韓国へのサイバー攻撃、メールによる標的型攻撃がきっかけか
韓国における複数のテレビ局や銀行で、マルウェアに起因する大規模なシステム障害が3月20日に発生した。マルウェアの侵入経路など詳しいことはわかっていないが、標的型攻撃メールが侵入経路となったとの見方が出ている。
トレンドマイクロでは、今回の攻撃で「なりすましメール」がマルウェア侵入のきっかけになったと推測。主要銀行から送信されたように偽装したメールを介し、ダウンローダーであるトロイの木馬「TROJ_DLDR.HB」が端末に侵入したという。
同トロイの木馬を通じ、さらに外部から別の不正ファイルをダウンロード。ネットワークの集中管理ツールを利用してネットワーク内のWindows端末に、マスターブートレコードなどを破壊する「TROJ_KILLMBR.SM」を配布したと見ている。
F-Secureも、3月21日にマルウェア検出サービス「VirusTotal」にアップロードされたアーカイブファイルに注目している。これはトレンドマイクロが指摘した「TROJ_DLDR.HB」と同一ファイルで、F-Secureもメールを利用した標的型攻撃の可能性を指摘する。
問題のファイルは、銀行関係者などが興味を持つ韓国語のファイル名で、タイムスタンプは、攻撃が表沙汰となる直前の3月17日。拡張子の偽装によるソーシャルエンジニアリングを行っていた。
内部のファイルを実行すると、外部からファイルを取得するしくみ。同社が確認した時点で、すでにアクセス先が無効であるなど危険性はなかったが、アクセスするURLの拡張子が画像ファイルでありながら、ダウンロード後はDLLファイルとして保存して、実行するよう設計されており、攻撃が隠蔽された可能性があると分析している。
(Security NEXT - 2013/03/28 )
ツイート
PR
関連記事
LINEヤフーに韓国関連会社経由でサイバー攻撃 - 個人情報約44万件が流出
ECサイトがマルウェア感染、外部サイトへ誘導 - 韓国コスメ販売会社
個人情報流出の可能性示す痕跡を発見、最大対象件数を算出 - リニカル
英政府、ロシアによる東京五輪狙うサイバー攻撃を非難 - 米司法省は関係者を6人を訴追
不正アクセスで個人情報の削除被害 - 韓国農水産食品流通公社
脆弱な「Struts 2」サイトの探索行為 - ロシアの攻撃グループが関与か
アノニマスが日本の政府機関を攻撃すると宣言 - 大規模攻撃に発展するおそれも
ワシントンホテルやホテルグレイスリーなどの予約者情報が流出
委託先予約システムに不正アクセス、顧客情報12万件が流出 - プリンスホテル
米朝首脳会談の影響で韓国に対する攻撃が増加 - 周辺国関連組織が関与か
