От участника информационного обмена получено электронное письмо с темой "Замечена подозрительная активность @UKR.NET" и приложением в виде PDF-файла "Попередження про безпеку.pdf" отправлено, якобы, от имени технической поддержки UKR.NET (электронный адрес отправителя: "[email protected]").
Упомянутый PDF-документ содержит ссылку на мошеннический веб-ресурс, имитирующий веб-страницу почтового сервиса.
В случае аутентификации на поддельном вебсайте, логин и пароль пользователя будут отправлены злоумышленникам, что создаст предпосылки для получения несанкционированного доступа к электронному почтовому ящику пользователя третьими лицами.
CERT-UA приняты дополнительные меры по анализу сетевой инфраструктуры, применяемой для осуществления аналогичных кибератак с 2021 года, в результате чего выявлено, по меньшей мере, 118 связанных доменных имен, зарегистрированных компанией "Internet Domain Service BS Corp." (@internet.bs, Багамские острова). Соответствующие серверы, по данным Domaintools, размещены в Нидерландах на технической площадке "Nice-IT" aka "@as49447.net" (номер автономной системы: 49447).
Описанная активность отслеживается под названиями COLDRIVER, CALLISTO.
Indicators of Compromise
IPv4
- 45.9.148.178
- 45.9.148.83
Domains
- 0-ukr.net
- 1-ukr.net
- 2fa-ukr.net
- 4e-ukr.net
- 5-ukr.net
- 8-ukr.net
- a3-ukr.net
- accounts-s-ukr.net
- accounts-ukr.net
- accounts--ukr.net
- accounts---ukr.net
- account-ukr.net
- acc-ukr.net
- bh-ukr.net
- bld-ukr.net
- bnt-ukr.net
- btx-ukr.net
- cca-ukr.net
- cck-ukr.net
- changepassword-ukr.net
- ck-ukr.net
- clients-ukr.net
- client-ukr.net
- cm1-ukr.net
- cmx-ukr.net
- confirm-ukr.net
- conf-ukr.net
- crv-ukr.net
- cvi-ukr.net
- dat1-ukr.net
- details-ukr.net
- dubl-ukr.net
- dx-ukr.net
- edisk-ukr.net
- el-ukr.net
- f3-ukr.net
- files-ukr.net
- hj-ukr.net
- inbox-ukr.net
- int-ukr.net
- in-ukr.net
- k1-ukr.net
- k1v-ukr.net
- kb-ukr.net
- kg-ukr.net
- ksr1-ukr.net
- kt-ukr.net
- k-ukr.net
- kv-ukr.net
- lc-ukr.net
- login-ukr.net
- lt-ukr.net
- l-ukr.net
- lvc-ukr.net
- lv-ukr.net
- m1-ukr.net
- mail-ukr.net
- mf-ukr.net
- ml-ukr.net
- mod-ukr.net
- mst-ukr.net
- msx-ukr.net
- mta-ukr.net
- mx3-ukr.net
- mxukr.net
- news-ukr.net
- notify-ukr.net
- numsecukr.net
- o1-ukr.net
- om-ukr.net
- out-ukr.net
- p3-ukr.net
- password-ukr.net
- pas-ukr.net
- pge-ukr.net
- pgh-ukr.net
- pm-kv-ukr.net
- private-ukr.net
- prot-ukr.net
- p-ukr.net
- regs-ukr.net
- reg-ukr.net
- reply-ukr.net
- rew-ukr.net
- s9-ukr.net
- safe-ukr.net
- sb-ukr.net
- score-ukr.net
- ser-ukr.net
- serv1-ukr.net
- session-ukr.net
- settingsukr.net
- settings-ukr.net
- se-ukr.net
- signup-ukr.net
- site-ukr.net
- stage-ukr.net
- static-ukr.net
- step-ukr.net
- stv-ukr.net
- support-ukr.net
- tc-ukr.net
- td-ukr.net
- tt-ukr.net
- u1-ukr.net
- ub-ukr.net
- uc-ukr.net
- uf1-ukr.net
- uo-ukr.net
- uq-ukr.net
- v1-ukr.net
- verify-ukr.net
- vh-ukr.net
- virtual-ukr.net
- vn-ukr.net
- v-ukr.net
- vv-ukr.net
- web-ukr.net
URLs
- http://accounts.cm1-ukr.net/desktop/security/login/
- http://accounts.regs-ukr.net/desktop/security/login/