Digitalna forenzička istraga
Metodologija, alati, invarijante integriteta.
Zakonske obaveze vlasnika servera
PREKRŠAJ ZAKONAU Republici Srbiji je na snazi Zakon o zaštiti podataka o ličnosti, koji se primenjuje od 21. avgusta 2019. godine. Ovaj zakon obavezuje sve kompanije u Srbiji i u potpunosti se odnosi na ovaj slučaj. Kompanija energetra.rs nije ispunila nijednu od sledećih zakonskih obaveza.
Obaveza prijave nadležnom organu — rok 72 sata
Svaka kompanija koja sazna za curenje podataka dužna je da bez odlaganja — a najkasnije u roku od 72 časa — o tome obavesti Poverenika za zaštitu podataka o ličnosti (čl. 52 ZZPL). Kompanija energetra.rs to nije učinila. Svako kašnjenje mora se pismeno obrazložiti — u suprotnom prekršaj nastaje automatski.
Obaveza obaveštavanja pogođenih lica
—
Zaprećene kazne
Novčana kazna za pravno lice: do 2.000.000 RSD (oko 17.000 EUR) za neobaveštavanje Poverenika; još do 2.000.000 RSD za neobaveštavanje pogođenih lica. Ukupna izloženost: do 4.000.000 RSD.
Krivični zakonik RS, čl. 146 — neovlašćeno prikupljanje i zloupotreba podataka o ličnosti: kazna zatvora do 1 godine; ako delo počini službeno lice u vršenju dužnosti — do 3 godine.
1. Read-only invarijanta
Oporavljena pošta nalazi se unutar AES-šifrovanog sparsebundle-a, montiranog komandom hdiutil attach -readonly. Svaki forenzički alat odbija da se pokrene ukoliko mount ne prijavi koren maildir-a kao read-only. Pre nego što otvori deskriptor za upis, svaki alat dodatno proverava da nijedna izlazna putanja ne završava unutar read-only mount-a.
Kernel ovo nameće na nivou fajl-sistema; alati ga nameću ponovo na nivou aplikacije. Odbrana u dubinu.
2. MIME parser
Skener malvera koristi mailparser (npm, MIT licenca) za izvlačenje priloga. Ručno pisan MIME parser bi promašio 5–15% priloga zbog rubnih slučajeva: RFC 2231/5987 deljeno kodovana imena fajlova, 8-bitni sadržaj u delovima prijavljenim kao 7bit, charset deklaracije koje Node ne dekodira nativno (ISO-8859-2, Windows-1250/1251), razlike u quoting-u boundary-ja, ugnežđeni multipart pet nivoa duboko sa izmešanim kodovanjima. Za forenzički proizvod, ispravnost parsera vredi više od pravila o nuli zavisnosti. Ovo je jedina npm zavisnost u celom repozitorijumu.
3. IOC korpus
Tri feed-a sa abuse.ch, preuzimaju se sveži pre svakog skeniranja i keširaju lokalno, kako bi skeniranje bilo ponovljivo iz snimka ulaza:
| Feed | Type | Count | Fetched |
|---|---|---|---|
| Dešifrovanje… | |||
4. URLhaus host poklapanje — ključni detalj
URLhaus objavljuje dve host liste. Kurirani host fajl (~550 hostova) imenuje infrastrukturu za koju abuse.ch potvrđuje da aktivno poslužuje malver. Pun URL korpus (78.000 URL-ova) pokriva sve što je viđeno u poslednjih 90 dana, uključujući i uzorke hostovane na Google Drive-u i GitHub-u.
—
5. Magic-byte verifikacija
Za svaki prilog, vodeći bajtovi se porede sa magic-byte tabelom (PE, ELF, ZIP/OOXML, OLE2, PDF, RAR, 7Z, GZIP, JPEG, PNG, GIF, BMP, TIFF).
- HIGH samo kada magic-byte pokazuje izvršni format (PE/ELF) skriven pod neizvršnom ekstenzijom. .pdf koji počinje sa MZ je nedvosmislen pokazatelj.
- LOW za neslaganja u formatu slika (JPEG deklarisan kao .png, i sl.). Uobičajeno ponašanje email klijenata pošiljaoca; nije forenzički signal.
Jedan uzorak je nezavisno proveren pregledom sirovih bajtova:
file: Ofitia_03082021.iso size: 428,032 bytes sha256: 5e38b7ced0b8b7610dd14a39fb349324c0a03400e1b802df5d908f4ecd831d97 bytes at offset 0x0000: 00 00 00 00 00 00 00 00 (32 KB ISO system area) bytes at offset 0x8001: 43 44 30 30 31 CD001 — ISO 9660 magic RESULT: real ISO 9660 filesystem image. Mountable. Not a renamed lure.
6. Klasifikacija ozbiljnosti
| Ozbiljnost | Pravila |
|---|---|
| HIGH | Poklapanje SHA-256 u MalwareBazaar-u ili ThreatFox-u; tačno poklapanje URL-a u URLhaus-u; poklapanje hostname-a u kuriranoj URLhaus listi; poklapanje domena u ThreatFox-u; izvršna ili skript ekstenzija (.exe, .scr, .iso, .img, .lnk, .jar, …); izvršni magic skriven pod neizvršnom ekstenzijom. |
| MEDIUM | Office sa makroima (.docm, .xlsm, .doc, .xls); arhiva (.zip, .rar, .7z); URL na sumnjivom TLD-u; URL na poznatom URL skraćivaču; phishing-kombinacija (pošiljalac koji se predstavlja kao poznati brend + ≥2 ključne reči vezane za kredencijale + spoljni link ka drugom registrovanom domenu, uz izuzimanje XML/W3C boilerplate-a). |
| LOW | Punycode/IDN hostname u URL-u; benigno magic-byte neslaganje (pogrešno označen format slike). |
7. Provenijencija
| Dešifrovanje… |
7B. Drugi forenzički prolaz (ForensiX cross-pass)
Pored skenera baziranog na pravilima (poglavlja 1–6), na maildir korpus je primenjen i drugi, hipotezno-vođeni prolaz koristeći sestrinski projekat ForensiX (corex-dfir) — court-admissibility-first DFIR platformu sa DuckDB append-only vault-om, content-addressed blobstore-om, per-batch Merkle root-om i GPG-potpisanim dokazima. Cilj je dvojaki: (a) nezavisno korpus-pokrivanje koje daje drugi sloj dokaza (lanac dokaza zasnovan na sadržaju, a ne na pravilima), i (b) hipotezno pretraživanje (BM25 + DuckDB FTS) koje strukturno ne može da proizvede skener baziran na ekstenzijama i IOC-ima.
