6月25日と7月1日に発生した韓国へのサイバー攻撃をまとめてみた
Contents
6月25日はOpNorthKoreaとして北朝鮮のWebサイトがDoS攻撃を受けた一方、韓国でも複数のWebサイトが改ざんされる等の被害を受けています。ここでは韓国で発生したサイバー攻撃に関する情報をまとめます。
尚、OpNorthKoreaは以下でまとめています。
OpNorthKoreaをまとめてみた。 - piyolog
尚、これらまとめるにあたり今回のサイバー攻撃をいち早くトレースされていたnilnil氏(@nilnil26)のツイートを参考にさせて頂きました。ありがとうございます。
概要
2013年6月25日9時半頃から複数の政府系Webサイトやメディアの内部システムがダウンする事態が発生しました。韓国政府は一連の事象を何者かによるサイバー攻撃が原因であると推定し、合同調査チームによる詳細な原因究明にあたっています。また7月1日に複数のサイトが改ざんされる被害を受けました。
韓国へのサイバー攻撃の全体概要
|No||発生日||種類||被害対象||概要|
|1||6/25||HP改ざん||大統領府
|
国務調整室
他2サイト
|画像が埋め込まれる等トップページが改ざんされた。|
|2||6/25||(D)DoS||大田政府統合電算センター||DoS用マルウェアでBot化した端末から韓国政府関連のDNSサーバーがDoS攻撃を受け、政府サイトへの接続障害が発生した。|
|3||6/25||情報漏えい||大統領府
|
国防部
セヌリ党
米軍
|政府サイトから入手したと思われる会員、党員、軍関係者の個人情報のリスト30万人分以上が外部サーバーに掲載された。|
|4||6/25||システム停止||毎日新聞
|
大邱日報
|何らかの攻撃を受けたことにより記事送稿システムが停止した。
|
(Wipeするマルウェアの被害を受けた可能性)
|5||6/25||HP改ざん||日刊ベストストア||HPの一部コンテンツが改ざんされた。|
|6||6/25||HP改ざん
|
(D)DoS
|日刊ベストストア
|
ハバン
大統領府
国家情報院
セヌリ党
|日刊ベストストアやハバンのHPが改ざんされ、閲覧するだけで大統領府、国家情報院、セヌリ党サイトへDoSを行うスクリプトが埋め込まれた。|
|7||7/01||HP改ざん||国内30サイト以上||画像が埋め込まれる等トップページが改ざんされた。|
|8||7/01||マルウェア拡散||グループウェアを利用する一部の企業(詳細不明)||グループウェアにiFrame経由でマルウェアが仕込まれ、それを利用する企業がHPの改ざん被害を受けた。|
|9||7/01||DoS||今日のユーモア||約40GpbsのDoS攻撃を受け接続障害が発生した。7/2現在も攻撃を受けている模様。|
時系列まとめ
|06/25||9時10分頃||大統領府や国務調整室のサイトがサイバー攻撃を受け、トップ画面が改ざんされた。|
|10時頃||大統領府サイトで金正恩の要求に関するメッセージが10分間表示された。|
|10時頃||大統領府サイトがシステム緊急点検が始まりアクセス不可になった。|
|10時半頃||新聞2社が使用する記事送稿システムが使用不可となった。*1|
|10時45分||政府はサイバー危機「関心」警報(5段階中2段階目)を発令*2 *3|
|10時45分||軍は情報作戦防護体制(INFOCON)を準備体制段階である4へ一段階格上げ。*4|
|11時半||セヌリ党のサイトがサイバー攻撃を受けアクセス不可になった。|
|11時50分頃||政府合同調査チームが被害組織を対象にした原因調査に着手。メディア・放送局へセキュリティ強化を要請。|
|午前中||毎日新聞、大邱日報の新聞二社の記事作成・送信システムが接続不可能に。|
|午前中||大統領府サイトが掲示板や会員向け機能等部分的停止をした上で再開。|
|午前中||警察がサイバー攻撃を受けた新聞社へ捜査員を派遣。*5|
|14時41分||保健福祉部のWebサイトがサービス停止した。*6|
|15時半頃||大統領府サイトで緊急復旧作業が行われ正常状態に復旧。|
|午後?||未来創造科学部、安全行政部、国防部、国家情報院等参加によるサイバー危機評価会が開催された。|
|15時40分||政府はサイバー危機を「注意」(5段階中3段階目)へ警報段階を格上げ。*7|
|15時40分||保健福祉部のWebサイトがお詫びする内容へ表示へ変更された。|
|16時頃||日刊ベストストアで不正アクセスが行われ約1時間程度サイト上で障害が発生した。|
|17時30分||未来創造科学部戦略局長が単一組織による犯行の可能性を示唆。],聯合ニュース,2013/06/26アクセス:魚拓">*8|
|18時頃||日刊ベストストアでデータ改ざんが確認され、サービスを中断。|
|20時半||SimDiskのWebサイトが障害発生のためサービスを停止。*9|
|22時頃||一部サイトを除き接続障害が出ていたWebサイトが復旧。|
|6/26||未明||日刊ベストストアでサービス開始後からDoS攻撃が開始された。|
|9時頃||日刊ベストストアでサービスが再開。DoS攻撃は継続中。|
|17:26||KISAが今回のサイバー攻撃に使われたマルウェア専用のワクチンソフトを配布開始。*10 *11|
|6/27||午前中||インカインターネットがWiperマルウェアの存在を確認。|
|7/01||午前中||韓国内の複数のWebサイトが改ざんされた。|
