HR-контакт Kyzylorda Tech (Айгерим Сапарова) получила во вторник копьё-фишинговое письмо на казахском языке. Письмо притворяется сообщением от рекрутингового партнёра и содержит вредоносное вложение.
Артефакт письма мы получили (скачай ниже). Твоя задача: атрибутировать оператора. Найди, где размещена их инфраструктура и какой у них другой домен.
Формат флага: flag{<домен_оператора>} — например flag{example.org}
Артефакт: phishing-email.eml — полное письмо с заголовками
Подсказка: заголовки рассказывают истории. Пассивный DNS, certificate transparency и ленивые атакующие, переиспользующие инфраструктуру — тоже.
Kyzylorda Tech-тің HR байланысы (Әйгерім Сапарова) сейсенбі күні қазақ тілінде найза-фишинг хаты алыпты. Хат рекрутингтік серіктестен жіберілгендей көрсетіліп, зиянды файл қосымшасы бар.
Хат артефактісі бізде бар (төменнен жүкте). Сенің міндетің: операторды анықтау. Олардың инфрақұрылымы қай жерде жатыр және басқа домені қандай — соны тап.
Жалаушаның форматы: flag{<оператор_домені>} — мысалы flag{example.org}
Артефакт: phishing-email.eml — толық хаттың тақырыпшаларымен бірге
Кеңес: хат тақырыптары әңгіме айтады. Пассивті DNS, certificate transparency және инфрақұрылымды қайта қолданатын жалқау шабуылшылар да солай.
flag{...}Платные подсказки. Открывайте, если действительно нужно. / Ақылы кеңестер. Шынымен қажет болса ашыңыз.
RU: Задача об анализе email: ответ в заголовках, а не в теле или вложении.
KK: Email-ді талдау туралы тапсырма: жауап тақырыпшаларда, мәтінде немесе тіркемеде емес.
RU: Не нужно открывать вложение, не нужно декодировать содержимое. Класс — анализ маршрута доставки и аутентификации отправителя (SPF/DKIM/Return-Path/Received).
KK: Тіркемені ашудың қажеті жоқ, мазмұнды декодтаудың қажеті жоқ. Класс — жеткізу маршрутын және жіберушінің аутентификациясын талдау (SPF/DKIM/Return-Path/Received).