| Obuhvat — kompletna akvizicija 16 od 16 email naloga | 16 email naloga od 16; 81 folder; 33.909 jedinstvenih SHA-256 blobova; vault ≈ 19 GB. Najveći email nalozi: energetraptt (15.010), stefan (6.548), energetra (5.050), office (1.880), zika.kucevic (1.842), hotel (1.502). |
|---|---|
| Inter-mailbox sadržajni dedup | 143 poruke prepoznate kao isti SHA-256 sadržaj poslat na više email naloga — direktno cross-mailbox dostavna potvrda |
| Detektovane pretnje (broj poruka po kategoriji, LIMIT=1000) | 146 "account suspended" + 147 "verify your account" + 217 "DHL/FedEx parcel" + 106 "invoice payment overdue" + 102 "urgent payment confidential" + 71 "bitcoin payment ransom" + 38 sextortion ("I have your password") + 37 "your files encrypted" + 45 "password reset" + 63 "confirm your identity" + 17 COVID-19 lures + 9 Ukraine-aid pretexting. BEC ("wire transfer banking details" 999, "new IBAN account" 951) i Microsoft brand impersonation (1.000) su dominantni vektori. |
| BM25 pretrage: kategorije koje su dostigle limit od 1.000 pogodaka | "Microsoft Office 365" (1.000), "wire transfer banking details" (999), "new IBAN account" (951) — stvarni broj poruka po svakoj kategoriji je u hiljadama; BEC i IBAN-swap signal je dominantan |
| Bankarska prepiska — koncentracija po email nalogu | 3.449 poruka od 9 srpskih finansijskih institucija; energetraptt = OTP-primary (1.178), energetra = UniCredit-primary (716); stefan ima dodatne 42 bankarske poruke + 4 osiguravajuće (dunav.com); 4 različita operativna email naloga sa distinktnim bankovnim odnosima |
| Cross-mailbox phishing kampanja (potvrđena) | "Obavijest od Energetra <info@afpbuzfwyjri.com>" (tipo-squat random-string domen) izveo display-name spoofing prema 3 različita email naloga. Druga potvrđena eksterna kampanja: "IT ADMIN Energetra <test@moneycomeon.com>" sa sumnjivog domena. Single-mailbox analiza ovo strukturno ne može da klasifikuje kao kampanju. Dodatne pojave "Energetra <energetra@gmail.com>" su isključene iz ovog kategorisanja — vlasnička je porodica taj @gmail.com koristi paralelno za internu prepisku (134 poruka u rasponu 2015–2025, isključivo poslovni sadržaj), ne radi se o spoofing-u. |
| Verzionirani skript pipeline | scripts/forensix-pass.py (driver) + scripts/forensix-search.sh (20-query BM25 baterija) + scripts/forensix-correlate.py (cross-mailbox SQL); tri uzvodno-bug zaobilaznice u driver-u dokumentovane |
| Operatorske izlazne datoteke (gitignored, runtime/) | runtime/forensix-case/ (DuckDB vault + blobs); runtime/forensix/findings.md (9-section izveštaj); searches.txt + searches-full.txt; correlate.txt + correlate.json |
| Odložene (ne ispuštene) analize | Claude triage/analyze (zavisi od ANTHROPIC_API_KEY); DKIM re-verifikacija (corex-dfir P2-E nije objavljen); LE-handover bundle (`corex-dfir le-package`) traži Claude pass prvo. Akvizicija svih 16 email naloga je dovršena. |
7C. Dokumentovano upozorenje hosting provajdera (DreamWeb, 2025)
Direktan dokaz da je vlasniku domena energetra.rs sajt-i-hosting provajder formalno i u pisanom obliku saopštio postojanje aktivne malverske infekcije i kompromitovanog cPanel naloga, više meseci pre datuma ovog izveštaja. Korespondencija je dostavljena na vlasničke email naloge (ImunifyAV alarmi na energetra@ptt.rs — vlasnička PTT.rs primarna adresa; tiket #8404355 na energetra@energetra.rs) i sačuvana u maildir korpusu kao 7 ImunifyAV automatskih alarma + 3-poruka helpdesk tiket. Verbatim paket dokaza (10 .eml fajlova, 184.476 bajtova, SHA-256 chain-of-custody): runtime/forensix/hosting-warnings/ (operatorski, gitignored).
