Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

対韓国サイバー攻撃、MBRだけでなくドライブも破壊 - 亜種4種類が確認される

セキュリティベンダーは、韓国の銀行やテレビ局がターゲットとなったサイバー攻撃に用いられたマルウェアの挙動について解析を進めている。

今回の攻撃では、マルウェアによりOSの起動に用いるマスターブートレコード(MBR)やシステム内部のファイルを破壊され、3月20日に銀行やテレビ局で大規模なシステムの停止に陥った。韓国のセキュリティベンダーが提供するセキュリティ対策ソフトを停止する機能が含まれていたことも判明している。

フォティーンフォティ技術研究所(FFRI)は、ファイル名が「ApcRunCmd.exe」の検体を入手。起動後の挙動について詳細を分析した。

同社では、攻撃発生直後の初動調査で「Cドライブ」に対し、7万回以上の異常な書き込み処理が行われることを確認していたが、その後の分析により、端末に接続されているローカルドライブを検出し、内容を改ざんする挙動が原因であることを突き止めた。

ドライブを改ざんしているため、「MBR」を回復するだけでは端末を復旧できない。くわえて検体は、実行前に特定のフォルダに「~v3.log」というファイルが存在するか確認しており、ドロッパーなど、他マルウェアの行動を確認している可能性もあるという。

また検体には、ネットワーク通信やレジストリの改ざん、自己複製などの機能が含まれていなかったことから、ファイルシステムの破壊を目的とした攻撃であると同社では分析している。

一方、シマンテックではドライブの破壊を行ったマルウェアについて、4種類の亜種が存在することを確認した。

4種類のうち3種類は実行可能ファイル、のこる1種類はDLLファイルとしてパッケージ化されており、2件は実行直後、のこる2件は今回障害が発生した2013年3月20日14時に攻撃をしかけるよう設定されていたという。

(Security NEXT - 2013/03/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

札幌市関連サイトへ不正アクセス - 公開を一時中止
Flashゼロデイ攻撃、APTグループ「ScarCruft」関与か - EMETで回避可能
約5年前から続く国内企業へのサイバー攻撃「砂嵐大作戦」 - 海外政府が関与か
アクセスしただけで情報抜かれる偽サイト - サイバー攻撃の事前準備か
【Hacking Team問題】流出判明以前に日本へゼロデイ攻撃 - 内偵ツール利用か
成田国際空港のサイトが改ざん - メンテナンスを実施
アノニマスが日本の政府機関を攻撃すると宣言 - 大規模攻撃に発展するおそれも
キヤノンITSがトライポッドと提携、UTMの仮想アプライアンス版を販売
韓国政府関係機関やシンクタンク狙った標的型攻撃 - 北朝鮮による攻撃か
専門家「被害組織のシステムは9カ月前に掌握されていた」 - 韓国320サイバーテロ