Lima, 20 de febrero de 2021

La presente Alerta Integrada de Seguridad Digital corresponde a un análisis técnico periódico realizado por el
Comando Conjunto de las Fuerzas Armadas, el Ejército del Perú, la Marina de Guerra del Perú, la Fuerza Aérea
del Perú, la Dirección Nacional de Inteligencia, la Policía Nacional del Perú, la Asociación de Bancos del Perú y
la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en el marco del Centro Nacional de
Seguridad Digital.

El objetivo de esta Alerta es informar a los responsables de la Seguridad de la Información de las entidades
públicas y las empresas privadas sobre las amenazas en el ciberespacio para advertir las situaciones que
pudieran afectar la continuidad de sus servicios en favor de la población.

Las marcas y logotipos de empresas privadas y/o entidades públicas se reflejan para ilustrar la información que
los ciudadanos reciben por redes sociales u otros medios y que atentan contra la confianza digital de las
personas y de las mismas empresas de acuerdo a lo establecido por el Decreto de Urgencia 007-2020.

La presente Alerta Integrada de Seguridad Digital es información netamente especializada para informar a las
áreas técnicas de entidades y empresas. Esta información no ha sido preparada ni dirigida a ciudadanos.

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 Contenido
Troyano masslogger ......................................................................................................................................3
Watchdog: exponiendo una campaña de Criptojacking que ha estado en funcionamiento durante dos
años ...............................................................................................................................................................6
Ataque tipo defacement a página web peruana con dominio “edu.pe” ....................................................11
Nueva Botnet WatchDog, Servidores Windows y Linux ..............................................................................12
Índice alfabético ..........................................................................................................................................14

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe

Componente que reporta
Nombre de la alerta
Tipo de ataque
Medios de propagación
Código de familia
Clasificación temática familia
ALERTA INTEGRADA DE Fecha: 20-02-2021
SEGURIDAD DIGITAL N° 039 Página: 3 de 14
COMANDO OPERACIONAL DE CIBERDEFENSA DEL COMANDO CONJUNTO DE LAS FUERZAS
ARMADAS / GRUPO DE OPERACIONES EN EL CIBERESPACIO DE LA FUERZA AÉREA DEL
PERÚ
Troyano masslogger
Troyanos Abreviatura Troyanos
USB, disco, red, correo, navegación de Internet
C Código de subfamilia C02
Código malicioso
Descripción

1. Se tomó conocimiento de la empresa de seguridad Cisco Talos descubrió recientemente una campaña que utiliza una
variante del troyano Masslogger diseñada para recuperar y exfiltrar las credenciales de usuario de múltiples fuentes
como Microsoft Outlook, Google Chrome y mensajería instantánea.

Aparte del archivo adjunto inicial al correo electrónico, todas las etapas de los ataques no tienen archivos y solo ocurren
en la memoria volátil.

Esta campaña interesante que afecta a los sistemas Windows y se dirige a usuarios en Turquía, Letonia e Italia, aunque
campañas similares del mismo actor también se han dirigido a usuarios en Bulgaria, Lituania, Hungría, Estonia, Rumanía
y España en setiembre, octubre y noviembre 2020.

Aunque las operaciones del troyano Masslogger se han documentado previamente, encontramos que la nueva
campaña es notable por utilizar el formato de archivo HTML compilado para iniciar la cadena de infección. Este formato
de archivo se usa normalmente para los archivos de ayuda de Windows, pero también puede contener componentes
de script activos, en este caso JavaScript, que inicia los procesos del malware.

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 Masslogger es un ladrón de credenciales y registrador de teclas con la capacidad de exfiltrar datos a través de
protocolos SMTP, FTP o HTTP. Para los dos primeros, no se requieren componentes adicionales del lado del servidor,
mientras que la exfiltración a través de HTTP se realiza a través de la aplicación web del panel de control Masslogger.

