Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

韓国へのサイバー攻撃、メールによる標的型攻撃がきっかけか

韓国における複数のテレビ局や銀行で、マルウェアに起因する大規模なシステム障害が3月20日に発生した。マルウェアの侵入経路など詳しいことはわかっていないが、標的型攻撃メールが侵入経路となったとの見方が出ている。

トレンドマイクロでは、今回の攻撃で「なりすましメール」がマルウェア侵入のきっかけになったと推測。主要銀行から送信されたように偽装したメールを介し、ダウンローダーであるトロイの木馬「TROJ_DLDR.HB」が端末に侵入したという。

同トロイの木馬を通じ、さらに外部から別の不正ファイルをダウンロード。ネットワークの集中管理ツールを利用してネットワーク内のWindows端末に、マスターブートレコードなどを破壊する「TROJ_KILLMBR.SM」を配布したと見ている。

F-Secureも、3月21日にマルウェア検出サービス「VirusTotal」にアップロードされたアーカイブファイルに注目している。これはトレンドマイクロが指摘した「TROJ_DLDR.HB」と同一ファイルで、F-Secureもメールを利用した標的型攻撃の可能性を指摘する。

問題のファイルは、銀行関係者などが興味を持つ韓国語のファイル名で、タイムスタンプは、攻撃が表沙汰となる直前の3月17日。拡張子の偽装によるソーシャルエンジニアリングを行っていた。

内部のファイルを実行すると、外部からファイルを取得するしくみ。同社が確認した時点で、すでにアクセス先が無効であるなど危険性はなかったが、アクセスするURLの拡張子が画像ファイルでありながら、ダウンロード後はDLLファイルとして保存して、実行するよう設計されており、攻撃が隠蔽された可能性があると分析している。

(Security NEXT - 2013/03/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

札幌市関連サイトへ不正アクセス - 公開を一時中止
Flashゼロデイ攻撃、APTグループ「ScarCruft」関与か - EMETで回避可能
約5年前から続く国内企業へのサイバー攻撃「砂嵐大作戦」 - 海外政府が関与か
アクセスしただけで情報抜かれる偽サイト - サイバー攻撃の事前準備か
【Hacking Team問題】流出判明以前に日本へゼロデイ攻撃 - 内偵ツール利用か
成田国際空港のサイトが改ざん - メンテナンスを実施
アノニマスが日本の政府機関を攻撃すると宣言 - 大規模攻撃に発展するおそれも
キヤノンITSがトライポッドと提携、UTMの仮想アプライアンス版を販売
韓国政府関係機関やシンクタンク狙った標的型攻撃 - 北朝鮮による攻撃か
専門家「被害組織のシステムは9カ月前に掌握されていた」 - 韓国320サイバーテロ