Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

対韓国サイバー攻撃、MBRだけでなくドライブも破壊 - 亜種4種類が確認される

セキュリティベンダーは、韓国の銀行やテレビ局がターゲットとなったサイバー攻撃に用いられたマルウェアの挙動について解析を進めている。

今回の攻撃では、マルウェアによりOSの起動に用いるマスターブートレコード(MBR)やシステム内部のファイルを破壊され、3月20日に銀行やテレビ局で大規模なシステムの停止に陥った。韓国のセキュリティベンダーが提供するセキュリティ対策ソフトを停止する機能が含まれていたことも判明している。

フォティーンフォティ技術研究所(FFRI)は、ファイル名が「ApcRunCmd.exe」の検体を入手。起動後の挙動について詳細を分析した。

同社では、攻撃発生直後の初動調査で「Cドライブ」に対し、7万回以上の異常な書き込み処理が行われることを確認していたが、その後の分析により、端末に接続されているローカルドライブを検出し、内容を改ざんする挙動が原因であることを突き止めた。

ドライブを改ざんしているため、「MBR」を回復するだけでは端末を復旧できない。くわえて検体は、実行前に特定のフォルダに「~v3.log」というファイルが存在するか確認しており、ドロッパーなど、他マルウェアの行動を確認している可能性もあるという。

また検体には、ネットワーク通信やレジストリの改ざん、自己複製などの機能が含まれていなかったことから、ファイルシステムの破壊を目的とした攻撃であると同社では分析している。

一方、シマンテックではドライブの破壊を行ったマルウェアについて、4種類の亜種が存在することを確認した。

4種類のうち3種類は実行可能ファイル、のこる1種類はDLLファイルとしてパッケージ化されており、2件は実行直後、のこる2件は今回障害が発生した2013年3月20日14時に攻撃をしかけるよう設定されていたという。

(Security NEXT - 2013/03/27 ) このエントリーをはてなブックマークに追加

PR

関連記事

脆弱な「Struts 2」サイトの探索行為 - ロシアの攻撃グループが関与か
アノニマスが日本の政府機関を攻撃すると宣言 - 大規模攻撃に発展するおそれも
ワシントンホテルやホテルグレイスリーなどの予約者情報が流出
委託先予約システムに不正アクセス、顧客情報12万件が流出 - プリンスホテル
米朝首脳会談の影響で韓国に対する攻撃が増加 - 周辺国関連組織が関与か
ルータのDNS改ざん攻撃、狙いはアジア圏? - 誘導元は韓国が最多
一部「無線LANルータ」でDNS設定の改ざん被害 - 誘導先でマルウェア配布
仮想通貨マイニングソフト狙うアクセスが増加 - アカウントリストを調査
札幌市関連サイトへ不正アクセス - 公開を一時中止
Flashゼロデイ攻撃、APTグループ「ScarCruft」関与か - EMETで回避可能