Esta versión de Masslogger contiene la funcionalidad para apuntar y recuperar credenciales de las siguientes
aplicaciones:

• Cliente FTP FileZilla

• Cliente de mensajería Pidgin
• Discordia
• NordVPN
• panorama
• FoxMail
• Thunderbird
• FireFox
• Navegador QQ
• Navegadores basados en cromo (Chrome, Chromium, Edge, Opera, Brave)

2. Indicadores de Compromiso (IoC)

URLs:

• hxxp: // sinetcol [.] co / A7.jpg

• hxxp: // sinetcol [.] co / D7.jpg
• hxxp: // becasmedikal [.] com.tr/A5.jpg
• hxxp: / /risu[.]fi/D9.jpg - noviembrehxxp: // topometria [.] com.cy/A12.jpg
• hxxp: // bouinteriorismo [.] com / R9.jpg
• hxxp: // optovision [.] gr / 4B.jpg
• hxxp: / /hotelaretes[.]gr/V8.jpg
• hxxp: // jetfleet24 [.] com/T5.jpg
• hxxps: //www.med-star [.] gr / panel /? / login
• fxp : //med-start.gr

Mensajes en Correos:

• 54ca02b013e898be2606f964bc0946430a276de9ef478596a1d33cb6f806db8c
• 516d45fcbdbdc4526bdd0f6979fe3ad929b82e1fd31247c7891528703ac16131
• 1c0a17a11a4b64dbe6082be807309a3c447b4861ea56155c1bfcf4d072746d38
• 7c92e1befd1cc5fa4a253716ac8441f6e29a351b7e449d3b8ef171cb6181db8e
• 83c64bf1c919c5e6ce25633d0eff2b7cda5b93a210b60372d984f862933e0b4e
• E2c3ad4bedf9e6d1122d418e97dfb743b1559a5af99befabed5bb7c6164028a8
• 8129a86056aa28f2af87110bb25732b14b77f18a7c820d9bcf1adcd2c7d97a7a

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 Scripts:

• 742b9912f329c05296e2f837555dceea0ae3e06e80aa178a9127692d25e21479 (Batch file)

• 04910322c2e91d58e9ed3c5bcc3a18be1ba1b5582153184d1f5da3d9c42bac15 (CHM file)
• aac62b80b790d96882b4b747a8ed592f45b39ceadd9864948bb391f3f41d7f9f (CHM file)
• f946e1c690fc2125af4ad7d3d1b93c6af218a82d55a11a5a6ee5a9b04a763e7f (CHM file)
• 9cd7622ade7408c03e0c966738f51f74f884fbafdf3fe97edf4be374a7fb1d77 (CHM file)
• 5415bcc4bffa5191a1fac3ce3b11c46335d19f053f5d9d51a10f4ed77393ed82 (CHM file)

Cargadores de Powershell Ofuscado:

• 0eef444f062ea06340ca7ef300cb39c44a6cdf7ead2732bb885d79f098991cb8
• df929834de2b10efaa8b2cb67c71ae98508cfb79f22213ee24aedc38a962ccb5

Payload del Malware:

• 2487b12f52b803f5d38b3bb9388b039bf4f58c4b5d192d50da5fa047e9db828b

3. Recomendaciones:

• Que el encargado del área de informática realice el bloqueo de los IoC en los equipos de seguridad perimetral.
• Que se configuren los equipos de cómputo para registrar eventos de PowerShell, como la carga de módulos y los
bloques de scripts ejecutados.

Fuentes de información hxxps://blog.talosintelligence.com/2021/02/masslogger-cred-exfil.html

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe

Componente que reporta
Nombre de la alerta
Tipo de ataque
Medios de propagación
Código de familia
Clasificación temática familia
ALERTA INTEGRADA DE Fecha: 20-02-2021
SEGURIDAD DIGITAL N° 039 Página: 6 de 14
GRUPO DE OPERACIONES EN EL CIBERESPACIO – FUERZA AÉREA DEL PERÚ
Watchdog: exponiendo una campaña de Criptojacking que ha estado en funcionamiento
durante dos años
Malware Abreviatura Malware
USB, disco, red, correo, navegación de internet
C Código de subfamilia C02
Código malicioso
Descripción

1. Se tomó conocimiento que los investigadores de Unit 42 están exponiendo una de las operaciones de criptojacking de
Monero más grandes y duraderas que se conocen. La operación se llama WatchDog, tomado del nombre de un demonio
de Linux llamado watchdogd. La operación minera WatchDog ha estado en funcionamiento desde el 27 de enero de
2019 y ha recolectado al menos 209 Monero (XMR), valorados en alrededor de $ 32,056 USD. Los investigadores han
determinado que al menos 476 sistemas comprometidos, compuestos principalmente por instancias de nube de
Windows y NIX, han estado realizando operaciones de minería en cualquier momento durante más de dos años.

El cryptojacking es el proceso de realizar operaciones de criptominería en sistemas que no son propiedad ni están
mantenidos por los operadores de minería. Actualmente, se estima que las operaciones maliciosas de criptojacking
afectan al 23% de los entornos en la nube, frente al 8% en 2018. Este aumento se debe principalmente al aumento
meteórico en la valoración de las criptomonedas. Se anticipa que el mercado global de blockchain, la tecnología detrás
de la criptomoneda alcanzará los $ 60,7 mil millones para 2024, y las organizaciones criminales y los grupos de actores
están tratando de sacar provecho de esto.

El minero WatchDog se compone de un conjunto binario Go Language de tres partes y un archivo de script bash o
PowerShell. Los binarios realizan una funcionalidad específica, una de las cuales emula la funcionalidad del demonio
watchdogd de Linux al asegurar que el proceso de minería no se cuelgue, sobrecargue o finalice inesperadamente. El
segundo binario de Go descarga una lista configurable de rangos de red de direcciones IP antes de proporcionar la
funcionalidad de las operaciones de explotación específicas de los sistemas NIX o Windows identificados descubiertos
durante la operación de escaneo. Finalmente, el tercer script binario de Go iniciará una operación de minería en los
sistemas operativos (SO) Windows o NIX utilizando configuraciones personalizadas desde el script bash o PowerShell
iniciado. El uso de WatchDog de los binarios de Go le permite realizar las operaciones indicadas en diferentes sistemas
operativos utilizando los mismos binarios, es decir, Windows y NIX, siempre que la plataforma Go Language esté
instalada en el sistema de destino.

Los investigadores han trazado la infraestructura detrás de las operaciones mineras. Han identificado 18 puntos finales
de IP raíz y siete dominios maliciosos, que sirven al menos 125 direcciones URL maliciosas que se utilizan para descargar
su conjunto de herramientas.

WatchDog, por otro lado, no depende de un sitio de terceros para alojar su carga útil maliciosa, lo que le permite haber
permanecido activo durante más de dos años en el momento de escribir este artículo.

2. Indicadores de Compromiso (IoC)

IPs:
• 39.100.33[.]209
• 45.153.240[.]58
• 45.9.148[.]37
• 93.115.23[.]117
• 95.182.122[.]199
• 106.15.74[.]113

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 • 107.173.159[.]206
• 146.71.79[.]230
• 185.181.10[.]234
• 185.232.65[.]124
• 185.232.65[.]191
• 185.232.65[.]192
• 185.247.117[.]64
• 198.98.57[.]187
• 199.19.226[.]117
• 204.44.105[.]168
• 205.209.152[.]78
• 208.109.11[.]21

Dominios:
• de.gengine[.]com.de de.gsearch[.]com.de global.bitmex[.]com.de
• ipzse[.]com py2web[.]store sjjjv[.]xyz
• us.gsearch[.]com.de

