilmektedir. İlk dalgada e-posta mesajları saldırganlar tarafından işletilen bir e-posta sunucusundan gönderilmekteydi. bilgi dikkat[.]com bu durumda.
E-posta gövdesinin makine çevirisi aşağıdaki gibidir:
Sevgili Ukraynalılar, sizi en sıcak ve en aile tatili olan Yeni Yıl için tebrik ediyoruz!
2024'ü ailenizle birlikte kutlamanızı canı gönülden istiyoruz! Aileniz ve arkadaşlarınız asla hastalanmasın! Birbirinize dikkat edin! Satanistleri ABD'den ve onların yandaşlarını orijinal Rus topraklarından ancak birlikte kovabiliriz! Düşmanlarımıza rağmen Kiev Rus'u yeniden canlandıralım! İnsanların hayatlarını kurtaralım! Rusya'dan sevgilerle!
Mutlu tatiller sevgili dostlar!
Şekil 7'de gösterilen ikinci e-posta şablonu 26 Aralık'ta gönderildith, 2023 farklı bir e-posta sunucusundan: Stronginfo1[.]com. Bu dalga sırasında iki e-posta adresi daha kullanıldı:
- happyny@infonotifi[.]com
- happyny@infonotification[.]com
E-posta gövdesinin makine çevirisi aşağıdaki gibidir:
Yeni Yılınız Kutlu Olsun Ukraynalı kardeşler! Yılbaşı gecesi, iki çift bacak ve kola sahip olmanın ne kadar güzel bir şey olduğunu hatırlamanın zamanı geldi, ancak bunlardan birini kaybettiyseniz üzülmeyin; bu, Rusya'da bir Rus askeriyle karşılaşmayacağınız anlamına gelir. bir hendek. Ve burada eğer tüm uzuvlarınız sağlamsa, o zaman sizi kıskanmıyoruz. Dört parçadan en az birini kendiniz kesmenizi veya kesmenizi öneririz; birkaç dakikalık acı, ama sonra mutlu bir yaşam!
Yeni Yılınız Kutlu Olsun Ukraynalılar! Bazen birin ikiden daha iyi olduğunu unutmayın!
Kasım 2023'teki ilk PSYOP e-posta kampanyası oldukça iyi hazırlanmış, özel olarak oluşturulmuş PDF belgeleri biraz ikna edici olsa da, bu ikinci kampanyanın mesajı oldukça basit ve daha karanlık. İkinci e-posta şablonu özellikle rahatsız edici; saldırganlar, insanların askeri konuşlanmayı önlemek için bacaklarını veya kollarını kesmelerini öneriyor. Genel olarak savaş zamanlarındaki PSYOP'ların tüm özelliklerini taşıyor.
Kanada eczane spam'i: Ocak 2024
Oldukça şaşırtıcı bir şekilde, Aralık 2023'te PSYOP e-postalarını göndermek için kullanılan alanlardan biri, bilgi bildirimi[.]com, 7 Ocak'ta Kanada eczanelerine spam göndermek için kullanılmaya başlandıth, 2024.
Şekil 8'de bir örnek verilmiştir ve bağlantı, sahte Kanada eczanesi web sitesine yönlendirmektedir. çevrimiçieczacılıkmerkezi[.]com. Spam kampanyası orta derecede büyüktü (en azından yüzlerce mesaj) ve birçok ülkedeki insanlar bu tür e-postalar aldı.
E-postalar şuradan gönderildi: happyny@infonotification[.]com ve bu e-posta başlıklarında doğrulandı:
Return-Path: <happyny@infonotification[.]com>
Delivered-To: [redacted]
[redacted]
Received: from infonotification[.]com ([185.12.14[.]13]) by [redacted] with esmtps (TLS1.3:TLS_AES_256_GCM_SHA384:256) [redacted] Sun, 07 Jan 2024 12:39:10 +0000
Sahte Kanada eczane spam'i, geçmişte Rus siber suçlular tarafından yürütülen bir iştir. Geçmişte blog yazarları tarafından kapsamlı bir şekilde ele alınmıştı. Brian Krebs, özellikle Spam Nation kitabında.
Bu spam kampanyaları arasındaki bağlantılar
PSYOP kampanyalarının operatörlerinin sahte eczane spam'i göndermek için sunucularından birini neden yeniden kullanmaya karar verdiklerini bilmesek de, altyapılarının tespit edildiğini fark etmiş olmaları muhtemeldir. Bu nedenle, zaten yanmış olan altyapıyı ya kendi çıkarları için ya da gelecekteki casusluk operasyonlarını veya PSYOP'ları finanse etmek için para kazanmaya karar vermiş olabilirler. Şekil 9, farklı alanlar ve kampanyalar arasındaki bağlantıları özetlemektedir.
Sonuç
Ukrayna'daki savaşın başlangıcından bu yana, Sandworm gibi Rusya'ya bağlı gruplar, silecekler kullanarak Ukrayna'nın BT altyapısını bozmakla meşguldü. Son aylarda, özellikle kötü şöhretli Gamaredon grubu tarafından yürütülen siber casusluk operasyonlarında bir artış gözlemledik.
Texonto Operasyonu, savaşı etkilemeye yönelik teknolojilerin bir başka kullanımını daha gösteriyor. Birkaç tipik sahte Microsoft oturum açma sayfası bulduk, ancak en önemlisi, muhtemelen Ukrayna vatandaşlarını savaşla ilgili konular hakkında dezenformasyon mesajlarıyla etkilemeye ve morallerini bozmaya çalışan e-postalar yoluyla iki PSYOP dalgası vardı.
Kapsamlı bir Uzlaşma Göstergeleri (IoC'ler) listesi ve örnekleri şurada bulunabilir: GitHub depomuz.
WeLiveSecurity'de yayınlanan araştırmamızla ilgili herhangi bir sorunuz için lütfen şu adresten bizimle iletişime geçin: tehditintel@eset.com.
ESET Research, özel APT istihbarat raporları ve veri akışları sunar. Bu hizmetle ilgili tüm sorularınız için şu adresi ziyaret edin: ESET Tehdit İstihbaratı gidin.
IOCs
dosyalar
SHA-1 |
Dosya adı |
ESET algılama adı |
Açıklama |
3C201B2E40357996B383 |
Minagroua111.pdf |
PDF/Sahtekarlık.CDY |
Ukrayna'ya yönelik bir bilgi operasyonunda kullanılan PDF. |
15BF71A771256846D44E |
Mozua.pdf |
PDF/Sahtekarlık.CDU |
Ukrayna'ya yönelik bir bilgi operasyonunda kullanılan PDF. |
960341B2C296C425821E |
Minregion.pdf |
PDF/Sahtekarlık.CDT |
Ukrayna'ya yönelik bir bilgi operasyonunda kullanılan PDF. |
BB14153040608A4F559F |
Minregion.pdf |
PDF/Sahtekarlık.CDX |
Ukrayna'ya yönelik bir bilgi operasyonunda kullanılan PDF. |
ağ
IP |
domain |
Hosting sağlayıcısı |
İlk görüş |
- Detaylar |
N / A |
donanma oyları[.]net |
N / A |
2023-09-09 |
Alexei Navalny ile ilgili alan adı. |
N / A |
donanma-oylarıakıllı[.]net |
N / A |
2023-09-09 |
Alexei Navalny ile ilgili alan adı. |
N / A |
donanma oylama[.]net |
N / A |
2023-09-09 |
Alexei Navalny ile ilgili alan adı. |
45.9.148[.]165 |
bilgi dikkat[.]com |
Nice BT Hizmetleri Grubu A.Ş. |
2023-12-25 |
Sunucu, Texonto Operasyonunda e-posta göndermek için kullanılır. |
45.9.148[.]207 |
minuaregionbecareful[.]com |
Nice BT Hizmetleri Grubu A.Ş. |
2023-11-23 |
Sunucu, Texonto Operasyonunda e-posta göndermek için kullanılır. |
45.9.150[.]58 |
Stronginfo1[.]com |
Nice BT Hizmetleri Grubu A.Ş. |
2023-12-25 |
Sunucu, Texonto Operasyonunda e-posta göndermek için kullanılır. |
45.129.199[.]200 |
küçük bölge[.]org |
Hostinger |
2023-11-21 |
Sunucu, Texonto Operasyonunda e-posta göndermek için kullanılır. |
45.129.199[.]222 |
uamtu[.]com |
Hostinger |
2023-11-20 |
Sunucu, Texonto Operasyonunda e-posta göndermek için kullanılır. |
46.249.58[.]177 |
infonotifi[.]com |
sunucu-mnt |
2023-12-28 |
Sunucu, Texonto Operasyonunda e-posta göndermek için kullanılır. |
89.116.52[.]79 |
uaminagro[.]com |
IPXO SINIRLI |
2023-11-17 |
Sunucu, Texonto Operasyonunda e-posta göndermek için kullanılır. |
154.49.137[.]16 |
seçimlive149200[.]com |
Hostinger |
2023-10-26 |
Kimlik avı sunucusu. |
185.12.14[.]13 |
bilgi bildirimi[.]com |
Sunucu |
2023-12-28 |
Sunucu, Texonto Operasyonunda e-posta göndermek için kullanılır. |
193.43.134[.]113 |
giriş.microsoftidonline[.]com |
Hostinger |
2023-10-03 |
Office 365 kimlik avı sunucusu. |
195.54.160[.]59 |
minagroua[.]org |
BlueVPS |
2023-11-21 |
Sunucu, Texonto Operasyonunda e-posta göndermek için kullanılır. |
E-mail adresleri
- minregion@uaminagro[.]com
- minregion@minuaregion[.]org
- minregion@minuaregionbecareful[.]com
- minregion@uamtu[.]com
- mozua@ua-minagro[.]com
- mozua@minagroua[.]org
- minagroua@vps-3075.lethost[.]ağı
- happyny@infoattention[.]com
- happyny@stronginfo1[.]com
- happyny@infonotifi[.]com
- happyny@infonotification[.]com
MITRE ATT&CK teknikleri
Bu tablo kullanılarak yapılmıştır sürümü 14 MITRE ATT&CK çerçevesinin.
taktik |
ID |
Name |
Açıklama |
Kaynak geliştirme |
Altyapı Edinme: Etki Alanları |
Operatörler alan adlarını Namecheap'ten satın aldı. |
|
Altyapı Edinme: Sunucu |
Operatörler Nice IT, Hostinger, Serverius ve BlueVPS'de sunucu kiraladı. |
||
İlk Erişim |
Phishing |
Operatörler dezenformasyon içerikli e-postalar gönderdi. |
|
Kimlik Avı: Hedefli Kimlik Avı Bağlantısı |
Operatörler sahte bir Microsoft giriş sayfasına bağlantı içeren e-postalar gönderdi. |
||
Savunmadan Kaçınma |
Maskeleme |
Operatörler, Ukrayna hükümetinin resmi alan adlarına benzer alan adları kullandı. |
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.welivesecurity.com/en/eset-research/operation-texonto-information-operation-targeting-ukrainian-speakers-context-war/
- :vardır
- :dır-dir
- :olumsuzluk
- 07
- 1
- 10
- 11
- 116
- 12
- 13
- 14
- İNDİRİM
- 16
- 17
- 179
- 180
- 19
- 20
- 2011
- 2019
- 2022
- 2023
- 2024
- 22
- 321
- 39
- 40
- 43
- 49
- 54
- 7
- 8
- 9
- a
- Yapabilmek
- Hakkımızda
- yurt dışı
- Göre
- Hesap
- Hesaplar
- Action
- eylemler
- ilave
- Ek
- adres
- adresleri
- öğüt vermek
- uygun
- Sonra
- karşı
- ajans
- tarım
- tarım
- önde
- hizalamak
- hizalı
- Türkiye
- iddiaya göre
- zaten
- Ayrıca
- miktar
- amp
- an
- analiz
- analiz
- ve
- ve altyapı
- Başka
- herhangi
- uygun
- onay
- APT
- ARE
- ARM
- silah
- AS
- At
- saldırılar
- otomatik olarak
- mevcut
- önlemek
- arka fon
- temel
- BE
- oldu
- Çünkü
- olmuştur
- Başlangıç
- olmak
- Belarus
- Inanmak
- ait
- altında
- Daha iyi
- arasında
- vücut
- kitap
- her ikisi de
- aldım
- yapılı
- kavrulmuş
- iş
- meşgul
- fakat
- by
- Kampanya
- Kampanyalar
- CAN
- Kanadalı
- hangi
- dava
- durumlarda
- Kategoriler
- kutlamak
- Yüzyıllar
- değişmiş
- kanallar
- özellikleri
- Şehirler
- Vatandaşlar
- Kapanış
- bulut
- toplamak
- COM
- gelecek
- ortak
- topluluklar
- topluluk
- Şirketler
- şirket
- tamamen
- karmaşık
- kapsamlı
- uzlaşma
- Davranış
- güven
- ONAYLANDI
- sabit
- UAF ile
- içeren
- içerik
- içindekiler
- bağlam
- pişmiş
- koordine
- ülkeler
- Çift
- kaplı
- çevrimiçi kurslar düzenliyorlar.
- Tanıtım
- Şu anda
- kesim
- kesim
- Siber suç
- siber suçluların
- koyu
- veri
- sevgili
- Aralık
- karar
- Savunma
- Gecikmeli
- teslim
- Talep
- bölüm
- açılma
- tarif edilen
- tasarlanmış
- yok
- ayrıntılar
- algılandı
- Bulma
- gelişme
- DID
- Diyet
- farklı
- hastalıklar
- yanlış bilgi verme
- dağıtım
- do
- belge
- evraklar
- Değil
- DoJ
- domain
- ALAN İSİMLERİ
- etki
- don
- Dont
- şüphe
- şüphe
- sürücü
- ilaç
- İlaçlar
- gereken
- sırasında
- her
- yemek
- ya
- Seçim
- elektrik
- E-posta
- e-postalar
- acil durum
- çalışanların
- son
- enerji
- ekipman
- özellikle
- casusluk
- EU
- Avrupa
- Avrupa ülkeleri
- arife
- Hatta
- olaylar
- örnek
- sadece
- pahalı
- deneyim
- Açıklamak
- açıklar
- yaygın olarak
- tesisler
- sahte
- aile
- uzak
- Şubat
- federasyon
- az
- Alanlar
- şekil
- Nihayet
- bulgular
- Ad
- beş
- odak
- takip etme
- Gıda
- İçin
- yabancı
- Airdrop Formu
- bulundu
- dört
- taze
- arkadaşlar
- itibaren
- fon
- gelecek
- genel
- almak
- GitHub
- verilmiş
- Go
- gol
- Tercih Etmenizin
- Hükümet
- Hükümet yetkilileri
- En büyük
- grup
- Grubun
- mutlu
- Var
- başlıkları
- Sağlık
- bundan dolayı
- okuyun
- Yüksek
- üst düzey
- onun
- tarihsel
- Tatil
- Evler
- evler
- Ne kadar
- Nasıl Yapılır
- Ancak
- HTTPS
- yüz
- Yüzlerce
- tespit
- if
- Yasadışı
- görüntü
- ithalat
- önemlisi
- in
- Diğer
- dahil
- içerir
- artmış
- göstergeler
- bireyler
- rezil
- etkilemek
- bilgi
- bilgi teknolojisi
- Altyapı
- Araştırma
- örnek
- İstihbarat
- yönelik
- ilginç
- iç
- içine
- paha biçilmez
- envanter
- soruşturma
- içeren
- IT
- İtalyan
- ONUN
- hapis
- Ara
- Ocak
- sadece
- Adalet
- Bilmek
- topraklar
- büyük
- Soyad
- Geç
- sonra
- başlattı
- lider
- İlanlar
- en az
- Led
- meşru
- bacaklar
- izin
- seviye
- Muhtemelen
- LINK
- bağlayıcı
- bağlantılar
- Liste
- yaşayan
- log
- giriş
- lojistik
- logo
- Uzun
- uzun zaman
- uzun
- kayıp
- kayıp
- makine
- makinalar
- yapılmış
- Ana
- büyük
- yapmak
- kötü niyetli
- kötü amaçlı yazılım
- Üretici firma
- çok
- Mayıs..