| Napomena o atribuciji hosting provajdera | Pre januara 2024. hosting energetra.rs je bio kod Orion Telekom-a. Stefan Kučević (predstavnik vlasničke porodice) je tada zahtevao migraciju; izvršio ju je 2023-12-18 Dragutin Misiraca — autor sajta energetraprodaja.rs (OpenCart framework) i tehnički staratelj sistema, sada examiner ovog izveštaja. Migracija je prebacila ceo nalog na DreamWeb (host114.dwhost.net). Sva malware-warning korespondencija dokumentovana ovde je sa DreamWeb-ovih sistema. Korespondencija sa Orion Telekom-om iz pre-migracionog perioda (47 poruka, 2019–2024) sadrži isključivo administrativne sadržaje — račune, DNS izmene, lozinke — bez malware-warning sadržaja. |
|---|---|
| Lanac staranja — ko je primio upozorenja, ko ih je trebao primiti | Pravno lice: Energetra doo (PIB 101772628, M.B. 07935200), predstavnik Života Kučević koji je 2025-07-19 17:53 odgovorio na tiket #8404355 u ime vlasnika. Predstavnik vlasničke porodice koji je zahtevao migraciju (2023-12): Stefan Kučević. Tehnički izvršilac migracije i developer energetraprodaja.rs OpenCart frontenda: Dragutin Misiraca (current examiner). Primaoci 7 ImunifyAV alarma u korpusu: ISKLJUČIVO energetra@ptt.rs (vlasnička porodična primarna adresa, PTT.rs prosleđena u energetraptt mailbox). Stefan-ov mailbox (stefan@energetra.rs) primio: 0 alarma. Examiner Dragutin Misiraca obavešten o postojanju upozorenja: 0 puta tokom 2025. od strane vlasničke porodice; saznanje examiner-a nastalo je tek tokom ovog forenzičkog prolaza (2026). Posledica: tehnički staratelj sa kapacitetom da odgovori na alarme (developer + migrator) nije bio informisan, dok je vlasnička strana imala pristup ka primljenim alarmima. Ovo je suštinski činjenični obrazac — pisano upozorenje stiglo, ali ne usmereno ka tehničkom licu sposobnom za sanaciju. |
| Automatski alarmi „VAŽNO: Maliciozni fajlovi u nalogu (energetr)" | 7 identičnih ImunifyAV alarma sa adrese cpanel@host114.dwhost.net dostavljenih na vlasnički email energetra@ptt.rs (NE na korporativni energetra@energetra.rs — primalac je vlasnička PTT.rs primarna adresa, PTT.rs prosleđivanje rutira u energetraptt mailbox na DreamWeb serveru): 2025-01-24, 2025-03-24, 2025-04-24, 2025-05-24, 2025-06-24, 2025-07-24, 2025-08-24. Mesečni cron-ciklus na 24. dan svakog meseca; februar 2025. nedostaje u ciklusu (uzrok nije utvrđen — skip skenera, izbrisano od strane napadača sa cPanel pristupom, ili otkazana isporuka). Svaki alarm je tekstualno identičan: bezbednosni sistem je detektovao maliciozne fajlove, lista dostupna u ImunifyAV opciji u cPanel-u, vlasnik mora HITNO započeti rešavanje, jer „maliciozni fajlovi omogućavaju trećem licu kontrolu nad sajtom i hosting nalogom, slanje spam email poruka, prevare internet korisnika, napade na druge sajtove...". Pretnja eskalacije: „bićemo prinuđeni da onemogućimo pristup zaraženim sajtovima". |
| Helpdesk tiket #8404355 — formalna potvrda hosting provajdera | 2025-07-19 14:27 — DreamWeb support operater Vladimir formalno odgovara u pisanom obliku: „Do problema u radu sajtova je došlo zbog malicioznih promena u okviru foldera sajtova, do kojih je došlo prilikom nekog od višestrukih sumnjivih pristupa hosting nalogu sa IP adresa iz inostranstva, koji su počeli marta meseca ove godine. Hosting nalogu je pristupano pomoću korisničkog imena i lozinke, što znači da Vam je lozinka za cPanel nalog ukradena." |
| English translation | „The problems with the sites occurred due to malicious changes within the site folders, which happened during one of multiple suspicious accesses to the hosting account from IP addresses abroad, which began in March of this year [2025]. The hosting account was accessed using username and password, which means your cPanel password was stolen." |
| Direktno vlasnikovo angažovanje na tiketu | Tiket #8404355 je otvoren sa vlasničke strane pre 2025-07-19. Vlasnik (Života Kučević, mob. 063-11-99-075) je 2025-07-19 17:53 odgovorio: „Hvala na detaljnom odgovoru. Da li imate kao uslugu u ponudi za preuzimanje koraka i rešavanje nastalog problema, naša služba koja nam održava nije sigurna da može sve korake da ispoštuje." DreamWeb (Viktor) je 2025-07-21 09:37 odgovorio da takvu uslugu ne mogu da ponude. |
| Vremenski rascep — saznanje vs. obaveštenje subjekata podataka | Prvi automatski alarm: 2025-01-24. Poslednji u ovom korpusu: 2025-08-24. Formalna pisana potvrda hosting provajdera o phishing-uzročnoj krađi cPanel lozinke i ino-IP pristupu sa MARTA 2025: 2025-07-19. Datum ovog izveštaja: 2026-05-17. Pogođenih lica obaveštenih u tom periodu (16+ meseci): 0. Po ZZPL čl. 53 obaveza obaveštavanja je 72 časa od saznanja — saznanje je zvanično postojalo najkasnije 2025-01-24, a u kvalifikovanom pisanom obliku 2025-07-19. Pravni kvalifikator za ZOO čl. 154 (krivica) sada nije „trebalo da zna", već „znao, pisano, ponovo, od provajdera, u dokumentovanim koracima". |