URL:
• hxxp://107.173.159[.]206:8880/tatavx1hym9z928m/bsh.sh
• hxxp://107.173.159[.]206:8880/tatavx1hym9z928m/config.json
• hxxp://107.173.159[.]206:8880/tatavx1hym9z928m/sysupdate
• hxxp://107.173.159[.]206:8880/tatavx1hym9z928m/update.sh
• hxxp://146.71.79[.]230/363A3EDC10A2930DVNICE/config.json
• hxxp://146.71.79[.]230/363A3EDC10A2930DVNICE/networkservice
• hxxp://146.71.79[.]230/363A3EDC10A2930DVNICE/sysguard
• hxxp://146.71.79[.]230/363A3EDC10A2930DVNICE/sysupdate
• hxxp://146.71.79[.]230/363A3EDC10A2930DVNICE/update.sh
• hxxp://176.123.10[.]57/cf67356/config.json
• hxxp://176.123.10[.]57/cf67356/networkmanager
• hxxp://176.123.10[.]57/cf67356/newinit.sh
• hxxp://176.123.10[.]57/cf67356/phpguard
• hxxp://176.123.10[.]57/cf67356/zzh
• hxxp://185.181.10[.]234/E5DB0E07C3D7BE80V520/config.json
• hxxp://185.181.10[.]234/E5DB0E07C3D7BE80V520/networkservice
• hxxp://185.181.10[.]234/E5DB0E07C3D7BE80V520/sysguard
• hxxp://185.181.10[.]234/E5DB0E07C3D7BE80V520/sysupdate
• hxxp://185.181.10[.]234/E5DB0E07C3D7BE80V520/update.sh
• hxxp://185.232.65[.]124/update.sh
• hxxp://185.232.65[.]191/cf67356/config.json
• hxxp://185.232.65[.]191/cf67356/newinit.sh
• hxxp://185.232.65[.]191/cf67356/zzh
• hxxp://185.232.65[.]191/config.json
• hxxp://185.232.65[.]191/trace
• hxxp://185.232.65[.]191/update.sh
• hxxp://185.232.65[.]192/cf67356/networkmanager
• hxxp://185.232.65[.]192/cf67356/phpguard
• hxxp://185.232.65[.]192/config.json

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 • hxxp://185.232.65[.]192/trace
• hxxp://185.247.117[.]64/cf67356/config.json
• hxxp://185.247.117[.]64/cf67356/networkmanager
• hxxp://185.247.117[.]64/cf67356/newdat.sh
• hxxp://185.247.117[.]64/cf67356/phpguard
• hxxp://185.247.117[.]64/cf67356/phpupdate
• hxxp://198.98.57[.]187/config.json
• hxxp://198.98.57[.]187/trace
• hxxp://198.98.57[.]187/update.sh
• hxxp://204.44.105[.]168:66/config.json
• hxxp://204.44.105[.]168:66/networkmanager
• hxxp://204.44.105[.]168:66/newdat.sh
• hxxp://204.44.105[.]168:66/phpguard
• hxxp://204.44.105[.]168:66/phpupdate
• hxxp://205.209.152[.]78:8000/sysupdate
• hxxp://205.209.152[.]78:8000/update.sh
• hxxp://209.182.218[.]161:80/363A3EDC10A2930D/config.json
• hxxp://209.182.218[.]161:80/363A3EDC10A2930D/networkservice
• hxxp://209.182.218[.]161:80/363A3EDC10A2930D/sysguard
• hxxp://209.182.218[.]161:80/363A3EDC10A2930D/sysupdate
• hxxp://209.182.218[.]161:80/363A3EDC10A2930D/update.sh
• hxxp://39.100.33[.]209/b2f628/config.json
• hxxp://39.100.33[.]209/b2f628/newinit.sh
• hxxp://39.100.33[.]209/b2f628/zzh
• hxxp://39.100.33[.]209/b2f628fff19fda999999999/is.sh
• hxxp://45.153.240[.]58/N3DN0E09C5D9BU70V1720/config.json
• hxxp://45.153.240[.]58/N3DN0E09C5D9BU70V1720/networkservice
• hxxp://45.153.240[.]58/N3DN0E09C5D9BU70V1720/sysguard
• hxxp://45.153.240[.]58/N3DN0E09C5D9BU70V1720/sysupdate
• hxxp://45.153.240[.]58/N3DN0E09C5D9BU70V1720/update.sh
• hxxp://45.9.148[.]37/cf67356a3333e6999999999/1.0.4.tar.gz
• hxxp://45.9.148[.]37/cf67356a3333e6999999999/config.json
• hxxp://45.9.148[.]37/cf67356a3333e6999999999/is.sh
• hxxp://45.9.148[.]37/cf67356a3333e6999999999/networkmanager
• hxxp://45.9.148[.]37/cf67356a3333e6999999999/newdat.sh
• hxxp://45.9.148[.]37/cf67356a3333e6999999999/phpguard
• hxxp://45.9.148[.]37/cf67356a3333e6999999999/phpupdate
• hxxp://47.253.42[.]213/b2f628/config.json
• hxxp://47.253.42[.]213/b2f628/newinit.sh
• hxxp://47.253.42[.]213/b2f628/zzh
• hxxp://82.202.66[.]50/cf67356/config.json
• hxxp://82.202.66[.]50/cf67356/networkmanager
• hxxp://82.202.66[.]50/cf67356/newinit.sh
• hxxp://82.202.66[.]50/cf67356/phpguard
• hxxp://82.202.66[.]50/cf67356/zzh
• hxxp://83.97.20[.]90/cf67356/config.json
• hxxp://83.97.20[.]90/cf67356/networkmanager
• hxxp://83.97.20[.]90/cf67356/newinit.sh

