対韓国サイバー攻撃、MBRだけでなくドライブも破壊 - 亜種4種類が確認される

セキュリティベンダーは、韓国の銀行やテレビ局がターゲットとなったサイバー攻撃に用いられたマルウェアの挙動について解析を進めている。

今回の攻撃では、マルウェアによりOSの起動に用いるマスターブートレコード（MBR）やシステム内部のファイルを破壊され、3月20日に銀行やテレビ局で大規模なシステムの停止に陥った。韓国のセキュリティベンダーが提供するセキュリティ対策ソフトを停止する機能が含まれていたことも判明している。

フォティーンフォティ技術研究所（FFRI）は、ファイル名が「ApcRunCmd.exe」の検体を入手。起動後の挙動について詳細を分析した。

同社では、攻撃発生直後の初動調査で「Cドライブ」に対し、7万回以上の異常な書き込み処理が行われることを確認していたが、その後の分析により、端末に接続されているローカルドライブを検出し、内容を改ざんする挙動が原因であることを突き止めた。

ドライブを改ざんしているため、「MBR」を回復するだけでは端末を復旧できない。くわえて検体は、実行前に特定のフォルダに「~v3.log」というファイルが存在するか確認しており、ドロッパーなど、他マルウェアの行動を確認している可能性もあるという。

また検体には、ネットワーク通信やレジストリの改ざん、自己複製などの機能が含まれていなかったことから、ファイルシステムの破壊を目的とした攻撃であると同社では分析している。

一方、シマンテックではドライブの破壊を行ったマルウェアについて、4種類の亜種が存在することを確認した。

4種類のうち3種類は実行可能ファイル、のこる1種類はDLLファイルとしてパッケージ化されており、2件は実行直後、のこる2件は今回障害が発生した2013年3月20日14時に攻撃をしかけるよう設定されていたという。

（Security NEXT - 2013/03/27 ）ツイート