| Posledice ignorisanja upozorenja (counterfactual analiza) | Šta bi se dogodilo da je vlasnik reagovao odmah: (a) ISTI DAN (2025-01-25, dan 1) — rok ZZPL čl. 53 ispoštovan, marta 2025 napadački prozor sprečen, 0 pogođenih lica; (b) NA DRUGOM ALARMU (2025-03-24, dan 59) — incident sadržan u nekoliko nedelja, ZZPL rok premašen za 56 dana ali ZOO čl. 154 krivica još uvek „trebalo da zna"; (c) POSLE PISANE POTVRDE (2025-07-19, dan 176) — 5-nedeljni backup prozor već istekao, kompletna sanacija sajta obavezna, kvalifikator krivice eskalira u „znao je, pismeno, sa dokumentovanom prepiskom"; (d) BEZ AKCIJE DO IZVEŠTAJA (2026-05-17, dan 478) — pravna pozicija prelazi iz nehotične ignoracije u DELIBERATNU SUPRESIJU. Konkretne materijalne posledice 478-dnevne supresije: (1) sustavna kampanja credential-phishinga protiv energetraptt@energetra.rs sa najagresivnijom fazom mart-avgust 2025 (vidi §7F AI-triage), (2) Microsoft account takeover persistencija (§7D), (3) ZZPL prozor obaveštavanja kolapsiran — 475 dana zakašnjenja od prvog alarma, (4) izgubljen DreamWeb 5-nedeljni backup prozor — povraćaj više nije opcija, (5) dokumentovana pretnja suspenzije hostinga na pisanom zapisu — operativni rizik kontinuiteta, (6) reputacioni dosezi do trećih lica (drugi tenanti DreamWeb servera, IP block-listing, kolaps email deliverability za energetra.rs odlazni saobraćaj). Punu counterfactual tabelu sa danima-od-prvog-upozorenja po scenariju i ZZPL/ZOO/Krivični zakonik mapiranju vidi u `runtime/forensix/hosting-warnings/INDEX.md`. |
| Lokacija dokaza u korpusu | Verbatim paket dokaza (operatorski, gitignored): `runtime/forensix/hosting-warnings/` — 10 .eml fajlova (7 ImunifyAV + 3 tiket #8404355 thread), 184.476 bajtova ukupno; SHA-256 chain-of-custody u `manifest.txt`; headers-only pogled u `headers/`; verbatim Serbian + English citati + counterfactual analiza posledica u `INDEX.md`. Svaki .eml je byte-for-byte kopija sa read-only sparsebundle-a (`mount` flag: `read-only,nodev,nosuid,noowners`). Paralelni locator u ForensiX vault-u (content-addressed): `energetra@ptt.rs/INBOX/` za 7 alarma + `energetra@energetra.rs/INBOX/` za tiket dialog. SHA-256 prvih 12 cifara po datumu: 2025-01-24 `b613d3926489`, 2025-03-24 `43ee203d61b9`, 2025-04-24 `bb82e9b7f2c5`, 2025-05-24 `090d833d8107`, 2025-06-24 `cd4414ce91ca`, 2025-07-19 `d1415eb9dacf` (Vladimir-ova kvalifikovana dijagnoza), 2025-07-21 `f6c04e949731` (Viktor odbija + citirani vlasnikov odgovor), 2025-07-22 `2816a942baf6`, 2025-07-24 `51d8ed1b3810`, 2025-08-24 `024c525c9e57`. |
7D. Microsoft Account Security — nezavisna potvrda vremenske linije napada
DreamWeb potvrda iz tiketa #8404355 (2025-07-19) navela je da neovlašćeni pristupi sa ino-IP adresa „počinju marta meseca ove godine [2025]". Microsoft Account Security tim je u istom periodu poslao automatske alarme o neuobičajenim prijavama i resetovanju lozinki na 4 različitih energetra-pripadajućih Microsoft naloga — što je nezavisna telemetrijska potvrda iste vremenske linije, dolazi od drugog provajdera.
| Vremenska linija Microsoft alarma (sender: account-security-noreply@accountprotection.microsoft.com) | 2021-04-13 → „Verifikujte e-adresu" → hotel@energetra.rs (rana provera identiteta). 2022-11-15 → „Verifikujte e-adresu" → ivanakucevic@energetra.rs (provera identiteta). 2024-08-02 → „Neobična aktivnost prijavljivanja za Microsoft nalog" → ivanakucevic@energetra.rs (PRVA detekcija anomalije sa Microsoft strane). 2025-03-28 20:56 → „Microsoft account password reset" + 20:56:39 „Microsoft account password change" → office@energetra.rs (lozinka resetovana — istog dana kad DreamWeb kaže da je phishing pristup počeo). 2025-04-16 → „Your single-use code" → office@energetra.rs (single-use kod, sugeriše dodatne sumnjive sign-in pokušaje). 2025-05-01 → „Your single-use code" → office@energetra.rs. 2025-08-22 → „Your single-use code" → office@energetra.rs. |
|---|---|
| Forenzička inferencija | Microsoft alarmi marta 2025. (resetovanje + promena lozinke u istom minutu, 20:56) su strukturno karakteristični za scenario gde napadač pokušava preuzimanje naloga: korisnik primi alarm, prinudno resetuje lozinku, nakon čega Microsoft beleži „password change" događaj. Datum (2025-03-28) je u savršenom slaganju sa DreamWeb iskazom „pristupi su počeli marta meseca". Dve nezavisne telemetrijske instance: hosting-provajder cPanel logovi (DreamWeb) + Microsoft account-protection event stream — obe pokazuju isti incident, isti mesec, različita pogađena imovina (cPanel + Microsoft Office). Ovo je „nezavisna korroboracija" u smislu forenzičkog standarda dokaza, ne samo jedna izjava. |
7E. OSINT konfirmacija napadačke infrastrukture
Pored unutrašnjih dokaza iz vault-a (§7B), formalne potvrde hosting provajdera (§7C) i Microsoft telemetrijske korroboracije (§7D), izvršen je i nezavisni OSINT prolaz nad 7 sumnjivih domena identifikovanih u korpusu poruka. Cilj: utvrditi da li su to (a) napadačka infrastruktura, (b) kompromitovani legitimni pošiljaoci, ili (c) lažne uzbune. Metodologija: javno-dostupne forenzičke alatke (whois, dig, curl) + Internet Archive Wayback Machine + Certificate Transparency log (crt.sh) + VirusTotal multi-vendor pregled. Bez aktivnog skeniranja, bez upada — samo pasivni OSINT sa punim trajem porekla (provenance). Operatorski izveštaj sa kompletnim dokazima: `runtime/forensix/osint/REPORT.md`; per-artefakt SHA-256 manifest: `manifest.json`.
Operativni obrazac (5 od 7 — „burner" domen praksa): 5 od 7 sumnjivih domena su OBRISANI/ISTEKLI u trenutku ovog izveštaja. To je tipičan napadački obrazac: registruj domen, pošalji phishing, pusti da istekne da bi se uništio WHOIS trag. Wayback Machine CDX indeks beleži aktivni prozor svakog domena — svaki „burner" ima jasan period aktivnosti koji se završava pre WHOIS brisanja. Aktivnih: 1 (moneycomeon.com — još uvek operativna prevara). Legitimno-kompromitovan: 1 (risingsz.com — dugotrajni kineski biznis na Aliyun-u).