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 • hxxp://83.97.20[.]90/cf67356/phpguard
• hxxp://83.97.20[.]90/cf67356/zzh
• hxxp://93.115.23[.]117/N3DN0E09C5D9BU70V1720/config.json
• hxxp://93.115.23[.]117/N3DN0E09C5D9BU70V1720/networkservice
• hxxp://93.115.23[.]117/N3DN0E09C5D9BU70V1720/sysguard
• hxxp://93.115.23[.]117/N3DN0E09C5D9BU70V1720/sysupdate
• hxxp://93.115.23[.]117/N3DN0E09C5D9BU70V1720/update.sh
• hxxp://95.182.122[.]199/E5DB0E07C3D7BE80V52/config.json
• hxxp://95.182.122[.]199/E5DB0E07C3D7BE80V52/networkservice
• hxxp://95.182.122[.]199/E5DB0E07C3D7BE80V52/Saltmin.sh
• hxxp://95.182.122[.]199/E5DB0E07C3D7BE80V52/sysupdate
• hxxp://95.182.122[.]199/init.sh
• hxxp://global.bitmex[.]com[.]de/cf67355a3333e6/config.json
• hxxp://global.bitmex[.]com[.]de/cf67355a3333e6/is.sh
• hxxp://global.bitmex[.]com[.]de/cf67355a3333e6/networkmanager
• hxxp://global.bitmex[.]com[.]de/cf67355a3333e6/newdat.sh
• hxxp://global.bitmex[.]com[.]de/cf67355a3333e6/phpguard
• hxxp://global.bitmex[.]com[.]de/cf67355a3333e6/phpupdate
• hxxp://py2web[.]store/7356a3333e6999999999/networkmanager
• hxxp://py2web[.]store/7356a3333e6999999999/phpguard
• hxxp://py2web[.]store/cf67356/config.json
• hxxp://py2web[.]store/cf67356/newinit.sh
• hxxp://py2web[.]store/cf67356/zzh
• hxxp://xmr.ipzse[.]com:66/bd.sh
• hxxp://xmr.ipzse[.]com:66/config.json
• hxxp://xmr.ipzse[.]com:66/is.sh
• hxxp://xmr.ipzse[.]com:66/networkmanager
• hxxp://xmr.ipzse[.]com:66/newdat.sh
• hxxp://xmr.ipzse[.]com:66/phpguard
• hxxp://xmr.ipzse[.]com:66/phpupdate
• hxxp://xmr.ipzse[.]com:66/rs.sh
• hxxps://de.gengine[.]com[.]de/api/config.json
• hxxps://de.gengine[.]com[.]de/api/networkservice
• hxxps://de.gengine[.]com[.]de/api/sysguard
• hxxps://de.gengine[.]com[.]de/api/sysupdate
• hxxps://de.gengine[.]com[.]de/api/update.sh
• hxxps://de.gsearch[.]com[.]de/api/config.json
• hxxps://de.gsearch[.]com[.]de/api/networkservice
• hxxps://de.gsearch[.]com[.]de/api/sysguard
• hxxps://de.gsearch[.]com[.]de/api/sysupdate
• hxxps://de.gsearch[.]com[.]de/api/update.sh
• hxxps://sjjjv[.]xyz/sysupdate
• hxxps://sjjjv[.]xyz/update.sh
• hxxps://us.gsearch[.]com[.]de/api/config.json
• hxxps://us.gsearch[.]com[.]de/api/networkservice
• hxxps://us.gsearch[.]com[.]de/api/sysguard
• hxxps://us.gsearch[.]com[.]de/api/sysupdate
• hxxps://us.gsearch[.]com[.]de/api/update.sh

