CSIRT-GNA

Equipo de Respuesta a Incidentes de Seguridad Informática

de la Gendarmería Nacional Argentina

23/02/2021 INFORME CSIRT-GNA

Tipo de Novedad:
INFORME INTERNO RESUMEN GENERAL

Resumen: El presente documento fue confeccionado con el fin de interiorizar al Director

Informe por parte del
CSIRT-GNA. del CSIRT-GNA, sobre una campaña de “SPAM” recepcionados por usuarios
Destinatarios: del dominio Institucional, desde el remitente “mariam.hector@hgdc.gob.ec”.
CSIRT-GNA

Remitente:
CSIRT-GNA DESARROLLO
Criticidad:
Para la obtención y tratamiento de la información se utilizaron las siguientes

ALTA herramientas:

Impacto: • Mail header analysis

ALTA • Fuente de Inteligencia “TALOS” de la empresa CISCO

Clasificación:
• Buscador “BING”
RESERVADO

INFORMACIÓN SOBRE EL DOMINIO “HGDC.GOB.EC”

Se realizaron búsquedas en el buscador web denominado “BING” para la

obtención de información sobre el dominio y que servicios web estaban
relacionadas a la IP publica (190.152.46.226) relacionada al domino.

El dominio está relacionado al “HOSPITAL GENERAL DOCENTE CALDERÓN”

ubicado en la Republica de ECUADOR.

Gendarmería Nacional - Equipo de Respuesta a Incidentes de Seguridad Informática

Línea telefónica disponible Av. Antártida Argentina N.º csirt@gendarmeria.gob.ar

las 24 horas, los 365 días del 1480, C.A.B.A. (C.P. 1104),
año: +54 11 4114-3646 República Argentina.
23/02/2021 CSIRT-GNA Pág.02

(Imagen de la Web relacionada al dominio “hgdc.gob.ec”)

Mediante las búsquedas realizadas se determinó que la antes mencionada

dirección IP tenia un servicio web relacionado, denominado “Zimbra” el cual se
trata de un servicio de correo, que en este caso se encuentra indexado
públicamente por el buscador.

(Imagen de la búsqueda realizada en el buscador “BING”)

23/02/2021 CSIRT-GNA Pág.03

Por la información obtenida posiblemente el vector de ataque relacionada a la

campaña de “SPAM” pudo realizarse por medio de un acceso no autorizado en
el servicio expuesto públicamente.

(Portal de acceso al servicio “Zimbra”)

ANÁLISIS DEL MENSAJE RECIBIDO

El mensaje recepcionado contó con el siguiente formato:

(Formato del Mensaje recepcionado desde “mariam.hector@hgdc.gob.ec”)

El cual dentro de su contenido contenía un link

“https://webcomune.weebly.com/”, el cual una vez ingresado nos enviaba al
siguiente formulario apócrifo:
23/02/2021 CSIRT-GNA Pág.04

(Imagen del formulario apócrifo)

Mediante por lo cual se procedió a identificar el host del formulario, determinado

que el mismo se trataba del servicio de hosting “Weebly”, por lo que se realizo
el reporte correspondiente en la sección de abuso destinado a informar este
tipo de comportamientos, constatando de este modo que la url y el formulario
fueron dados de baja.

(Imagen de la URL maliciosa caída)

23/02/2021 CSIRT-GNA Pág.05

ANEXO TÉCNICO

Se anexa información resultante de la utilización de las herramientas “Mail

header análisis” y “TALOS” de la empresa Cisco respectivamente.