Nalaz 1 — VirusTotal: 9 bezbednosnih vendora označava domen kao MALICIOZAN
VirusTotal screenshot, capturovan 2026-05-17 UTC. Domen "afpbuzfwyjri.com" — Community Score 9. Vendori koji označavaju kao Malicious (vidljivi u screenshot-u): ADMINUSLabs, Chong Lua Dao, CyRadar, Fortinet, VIPRE. Registrar: NAMECHEAP INC. Ovo je autoritativna trećestrana potvrda nezavisna od naše istrage. Domen je upravo onaj sa kojeg je 2025-08-29 poslata kampanja „Obavijest od Energetra" na 3 sandučića.
SHA-256: 9d233ee4accea7ea4fc119e7add2b22d88818ebecffd40ec5d8fd5d8bf42d8cd · file: assets/osint/01-virustotal-afpbuzfwyjri-9-vendors-malicious.png
Nalaz 2 — Wayback Machine: stvarni sadržaj scam-sajta uhvaćen 12 dana pre kampanje
Internet Archive Wayback Machine arhivska snimka https://moneycomeon.com/ od 2025-07-19 11:32:38 UTC — 12 dana pre nego što je „IT ADMIN Energetra <test@moneycomeon.com>" mejl stigao u 2 sandučića 2025-07-31. Sadržaj: kineski cross-border payment scam („MONEY COME ON" brending, „立即注册" / Register now CTA, „全球跨境电商与外贸一站式收付" / globalna cross-border e-commerce i spoljnotrgovinska one-stop naplata, „项目孵化" / inkubacija projekata sa „曼妮凯漫" brand-ime). Klasično lažno cross-border payment-processor scam-infrastrukturom. Ovo je destinacija na koju je phishing usmeren.
SHA-256: b10d19af96237099c9360fd05264850cb5631445486456f9d12aaa46d8d9a48b · file: assets/osint/02-wayback-moneycomeon-scam-2025-07-19.png
Nalaz 3 — Operator-grade konfiguracija: 403 Forbidden na root URL
Wayback Machine summary za afpbuzfwyjri.com pokazuje da je jedini crawl root URL-a (12. januar 2024) vratio HTTP 403 Forbidden od nginx-a. Sajt je BIO konfigurisan da odbije anonimni pristup root URL-u — samo specifični URL-ovi sa parametrima (/jkao?id=..., /vufam/kuv/luzna?id=...) su serverirali TDS payload. To je operator-grade konfiguracija dizajnirana da izbegne casual otkriće i indeksiranje — dokaz da je u pitanju napadački-kontrolisana, ne benigna infrastruktura.
SHA-256: 8dd9ea37b9b02fdf1b8eeeecd4c9e4e8840956f86a8b64edb4d3bdaab0b21739 · file: assets/osint/03-wayback-afpbuzfwyjri-403-operator-config.png
Nalaz 4 — Certificate Transparency log (moneycomeon.com): više-poddomena operacija
crt.sh screenshot za moneycomeon.com pokazuje da je operator izdao sertifikate za mnoge poddomene — pattern konzistentan sa wildcard SSL setupom + fast-flux rutiranjem. Registrar: Alibaba Cloud Computing (HiChina). Datum kreiranja domena: 2024-12-06, 7 meseci pre energetra kampanje. Domen JE ŽIV i operativan na datum ovog izveštaja.
SHA-256: d9b7fe673f28ac2714e13427e7ac27b3a1c800f5784518b1ceb334235678d31a · file: assets/osint/04-crtsh-moneycomeon-subdomains.png
Nalaz 5 — Certificate Transparency log (lawfirmosc.com): „lawfirm" leksički pretekst
crt.sh screenshot za lawfirmosc.com — još jedan „burner" domen (obrisan post-kampanja). Korišćen je leksički pretekst „lawfirm" u domen-imenu da bi se dodala lažna autoritativnost. Energetra je primila mejl „Energetra <anoreplymfkl@lawfirmosc.com>" 2024-09-21. Wayback snapshot-i: 15 ulazaka od 2021-12 do 2025-04.
SHA-256: 086ab3dfae3812d1f77c5aacddf9ce8626b6ccc6148de29fa8395a46766cbd40 · file: assets/osint/05-crtsh-lawfirmosc.png
Nalaz 6 — Razlikovanje: kompromitovani-legitimni pošiljaoc, ne napadač
risingsz.com — live screenshot kućne strane. NIJE „burner". Dugotrajni kineski biznis (registrovan 2005) na Aliyun Mail Enterprise. Jedan mejl ka energetra (2021-08-23) sugeriše kompromitovani legitimni pošiljaoc, ne napadačku primarnu infrastrukturu. Ovaj primer je važan u forenzičkom kontekstu: ne svaki sumnjivi pošiljaoc je napadač — neki su legitimni nalozi koji su sami žrtve kompromitacije.
SHA-256: 90f58523deefa42fed7420f781d9dc1a1d97d34577980af60ec893e487e7f8b2 · file: assets/osint/06-risingsz-live-home-legitimate-compromised.png
Lanac dokaza (chain of custody): Svaki priloženi screenshot ima sibling .meta.json sa SHA-256 hash-om PNG bajtova, capture-UTC vremenskom oznakom, izvornim URL-om, HTTP status-om finalne navigacije, i identitetom analitičara. Per-target agregat: `_screenshots.meta.json`. Master manifest: `runtime/forensix/osint/manifest.json` (SHA-256 svaki artefakt). Manifest-self-hash: `manifest.sha256`. Internet Archive Wayback Machine je pravno-prihvatljiv izvor po precedentu federalnih sudova SAD (Telewizja Polska USA Inc. v. Echostar; St. Luke's Cataract v. Sanderson) i sličnoj evropskoj sudskoj praksi.