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 Hash SHA256:
• 0a48bd0d41052c1e3138d558fc06ebde8d6f15b8d866200b8f00b214a73eb5b9
• 0c4aa6afd2a81fd15f3bd65adcbd4f649fbc58ef12dd2d528125435169555901
• 1f65569b77f21f47256db339700b4ff33b7570e44e1981b5c213b7b2e65b0f6c
• 2b52288383588f65803a5dc9583171103be79f0b196d01241b5cd3a8cf69b190
• 2eeac2b9577047a9eef2d164c13ace5e826ac85990a3a915871d6b0c2fc8fe67
• 2f642efdf56b30c1909c44a65ec559e1643858aaea9d5f18926ee208ec6625ed
• 37492d1897f77371f2eb431b9be7c861b81e97f04a091d8c6d63719171eda2ac
• 3ab7cf786eeb23ebd11e86e0fc48b0a9b37a427d5d730d774c9ed8d98a925c6f
• 43d7b29668786731f1bbbb3ae860487e84604195b186c1b7b253f99156d7f57a
• 49366ae4766492d94136ca1f715a37554aa6243686c66bf3c6fbb9da9cb2793d
• 51de345f677f46595fc3bd747bfb61bc9ff130adcbec48f3401f8057c8702af9
• 55c92d64ffa9d170e340e0528dc8ea1fa9be98f91db891869947c5b168a728c8
• 55dd539d8fe94648294e91df89b005f1dba330b432ceda25775963485bae7def
• 67d0f77adf98ac34a6db78110c78652a9b7f63e22ae5ab7df4f57d3413e48822
• 68cedf2a018c0830655dc9bb94aadf6492ab31196cbc83ceb44defae0a02d3dc
• 6a7109481e113fd92ff98534e780f47a32b64bfa5692f7bd7da33c84033a9028
• 758dbfda2b7d2e97caba294089c4c836ab447d7c9ceef510c667526fd873e161
• 80b1a70d7ec5d1944787afff3c2feac3aa40ec8c64177886481d96623bc786bf
• 818c16d1921572ffee6853c16c5c9158d2f217b6adbb5154cbb7daf945db493c
• 82815c61402cfc0edd6ce3be37848259711ef07e3391e74c85fbdaa676d95c0c
• 849f86a8fd06057eeb1ae388789881516239282dd4cb079b8281f995035874e1
• 895e994dafaa00009a46f3b56ca0d563e066a14e77f5030b1331fc9b3f9f6478
• 96fe63c25e7551a90051431aeddb962f05d82b7dd2940c0e8e1282273ba81e22
• a322dc6af6fed1326b04ec966e66b68dd8ef22374edd286569710afc65ccc741
• ac719447894b2f5029f493c7395d128f710a3ba7b31c199558f3ee00fb90ea12
• ad05d09e6ed4bd09fe1469e49885c5169458635a1a33f2579cb7caa221b43fce
• b6a5790a9bfaf159af68c4dbb09de9c2c0c2371c886fdb28223d40e6984b1dd7
• bd3506b86452d46d395b38aa807805097da1291c706318b5fe970fe4b20f5406
• c67881c1f05477939b8964ad26f1a467762a19c2c7d1a1656b338d8113ca1ac1
• c8ca3ab0ae00a1bf197086370ab5994264ac5bc1fcf52b2ddf8c9fcacc4402ff
• d54157bb703b360bb911363d9bb483a2ee00ee619d566d033a8c316f06cf26cc
• d6cf2d54e3bb564cb15638b58d2dd124ae7acd40e05af42d1bdc0588a8d5211d
• e3cbb08913493e54d74081349972423444cbc0f4853707b84409131d19cad15b
• e7446d595854b6bac01420378176d1193070ef776788af12300eb77e0a397bf7
• ed1e49cb05c375cc1149c349880ed077b6ee75cb7e5c6cae9cbd4bd086950c93

3. Recomendaciones:
Que el encargado del área de informática realice el bloqueo de los IoC en los equipos de seguridad perimetral.

Fuentes de información hxxps://blog.talosintelligence.com/2021/02/masslogger-cred-exfil.html

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 20-02-2021
SEGURIDAD DIGITAL N° 039 Página: 11 de 14
Componente que reporta COMANDANCIA DE CIBERDEFENSA DE LA MARINA DE GUERRA DEL PERÚ
Nombre de la alerta Ataque tipo defacement a página web peruana con dominio “edu.pe”
Destrucción o Alteración de la Información
Tipo de ataque Abreviatura DAIC
de Configuración
Medios de propagación Red, internet
Código de familia K Código de subfamilia K02
Clasificación temática familia Código malicioso
Descripción

1. El 18 de febrero de 2021, se detectó un ataque tipo defacement a un sitio web con dominio “edu.pe” perteneciente a
la Universidad de San Martín de Porres (Lima). Los ciberdelincuentes aprovechan el bajo nivel de seguridad de las
páginas web para realizar este tipo de ataque.

Fecha Página atacada Hacker Referencia

Universidad
de San
hxxps://revistagobiernoygestionpublica.usmp.edu.pe/public/site/
18/02/2021 KingSkrupellos Martín de
images/adminj/kingskrupellos.jpg
Porres
(Lima)

2. Recomendaciones:
• Elegir un proveedor confiable de Hosting para alojamiento del servicio web con servicios de seguridad (Sistema de
prevención de intrusos, FIREWALL, Firewall para Aplicaciones Web y base de datos).
• Adquirir un certificado de seguridad para proteger el sitio web.
• Realizar copias de seguridad del sitio web con frecuencia.
• Establecer contraseñas seguras para la administración del servicio web y base de datos, así como para los usuarios.
• Tener softwares actualizados.

Fuentes de información hxxps://blog.talosintelligence.com/2021/02/masslogger-cred-exfil.html

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 ALERTA INTEGRADA DE Fecha: 20-02-2021
SEGURIDAD DIGITAL N° 039 Página: 12 de 14
Componente que reporta DIRECCIÓN DE INTELIGENCIA DE LA POLICIA NACIONAL DEL PERÚ
Nombre de la alerta Nueva Botnet WatchDog, Servidores Windows y Linux
Tipo de ataque Botnets Abreviatura Virus
Medios de propagación IRC, USB, disco, red, correo, navegación de internet
Código de familia C Código de subfamilia C02
Clasificación temática familia Código malicioso
Descripción
1. Resumen:
A través del monitoreo y búsqueda de amenazas en el ciberespacio, se detectó que, en el sitio web “ZDNet”, se informa
sobre la detección de una nueva Botnet denominada WatchDog (escrito en el lenguaje de programación Go), dirigido
a servidores Windows y Linux. WatchDog, tiene como finalidad infectar, controlar los servidores y minar criptomonedas
en los dispositivos infectados.