- anlamına geliyor
- Neden
- mesaj
- mesajları
- mesajlaşma
- yöntem
- yöntemleri
- Microsoft
- Askeri
- akla
- zihinleri
- mayınlar
- bakanlık
- dakika
- hata
- orta derecede
- para kazanma
- Ay
- ay
- Daha
- çoğu
- hareket
- Namecheap
- isimleri
- millet
- gerek
- ağ
- asla
- yeni
- Yılbaşı
- güzel
- yok hayır
- notlar
- Kasım
- numara
- Ekim
- of
- kapalı
- teklif
- Teklifler
- Office
- resmi
- yetkilileri
- Eski
- on
- ONE
- olanlar
- bir tek
- ameliyat
- operasyon
- Operasyon
- operatörler
- muhalefet
- or
- sipariş
- organizasyonlar
- orijinal
- Diğer
- bizim
- kendimizi
- dışarı
- Görünüm
- tüm
- üst üste gelmek
- kendi
- Kanal
- sayfaları
- Ağrı
- çiftleri
- Bölüm
- özellikle
- geçmiş
- İnsanlar
- başına
- dönem
- Pharma
- İlaç
- eczaneler
- Kimlik avı
- kimlik avı kampanyası
- Fotoğraf
- Pivotlar
- plan
- planlanmış
- bitkiler
- Platon
- Plato Veri Zekası
- PlatoVeri
- Lütfen
- noktaları
- Polis
- politika
- Popüler
- nüfus
- mümkün
- belki
- önlenmiş
- Önceden
- özel
- muhtemelen
- Ürünler
- Kâr
- propaganda
- koruyucu
- sağlamak
- sağlanan
- sağlayıcılar
- psikolojik
- yayınlanan
- oldukça
- yükseltmek
- rasgele
- değişen
- daha doğrusu
- okuyucular
- fark
- teslim almak
- Alınan
- son
- alıcıların
- tavsiye etmek
- tavsiyeler
- Tavsiye edilen
- önerir
- reddetti
- reddederek
- saymak
- Saygılarımızla
- bölgeler
- ilgili
- serbest
- kalıntılar
- hatırlamak
- giderme
- çıkarıldı
- değiştirmek
- Raporlar
- gereklidir
- araştırma
- kaynak
- yeniden
- reuters
- Açığa
- canlandırmak
- yollar
- koşmak
- Rusya
- Rusya-Ukrayna Savaşı
- Rusça
- Rusya Federasyonu
- s
- aynı
- örnek
- İndirim
- diyor
- tarifeli
- İkinci
- sektör
- güvenlik
- görmek
- görünmek
- görüldü
- göndermek
- gönderme
- gönderdi
- sunucu
- Sunucular
- hizmet
- Hizmetler
- birkaç
- kıtlık
- sıkıntısı
- meli
- gösterilen
- Gösteriler
- önemli
- önemli ölçüde
- benzer
- benzerlikler
- Basit
- beri
- içtenlikle
- yer
- durum
- biraz
- bazen
- biraz
- ekmek
- Spam
- hoparlörler
- özel olarak
- özel
- özellikle
- nispet
- yayılma
- başlama
- başladı
- Durum
- garip
- yabancı
- konu
- Gönderimler
- gönderilen
- böyle
- önermek
- ÖZET
- güneş
- arz
- destek
- destekçileri
- cerrahi
- şaşırtıcı
- şaşırtıcı biçimde
- hayatta kalmak
- tablo
- Bizi daha iyi tanımak için
- tanklar
- Hedeflenen
- hedefleme
- hedefler
- Teknik
- Teknolojileri
- Teknoloji
- Telegram
- şablon
- şablonları
- ülkelerle
- test edilmiş
- göre
- Teşekkür
- o
- The
- Gelecek
- Bilgi
- ve bazı Asya
- Onları
- temalar
- sonra
- Orada.
- Bunlar
- onlar
- düşünmek
- Re-Tweet
- Bu
- gerçi?
- tehdit
- tehditler
- üç
- zaman
- zaman çizelgesi
- için
- birlikte
- Konular
- kasabalar
- Çeviri
- tedavi
- denemek
- çalışıyor
- DÖNÜŞ
- bükülme
- iki
- tipik
- Uk
- Ukrayna
- Ukrayna
- Ukraynalılar
- altında
- ne yazık ki
- kadar
- kullanılmayan
- URL
- us
- ABD Adalet Bakanlığı
- Amerika Birleşik Devletleri
- kullanım
- Kullanılmış
- işe yarar
- kullanım
- kullanma
- Değerler
- Doğrulanmış
- versiyon
- çok
- üzerinden
- Türkiye Dental Sosyal Medya Hesaplarından bizi takip edebilirsiniz.
- istemek
- savaş
- Ukrayna'da savaş
- Uyardı
- oldu
- dalga
- dalgalar
- we
- ağ
- Web sitesi
- web siteleri
- Haftalar
- İYİ
- tanınmış
- vardı
- hangi
- süre
- DSÖ
- kimin
- neden
- genişlik
- Vahşi
- irade
- Kış
- ile
- içinde
- won
- çalışma
- yazılı
- yıl
- yıl
- henüz
- Sen
- kendiniz
- zefirnet