7F. AI-triage — hibridni Node.js + Claude Code pipeline
Pored četiri prethodna prolaza (rule-based scanner §1–§6, ForensiX cross-pass §7B, hosting-provajder upozorenje §7C, Microsoft ATO §7D, OSINT §7E), na korpus od 33.909 poruka primenjen je i peti, AI-vođeni triage. Cilj: per-cluster intent klasifikacija sa rezonovanjem nad kontekstom — ono što rule-based + BM25 + SQL + OSINT zajedno strukturno ne mogu da daju. Arhitektura je hibridna: Node.js skripte rade jeftin deterministički rad (clustering, ranking, allow-listing, scoring), a Claude Code API-jevi rade samo rezonovanje (Haiku 4.5 za batch klasifikaciju, Sonnet 4.6 za graničnih 10 deep-dive analiza, plus 4 paralelna agenta za nezavisne investigacije).
| Pipeline (5 faza) | Faza 1+2 (Node.js, bez AI): 33.909 poruka → 14.847 sirovih klastera grupisanih po (registrable_domain ∩ year_month ∩ subject_template_shingle) → 13.265 kandidata posle allow-liste od ~1.580 legitimnih (srpske banke, državni organi, hosting provajderi, interna pošta) → top-60 emitovan za AI obradu. Faza 3 (Claude Code Haiku 4.5 via OAuth subscription): per-cluster intent klasifikacija, 60/60 verdicts, $2,22, 0 grešaka. Faza 4 (Claude Code Sonnet 4.6): drugo mišljenje na 10 graničnih klastera; 9 od 10 potvrdilo Haiku verdict, 1 revidiran. Faza 5 (Node.js, bez AI): rendering operatorskog izveštaja `ACTIONS.md` (80 KB, 1067 linija). |
|---|---|
| Distribucija verdict-a (60 klastera) | 🎣 PHISHING: 28 · ✅ LEGITIMATE: 21 · 💰 BEC: 6 · ⚠ COMPROMISED-LEGITIMATE: 2 · 📧 SPAM: 2 · ❓ UNCLEAR: 1. Iza distribucije stoji 34 potvrđeno zlonamernih klastera (PHISHING + BEC), 21 ispravno deprioritizovanih legitimnih, i 3 koja zahtevaju daljnu manuelnu inspekciju. |
| Distribucija preporučenih akcija | safe-to-ignore: 32 · **report-to-cert: 17** · **needs-human-review: 8** · **notify-data-subjects: 3**. „report-to-cert" označava klastere za prijavu CERT.RS-u kao deo IOC sharing-a; „notify-data-subjects" označava klastere gde su konkretni pojedinci verovatno meta — preporučljiva je notifikacija pogođenih lica po čl. 53 ZZPL. |
| Procena napadačkih sposobnosti (Phase 4 Sonnet, 10 deep-dives) | MEDIUM (organized): 7 klastera — afpbuzfwyjri.com, makestrikes.com, lawfirmosc.com, moneycomeon.com, worldsmmprovider.in, thinkhub.my (BEC), hotmail.com BEC; karakteristike: kontrolisana infrastruktura, koordinisana batch-distribucija, lokalizovani srpski sadržaj. LOW (script-kiddie): 2 klastera — zzihe.com 2021-08, egycanpaper.com 2021-09; karakteristike: izolovani pokušaji, niska tehnička sofistikacija. Prosecution viability per klasteru: 2 HIGH (thinkhub.my BEC + lawfirmosc.com PHISHING), 6 MEDIUM, 2 LOW. |
Cross-cluster otkrivanje — isti akter pod 2 različite domene (Agent C)
Dva klastera koje je Faza 3 označila kao odvojene BEC operacije („payment receipt #0011368" od thinkhub.my i thespoiledoffice.com, maj 2025) — paralelna investigacija je nezavisno potvrdila da su to ISTI AKTER sa HIGH confidence. Decisive dokazi: (a) HTML body bajtno-identičan (SHA-256 `ba70d919…689a9d`); (b) attachment bajtno-identičan Glitch.me phish-kit redirector sa hard-kodovanim `?email=energetra@ptt.rs` (SHA-256 `3b60b41b…e238f73`); (c) ISTI `X-Authenticated-Sender: pentaa-academy@thinkhub.my` na OBA — thespoiledoffice.com poruka je SUBMITted preko thinkhub.my cPanel naloga; (d) oba potpisana DKIM-om `d=thinkhub.my`; (e) isti origin AWS EC2 IP `35.170.248.141`, razmak 23h. Operatorska preporuka: spojiti dva klastera u jednu actor-attribution stavku; 8 IoCs identifikovano za buduće pivot-pretrage.
Kalibraciono otkriće — false-negative (Agent B)
Random sample 5 od 21 LEGITIMATE klastera otkrila je 1 false-negative: `cnwinston.com::2023-12` (Haiku klasifikovao LEGITIMATE, ali body analiza otkrila 12 cloaked-redirector URL-ova kroz `etrack01.com`, hidden-text CSS trikove `display:none`/`color:#fff`/`font-size:0`, Reply-To/From divergenciju registrable-domena (`wstele.net` vs `wstele.cnwinston.com`), nepostojanje `text/plain` alternativa). Procena: 3–5 od 21 LEGITIMATE klastera potencijalno zahteva re-pass sa eksplicitnim cloaked-redirector + Reply-To checkovima. Ne menja primarne nalaze (top 28 PHISHING + 6 BEC su potvrđeni), ali korigovanje cnwinston-a podiže ukupan zlonamerni count.
Validacija timeline-a — March-2025 prozor potvrđen (Agent D)
Phase 4 Sonnet je inicijalno označio 2021-08 ptt.rs self-send klaster kao COMPROMISED_LEGITIMATE — potencijalni signal ranijeg, neidentifikovanog breach-a 3,5 godine pre potvrđenog Marta 2025. Paralelna investigacija je opovrgla taj signal: prikazani „spoofed display name" je auto-injektovani Unicode bidi marks (U+202A/U+202C) iz Android Mail klijenta; „empty body" je base64-enkodovani notes-content (vlasnik koristi self-send kao notepad za adrese); base-rate je 41 self-send u 14 meseci 2021-09 → 2024-09 (rekurentni habit, ne anomalija); Message-ID `@email.android.com` + X-Authenticated-Sender → legitimna mobilna sesija. **Zaključak: nema ranijeg breach-a; March 2025 prozor ostaje primarni**.