2. Detalles de la Botnet WatchDog:

• Explota vulnerabilidades o software obsoleto que pueden tener los servidores Windows y Linux.
• Los actores de la amenaza utilizan 33 exploits diferentes para atacar 32 vulnerabilidades en software como:
o Drupal
o Elasticsearch
o Apache Hadoop
o Redis
o Spring Data Commons
o servidor SQL
o ThinkPHP
o Oracle WebLogic y CCTV.

• Utiliza muchas más direcciones de Monero para recopilar sus Fondos ilegales de criptominería.
• En su ejecución los actores de la amenaza, obvian el robo de credenciales de los sistemas comprometidos.
• Los servidores infectados por WatchDog, generalmente se ejecuta con privilegios de administrador, lo que podría
permitir a los ciberdelincuentes realizar un escaneo y volcado de credenciales sin ninguna dificultad, si los atacantes
cibernéticos alguna vez quisieran.

• Imagen. Países afectados por la Botnet WatchDog.

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 3. Indicadores de compromiso (IoC).
• Archivos analizados:
o Nombre: newinit.sh
o Tipo: desconocido
o Tamaño: 38.29 KB (39208 bytes)
o MD5: a03a4716a27b743bdade116a59e07326
o SHA-1: 9d2277f6b598fc379017dc6ed10a16ef66bdffe3
o SHA-256: 849f86a8fd06057eeb1ae388789881516239282dd4cb079b8281f995035874e1

o Nombre: newinit.sh
o Tipo: Shell script
o Tamaño: 38.29 KB (39210 bytes)
o MD5: ae1f17d7d197beeb810e334e7528aeab
o SHA-1: dd6dee271bb689671a125c254397a4eb2a5f21e3
o SHA-256: a322dc6af6fed1326b04ec966e66b68dd8ef22374edd286569710afc65ccc741

4. Recomendaciones
• Mantener en todo momento los sistemas y dispositivos actualizados.
• Corregir todo tipo de problemas en los dispositivos, que pudieran ser explotados por los piratas informáticos.
• Concientizar y capacitar sobre medidas de ciberseguridad.
• Usar copias o respaldo de seguridad.

hxxps://www.zdnet.com/article/windows-and-linux-servers-targeted-by-new-watchdog-
Fuentes de información
botnet-for-almost-two-years/

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe
 Página: 14 de 14

Índice alfabético

botnet .............................................................................................................................................................................. 13
Botnets............................................................................................................................................................................. 12
Código malicioso ................................................................................................................................................ 3, 6, 11, 12
exploits ............................................................................................................................................................................ 12
hxxp ....................................................................................................................................................................... 4, 7, 8, 9
IRC, USB, disco, red, correo, navegación de internet ...................................................................................................... 12
malware ............................................................................................................................................................................. 3
Malware ......................................................................................................................................................................... 5, 6
Red, internet .................................................................................................................................................................... 11
redes sociales..................................................................................................................................................................... 1
servidor ........................................................................................................................................................................ 4, 12
servidores ........................................................................................................................................................................ 12
software ........................................................................................................................................................................... 12
Troyanos ............................................................................................................................................................................ 3
URL ................................................................................................................................................................................. 6, 7
USB, disco, red, correo, navegación de internet ............................................................................................................... 6

CNSD│Centro Nacional de Seguridad Digital www.gob.pe

pecert@pcm.gob.pe