Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

韓国へのサイバー攻撃、メールによる標的型攻撃がきっかけか

韓国における複数のテレビ局や銀行で、マルウェアに起因する大規模なシステム障害が3月20日に発生した。マルウェアの侵入経路など詳しいことはわかっていないが、標的型攻撃メールが侵入経路となったとの見方が出ている。

トレンドマイクロでは、今回の攻撃で「なりすましメール」がマルウェア侵入のきっかけになったと推測。主要銀行から送信されたように偽装したメールを介し、ダウンローダーであるトロイの木馬「TROJ_DLDR.HB」が端末に侵入したという。

同トロイの木馬を通じ、さらに外部から別の不正ファイルをダウンロード。ネットワークの集中管理ツールを利用してネットワーク内のWindows端末に、マスターブートレコードなどを破壊する「TROJ_KILLMBR.SM」を配布したと見ている。

F-Secureも、3月21日にマルウェア検出サービス「VirusTotal」にアップロードされたアーカイブファイルに注目している。これはトレンドマイクロが指摘した「TROJ_DLDR.HB」と同一ファイルで、F-Secureもメールを利用した標的型攻撃の可能性を指摘する。

問題のファイルは、銀行関係者などが興味を持つ韓国語のファイル名で、タイムスタンプは、攻撃が表沙汰となる直前の3月17日。拡張子の偽装によるソーシャルエンジニアリングを行っていた。

内部のファイルを実行すると、外部からファイルを取得するしくみ。同社が確認した時点で、すでにアクセス先が無効であるなど危険性はなかったが、アクセスするURLの拡張子が画像ファイルでありながら、ダウンロード後はDLLファイルとして保存して、実行するよう設計されており、攻撃が隠蔽された可能性があると分析している。

(Security NEXT - 2013/03/28 ) このエントリーをはてなブックマークに追加

PR

関連記事

脆弱な「Struts 2」サイトの探索行為 - ロシアの攻撃グループが関与か
アノニマスが日本の政府機関を攻撃すると宣言 - 大規模攻撃に発展するおそれも
ワシントンホテルやホテルグレイスリーなどの予約者情報が流出
委託先予約システムに不正アクセス、顧客情報12万件が流出 - プリンスホテル
米朝首脳会談の影響で韓国に対する攻撃が増加 - 周辺国関連組織が関与か
ルータのDNS改ざん攻撃、狙いはアジア圏? - 誘導元は韓国が最多
一部「無線LANルータ」でDNS設定の改ざん被害 - 誘導先でマルウェア配布
仮想通貨マイニングソフト狙うアクセスが増加 - アカウントリストを調査
札幌市関連サイトへ不正アクセス - 公開を一時中止
Flashゼロデイ攻撃、APTグループ「ScarCruft」関与か - EMETで回避可能