Ataque APT desconocido en Guatemala

Los ataques informáticos han alcanzado proporciones alarmantes, desencadenando una crisis global de ciberseguridad que afecta a empresas, organizaciones gubernamentales y usuarios individuales en todo el mundo.

En las últimas semanas, se ha observado un aumento vertiginoso en la cantidad de ataques ciberneticos, en la región, una forma de malware que cifra los archivos de las víctimas y exige un rescate a cambio de la clave de descifrado. Estos ataques afectan a una amplia variedad de sectores, desde la atención médica hasta la industria manufacturera, dejando a las organizaciones paralizadas y causando estragos en la economía digital.

Recientemente se descubrió un ataque ATP Desconocido en Guatemala.

El ataque afecto plataformas críticas. Se observo que el vector de Initial Access (TA0001), se dio al vulnerar una aplicación web publica, en la cual se instaló un WebShell, llamada reGeorg.

Las vulnerabilidades informáticas en aplicaciones publicadas sin parchear representan una seria amenaza, ya que los atacantes pueden detectar las falencias de estas aplicaciones, ya que las vulnerabilidades más conocidas se encuentran de manera pública en internet.

Las consecuencias de no abordar las vulnerabilidades informáticas son significativas. Los ataques pueden variar desde la manipulación de datos hasta la toma de control completa de un sistema. Además, los datos sensibles, como información personal, financiera o empresarial, pueden quedar expuestos, lo que pone en riesgo la privacidad y la confianza de los usuarios. La gestión adecuada de parches y actualizaciones es esencial para mitigar estas amenazas.

ReGeorg, el cual es utilizado para pivotear e intentar llegar a otros servicios o servidores de la red interna. Para ello se suele realizar un túnel para reenviar tráfico TPC sobre HTTP. ReGeorg (llamada reDuh hasta 2014), levanta un Proxy SOCKS4/5, y utiliza el módulo urlib3

La técnica de reGeorg se basa en el uso de un script JavaScript (regeorg.js) que se inyecta en una página web. El script permite establecer una conexión de ida y vuelta a través del firewall, gracias al uso de técnicas de tunelización HTTP. Esto significa que el tráfico se envía como solicitudes y respuestas HTTP legítimas, lo que facilita su paso a través de firewalls y sistemas de filtrado que solo permiten tráfico HTTP.

Cuando ya se ha establecido la conexión entre la máquina del atacante y el servidor objetivo, el atacante puede utilizar una herramienta, como proxychains, para pivotar su tráfico a través de la red del servidor.

Proxychains es una herramienta que permite enrutar el tráfico de red a través de múltiples proxies de forma transparente. El atacante configura proxychains para usar el túnel establecido con reGeorg como proxy, de modo que puede acceder a otros sistemas dentro de la red restringida a través del servidor objetivo.

Algunos de los IOCs detectados en el análisis son:

Archivos usados para respaldar las operaciones de reGeorge

Direcciones IP: