Nalazi i dokazi
—
Preporučeni odgovor
Za svaki VISOKI nalaz: (1) potvrditi sa pogođenim email nalogom da je poruka primljena i da li je prilog otvoren; (2) zatražiti endpoint logove (Windows Defender, EDR) za navedeni vremenski opseg; (3) sačuvati originalnu .eml poruku kao dokaz; (4) prijaviti SHA-256 u CERT.RS i lokalni CSIRT; (5) za potvrđena izvršavanja, izolovati endpoint i pokrenuti DFIR proceduru. Detalji za svaki SHA-256 dati su u tabeli ispod.
ESET Inspect — dokaz aktivne infekcije endpoint-a
Dokazi koji slede izvučeni su iz ESET Inspect Business Advanced incident izveštaja, koji potvrđuje da je malver iz Agent Tesla porodice (MSIL/Spy.AgentTesla.*, MSIL/Spy.Agent.AES — ESET-ova oznaka za Agent Tesla — i MSIL/Spy.Agent.CVT) bio prisutan na Windows mašini DESKTOP-VRVRQAT, na nalogu organizacije Corex - AI Software Innovations FZCO. Originalni PDF izveštaj ima 346 strana; izračunat je SHA-256 (niže) radi lanca sledljivosti, a uz svaki agregat u tabelama navedena je i prva strana PDF-a na kojoj se taj indikator pojavljuje. Sirovi indikatori sačuvani su u runtime/forensics/eset/indicators.ndjson, sa svim originalnim ESET poljima.
Metapodaci o incidentu
Sanacija — analiza propusta
Akcija koju je ESET skener preduzeo nad svakim otkrićem u trenutku detekcije. Indikatori sa akcijom "None" jesu detektovani, ali NISU automatski sanirani — uzorak malvera je posle skeniranja ostao na disku. Vremenski prozor u kome su uzorci stajali na disku materijalno je značajan za uzročni lanac (između trenutka prisustva malvera i njegovog uklanjanja postoji prilika za eksfiltraciju kredencijala).
| Akcija skenera | Broj |
|---|
Najučestalije pretnje (po broju indikatora)
Kolona "Strana PDF-a" pokazuje prvu stranu ESET izveštaja na kojoj se taj indikator pojavljuje — radi brže navigacije kroz originalni PDF (346 strana).
| Naziv pretnje (ESET klasifikacija) | Broj | Strana PDF-a |
|---|
Jedinstvene izvorne URI putanje (klaster putanja)
Putanje fajl-sistema sa kojih su uzorci malvera izvučeni. Putanje unutar backup arhiva su materijalno najvažnije — one ne pokazuju samo prisustvo uzorka na disku, već i njegovo *poreklo*. Većina URI-ja vodi do arhive backup-energetraprodaja.rs-9-15-2025.tar.gz na operatorovoj mašini.
| Izvorna URI putanja | Broj | Strana PDF-a |
|---|
Jedinstveni SHA-1 hash-ovi (IOC lista)
Različiti hash-ovi uzoraka malvera, spremni za prijavu threat-intelligence platformama (MalwareBazaar / VirusTotal). Familija malvera može se proveriti nezavisno od ESET-a upitom na bazaar.abuse.ch/sample/<sha1>/ — međutim, prisustvo hash-a u javnoj bazi NIJE uslov da bi detekcija bila važeća (lokalna ESET detekcija sama po sebi predstavlja dokaz).