Security Professionals - ipfw add deny all from eindgebruikers to any

apt28.su

29-11-2016, 08:33 door Anoniem, 11 reacties
domain: APT28.SU
nserver: ns1.jino.ru.
nserver: ns2.jino.ru.
nserver: ns3.jino.ru.
nserver: ns4.jino.ru.
state: REGISTERED, DELEGATED
person: Private Person
e-mail: a.singov at protonmail.ch
registrar: R01-REG-FID
created: 2016.11.28
paid-till: 2017.11.28
free-date: 2017.12.31
source: TCI

Web site: © 2016 Sofacy/APT 28

Wat zou de bedoeling hiervan zijn?
Reacties (11)
29-11-2016, 09:29 door [Account Verwijderd]
[Verwijderd]
29-11-2016, 09:40 door Anoniem
Het is inderdaad een post waar je niet veel mee kan.
29-11-2016, 09:41 door linuxpro
honeypot? site geeft een default joomla install .... maar idd wat Rinjani ook al vroeg, wat is je bedoeling hiermee?
29-11-2016, 09:42 door Anoniem
Misschien een poging om ons naar deze, mogelijk geinfecteerde, website te lokken ?
29-11-2016, 11:32 door Anoniem
Volgens Brightcloud is de URL verdacht. Dus waarschijnlijk een FastFlux domain. Klaar voor Malware / SPAM
29-11-2016, 11:53 door Anoniem
Voor de niet-professionelen: dit forum "Security Professionals" is alleen voor mensen die weten van de security hoed en de rand. Het is gevaarlijk zonder kennis van zaken en beveiligingsmaatregelen naar potentieel gevaarlijke sites te gaan.

De vraag is waar deze site voor dient. De naam is natuurlijk de reden waarom ik deze vraag stel. Sofacy en apt28 zijn namen die researchers gebruiken voor een bekende gesofisticeerde electronische spionage club.

Door Anoniem: Misschien een poging om ons naar deze, mogelijk geinfecteerde, website te lokken ?

Zou kunnen, maar dat veronderstelt dat iemand van ons het zou opmerken en hier zou posten en die kans is tamelijk klein.

(Of dat ik in het complot zit. Gelukkig ken ik mezelf goed genoeg om te weten dat dat niet zo is.)

Vooralsnog kent Google de site nog niet.

De name server wordt wel eens gebruikt door phishers en carders, maar niet uitsluitend.
29-11-2016, 13:35 door Anoniem
Door Anoniem:
e-mail: a.singov at protonmail.ch


Wat zou de bedoeling hiervan zijn?

Dat hij/zij veilig kan mailen ... ?
29-11-2016, 19:30 door Anoniem
Even een heel kleine verkenning via derde partij bronnen gedaan naar dit domein.

Het is een credit card hacker: http://toolbar.netcraft.com/site_report?url=APT28.SU
?????? ??????? ?????? ????? betekent Russische hackers hacken hackers.

DNS rapportje met naam server info proliferatie, niet zo slim van deze "hackende hackers": "
PowerDNS Authoritative Server 3.3.3 (jenkins@autotest.powerdns.com built 20161031213210 mockbuild@)"

Naamserver versie is kwetsbaar o.m. voor een exploit met een bug in DNS en een label decompressie bug.
Er is inmiddels een PowerDNS Authoritative Server 4.0.0-alpha1 versie beschikbaar.

Even een voorbeeldje dus wat voor info men uit een wat al te luid kakelende naamserver kan peuren.

Wat draait er dan zoa verder op het IPl: _http-server-header: Jino.ru/mod_pizza, met potetnieel riskant TRACE
Kwetsbaar voor de pizza-dief exploit!

Er is recent wat geupdate, want er is 'Clock skew detected',
typisch iets als de klokken van de clients en de NFS out of synch zijn
op sommige van de systemen, want sommige blijven buiten beeld.

Verder OpenSSH 5.3, ook kwetsbaar.

Met al dergelijke gevonden kwetsbaarheden, en exploits,
denk ik niet dat het echte "hogere" hackersgilde hier achter steekt.
29-11-2016, 19:43 door Anoniem
volgens urlquery.net is de zaak niet echt koosjer.

http://urlquery.net/report.php?id=1480444739610
29-11-2016, 22:32 door Anoniem
Door Anoniem: volgens urlquery.net is de zaak niet echt koosjer.

http://urlquery.net/report.php?id=1480444739610

UQ flipt op alles met .su, dus dat zegt ook weer niet veel..
29-11-2016, 23:55 door Anoniem
Jazeker het domein lanceert nogal wat malware.

Voor de vraagsteller vond ik nog deze interessante link:
https://www.fireeye.com/blog/threat-research/2014/10/apt28-a-window-into-russias-cyber-espionage-operations.html

Kijk uit met het aanklikken van deze link, want men wil meteen je locatie weten.
Maar dat is niks nieuws, ze houden het adres hier al vanaf 2007 in de gaten.

Vraag is dan werkt het vanuit semi-officiële hoek of behoort het tot de kringen van het zogenaamde R.B.N.
(Rusian Business Network) m.a.w. kriminalnaya Rossiya?

Maar hier zijn ze ook niet heilig, hoor!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.