Criminal-complaint evidence packet (Agent A)
Za top-5 PHISHING/BEC klastera (afpbuzfwyjri.com, makestrikes.com, lawfirmosc.com, moneycomeon.com, zzihe.com), ekstrahovano je 11 verbatim .eml poruka — 118.116 bajtova originalnog RFC-822 sadržaja, sa SHA-256 chain-of-custody potvrđenim recomputed-iz-vault. Per-cluster artefakti: source-<sha12>.eml + sha256-<sha12>.txt + extracted.md (Date/From/To/Subject/Message-ID/Return-Path/Reply-To, kompletna Received hop chain, body excerpt ≤1500 znakova). Packet je operator-only pod `runtime/forensix/ai-triage/criminal-complaints/`, spreman za predaju advokatu za pripremu krivične prijave Posebnom tužilaštvu za visokotehnološki kriminal.
Operativni trošak i provenance: Ukupan AI-pipeline trošak: ≈ $4,30 (Phase 3 Haiku $2,22 × 60 klastera + Phase 4 Sonnet $2,08 × 10 deep-dives), apsorbovan kroz Claude Code Business Max subscription. 4 paralelna agenta dodatno (Agents A/B/C/D) — bezgranični kroz subscription, ukupno ~4 minuta wall-time. Auth: OAuth subscription (nije ANTHROPIC_API_KEY u env-u). Verdicts i deep-dives su persistirani u `runtime/forensix/ai-triage/verdicts.json` (SHA-256 svaki cluster_key); operatorski action-table je `ACTIONS.md`; agent findings su u `AGENT-FINDINGS.md`. Cela pipeline-arhitektura je reprodukovljiva preko `npm run ai-triage:prefilter` → `:call` → `:render`.
8. Izjava veštaka — pratići kontekst kompromitacije
Sledeća izjava je dat pod profesionalnom odgovornošću veštaka koji potpisuje ovaj izveštaj. Ona NIJE primarni dokaz iz energetra.rs maildir korpusa (§7A–§7F su to). Ona je iskaz svedoka o paralelnoj pretnja-aktera kontekstu koji je relevantan za interpretaciju vault-evidence, ali zahteva poseban evidentni standard. Sekcija je vizuelno odvojena od §7A–§7F prolaza upravo zato da bi razlika između „vault-derived primarni dokaz" i „witness statement uz potpis veštaka" bila eksplicitna za čitaoca.
| Identitet veštaka | Dragutin Misiraca — CoreX AI SOFTWARE INNOVATIONS FZCO DMCC, Dubai, UAE. Profesionalni kapacitet u ovom predmetu: (a) autor sajta energetraprodaja.rs (OpenCart framework, frontend razvoj); (b) tehnički izvršilac migracije sa Orion Telekom-a na DreamWeb dana 2023-12-18, izvedene na operativni zahtev Stefana Kučevića; (c) tehnički staratelj sistema u periodu 2023-12 → 2026-05; (d) trenutni forenzički veštak koji izrađuje ovaj dosije. Kontakt: dragutin91@proton.me. Datum izrade ove izjave: 2026-05-17. |
|---|---|
| Predmet izjave | Prijavljene kompromitacije veštakovih ličnih razvojnih mašina, koje su materijalno relevantne za pretnja-modela analizu ovog predmeta jer veštak istovremeno drži (a) developerske artefakte sajta energetraprodaja.rs koji je deo kompromitovane infrastrukture, i (b) portfolio sopstvenog IP-a od 10 jedinstvenih AI-vođenih softverskih proizvoda razvijanih u istom periodu. Bilo kompromitacija razvojne mašine, bilo cPanel intruzija, bilo industrijski-spionski interesovanje za AI portfolio — sva tri vektora imaju istog potencijalnog operatera kao plauzibilni single-target multi-asset scenario. |
| MacBook Pro M2 Pro (prethodna mašina) | Kompromitovan i pod aktivnim nadgledanjem. U periodu kompromitacije veštak je razvijao portfolio od 10 jedinstvenih AI-vođenih softverskih proizvoda. Veštak atribuira kompromitaciju interesovanju trećeg lica za poslovne ideje sadržane u tom portfoliu — što je hipoteza o motivu, ne tvrdnja o atribuciji aktera. Mašina više nije u operativnoj upotrebi. |
| MacBook Pro M4 Max (trenutna mašina) | Trenutno aktivna razvojna mašina; veštak je obavestio da je i ona kompromitovana. Specifična karakterizacija stanja kompromitacije (vektor, persistencija, observed actions) još nije završena u okviru ovog forenzičkog prolaza — prikazana akvizicija mašine zahteva nezavisan DFIR setup koji nije bio dostupan u prozoru izrade ovog izveštaja. |
| Relevantnost za predmet energetra.rs | Veštak je developer + tehnički staratelj energetra.rs estate-a od decembra 2023. do datuma ovog izveštaja. Kompromitacija developerske mašine predstavlja paralelni potencijalni put pristupa istom estate-u, nezavisno od cPanel intruzionog vektora dokumentovanog u §7C. Konkretno: svaki credential, OAuth token, SSH ključ, WebStorm projekat, source artifact, ili konfiguracioni fajl koji je u nekom trenutku bio na kompromitovanoj mašini je potencijalno observiran od strane aktera koji je dobio pristup mašini. Bez ulaženja u atribuciju, ovaj fakt proširuje legitimni opseg „šta je akter mogao da zna" iznad onoga što sami cPanel logovi pokazuju. Sajt energetraprodaja.rs (OpenCart) je u celosti razvijan na M2 Pro mašini i potom migriran sa nje na proizvodno okruženje — celokupan source je u tom periodu bio na mašini čija integritetna garancija sada nije održiva. |
| Granice ove izjave | Ova izjava je iskaz veštaka pod profesionalnom odgovornošću, dat u procesu izrade ovog forenzičkog izveštaja. Ona nije primarni dokaz iz energetra.rs maildir korpusa, nije podržana forenzičkim akvizicijom slika kompromitovanih mašina, i ne pretenduje na atribuciju aktera. Granice koje važe za interpretaciju: (1) bez slika M2 Pro / M4 Max, vremenska linija + IOC-i kompromitacija nisu dostupni za korelaciju sa energetra.rs vault-om; (2) hipoteza „isti akter za obe kompromitacije + cPanel" je plauzibilna ali ne dokazana — može biti potpuno različit operater, ili koincidentalna trostruka opasnost; (3) industrijska špijunaža vs. oportunistički credential-phish vs. ciljani lov na AI IP — sve tri hipoteze su ortogonalne ali ne-isključive, i nijedna nije isključena ovom izjavom. Veštak iznosi ovu izjavu zato što ćutanje o njoj predstavlja nepotpunost u prikazu pretnja-modela, ne zato što ona zameni primarni dokaz. |
| Operativna preporuka koja proizlazi iz ove izjave | Sve unose u macOS Keychain-u sa prefiksom `mailbox-viewer-recovery-energetra-*` (passphrase za šifrovanje sajta, Dovecot master, Roundcube DES, Mailtrap token, Turnstile secret, Anthropic API ključ, sparsebundle dešifrovanje, Roundcube DES) rotirati nakon predaje ovog dosijea — na čistoj mašini, sa novim vrednostima. Ponovno izgrađivanje sajta sa novim passphrase-om invaliduje SVE prethodno emitovane SSO JWT-ove i šifrovane bundle-ove (po dizajnu, kroz per-build cache-buster i fresh AES-derive salt). Pre stavljanja dosijea u Cloudflare Pages deployment putanju (vidi `AUDIT-CLOUDFLARE.md`), izvršiti rotaciju Cloudflare Access OTP, Turnstile keys, i DNS-tokena. Trenutne build-vrednosti pretpostaviti kao potencijalno observirane. |
Potpis veštaka
Dragutin Misiraca, vlasnik i tehnički direktor, CoreX AI SOFTWARE INNOVATIONS FZCO DMCC, Dubai, UAE. Datum: 2026-05-17. Mesto: Dubai, UAE. E-mail: dragutin91@proton.me. Ova izjava je sastavni deo forenzičkog dosijea o slučaju energetra.rs i čita se u kontekstu §1–§7F (vault-derived primarni dokazi). Veštak je svestan svoje profesionalne odgovornosti za istinitost prikazanog.
9. OWASP Top 10 mapiranje (sajt)
Statički sajt sledi OWASP smernice u meri u kojoj je to smisleno bez backenda. Kontrola pristupa ostvarena je šifrovanjem sadržaja u browseru; cena PBKDF2 derivacije ograničava brute-force napade.
| # | Risk | Mitigation in this site |
|---|---|---|
| A01 | Broken Access Control | All sensitive payloads encrypted at rest (AES-256-GCM). HTML chrome reveals only nav, headings, and the IOC freshness advisory. |
| A02 | Cryptographic Failures | AES-256-GCM authenticated encryption, 96-bit random IV per blob, 128-bit auth tag. Key via PBKDF2-SHA256 at 600,000 iterations with a random 128-bit salt. |
| A03 | Injection | Runtime JS uses only createElement / textContent — no innerHTML on data paths. CSP forbids inline scripts. |
| A04 | Insecure Design | Passphrase is out-of-band (macOS Keychain); never sits in the HTML, never transmitted. The website performs no network requests beyond fetching its own assets. |
| A05 | Security Misconfiguration | Strict Content-Security-Policy meta tag: default-src 'self', no inline scripts, no eval, frame-ancestors 'none', form-action 'none', object-src 'none'. X-Robots = noindex. |
| A06 | Vulnerable Components | Site runtime has zero npm dependencies. The build-time scanner uses only mailparser (MIT, actively maintained). All static assets are self-hosted. |
| A07 | Auth Failures | Minimum 12-char passphrase enforced. Exponential backoff between failed attempts. Inactivity timeout wipes the session key after 15 minutes. |
| A08 | Data Integrity Failures | AES-GCM is authenticated — a tampered ciphertext fails decryption rather than producing a corrupted result. The scanner script's SHA-256 is recorded in summary.txt for provenance. |
| A09 | Logging Failures | A static site cannot log. Out of scope; the underlying scanner and Dovecot do log to runtime/logs/. |
| A10 | SSRF | The site issues no outbound requests of any kind on this build — the Roundcube reachability probe is disabled because no local backend is reachable from a public origin. |
10. Pojmovnik
- ISO 9660
- Standard za format optičkih medija. Windows tretira .iso/.img fajlove kao virtuelni CD i automatski ih montira pri dvostrukom kliku — što napadači koriste da obiđu Mark-of-the-Web blokade na izvršivim fajlovima.
- BumbleBee
- Malver loader aktivan 2022. Koristio ISO kontejnere za isporuku payload-a. Vezan za TrickBot/Conti operatere.
- Pikabot
- Loader malver aktivan od kraja 2023, često smatran naslednikom Qakbot-a nakon FBI takedown-a u avgustu 2023. Koristi slične dostavne tehnike (ISO/IMG, OneNote, ZIP).
- DarkGate
- Komercijalni loader/RAT aktivan od 2023. Nasledio neke Qakbot kampanje.
- IOC (Indicator of Compromise)
- Mašinski-čitljiv pokazatelj zlonamerne aktivnosti: SHA-256 hash, domen, IP, URL.
- Magic byte
- Vodeći bajtovi fajla koji identifikuju pravi format bez obzira na ekstenziju. PE počinje sa MZ (0x4D 0x5A), ELF sa 0x7F ELF, ISO 9660 ima CD001 na ofsetu 0x8001.
- AES-256-GCM
- Simetrično autentifikovano šifrovanje sa 256-bitnim ključem. Galois/Counter Mode istovremeno šifruje i overava integritet — pokušaj dešifrovanja sa pogrešnim ključem ne daje validan ispis.
- PBKDF2-SHA256
- Funkcija za izvođenje ključa iz lozinke. 600.000 iteracija je OWASP 2023 preporuka — namerno spora kako bi brute-force napad bio neisplativ.
- Sparsebundle
- macOS encrypted disk image format, AES-256. Pohranjuje se kao folder sa band fajlovima što omogućava efikasniji backup.