|7/01||不明||「今日のユーモア」サイトがDoS攻撃を受け接続障害が発生した。|
被害を受けたWebサイト
今回のサイバー攻撃では複数の政府機関、政党、メディア(未来創造科学部によれば全16組織)が被害を受けたと報告しています。また、サーバーがダウンしたのは131台、DoS攻撃を受けたのは2か所、HPの改ざんは4か所であると未来創造科学部が発表したと報じられています。*14
- (1) 大統領府(青瓦台) president.go.kr
- トップ画面が改ざんされた。
- カテゴリーの名称が「Hacked by Anonymous.」に改ざんされた。*15
- 金正恩をたたえる文字「偉大な金正恩首領」が表示された。
- 10分間、別のメッセージ「統一大統領金正恩将軍様万歳! われわれの要求条件が実現するまで攻撃は続けられる」が表示された。また名前として「民主と統一を目指すアノニマスコリア」が表示された。さらに文章上部には朴大統領の写真が掲載された。
- 本物かは不明ながら与党(セヌリ党)の党員、大統領府サイトの会員、国防部の個人情報を閲覧できるリンクが表示された。(いずれも6月26日時点で掲載中。)
全部で20万件程度の個人情報リストが公開。*16
- ログファイルが改ざんされた。*17
- 大統領府サイトが被害を受けるのは2009年以来4年目。
- 改ざんされたトップページに掲載された画像
- (2) 国務調整室・首相秘書室 pmo.go.kr/pmo_web/main
- トップ画面が改ざんされた。
- (3) 安全行政部 www.mnd.go.kr
- Webサイトの接続障害が発生した。
- (4) 未来創造科学部
- Webサイトの接続障害が発生した。
- (5) 統一部
- Webサイトの接続障害が発生した。
- (6) 保健福祉部 www.mw.go.kr
- 「Service Temporarily Unavailable」と表示されWebサイトがダウンした。
- (7) セヌリ党
- (8) eトゥデイ www.etoday.co.kr
- Webサイトの接続障害が発生した。
- (9) スポーツ・ソウル www.sportsseoul.com
- Webサイトの接続障害が発生した。
- (10) 毎日(メイル)新聞 www.imaeil.com
- 記事作成・送信システムがダウンした。(大邱日報と同じシステムを利用。)
- (12) 日刊ベストストア(イルベ)www.ilbe.com
- サイバー攻撃ではなかったとされている同日接続不可になっていたサイト(いずれもアクセス過多による接続障害であり、DoS攻撃を受けた可能性があります。)
Webサイト改ざんを介して漏えいした個人情報
NSHCによれば下記6つの個人情報が流出したと報告しています。
- 米軍
- 25師団所属の個人情報 1万5千人
- 第3海兵師団の個人情報 1万人
- 第1機兵団を特定できる情報 1万5千人
6.25 サイバー攻撃の手口
今回のサイバー攻撃として現在確認されている手口は次の4つです。
- (1) マルウェアを用いたDNSサーバーへの大量リクエストを用いたDoS攻撃
- (2) 正規サイトへ悪性スクリプトを埋め込み、閲覧者を使って行われるWebサーバーへのDoS攻撃
- (3) Wiperマルウェアを用いたデータ破壊・削除
- (4) 政府Webサイトの改ざんによる示威行為
政府組織のWebサイトが相次いてアクセス不可となった理由はDNSサーバーへ行われたDoS攻撃によるものと考えられます。
またBot化する際に用いられたマルウェアは、ファイル共有サービス「SimDisk」のインストーラーファイル(SimDisk.exe)が2013年6月25日0時にマルウェアに置き換えられたものでした。自動更新機能を通じて正規サイトからマルウェアをダウンロードしたユーザーが被害を受けました。*19 BOT化した端末は2013年6月25日10時にC&Cサーバーより攻撃対象のサイトへDoSを行うように命令され、一部サイトが接続不可となったようです。
さらに今回のDoS攻撃はこのマルウェアによるものと悪性スクリプトを用いたものが混在していると報告しています。悪性スクリプトによるDoS攻撃とは、Webサイト(www.habang.co.kr)へアクセスするだけでDoS攻撃が自動的に行われるもので、今回の攻撃でも大統領府と国家情報院*20、セヌリ党のサイトへ行われていたとのことです。
また、ハードディスクを破壊するマルウェアの存在についてもインカインターネットやAhnLabが報告しています。このデータを破壊するマルウェアは報道機関等が影響を受けたことをKISAが認めたと報じられています。*21
検体名
- (1) DoSマルウェア
- TROJ_DIDKR.A (TrendMicro)
- Trojan.Castov,Trojan.Castdos (Symantec)
- Trojan/W32.KRDDoS (nProtect)
- Trojan/Win32.Ddkr,Trojan/Win32.XwDoor (AhnLab)
- (2) Wiperマルウェア
- TROJ_KORHIGH.A(TrendMicro)
- Trojan.Korhigh (Symantec)
- Trojan/Win32.Ddkr,Trojan/Agent.245760.OX (AhnLab)
特徴
- (1) DoSマルウェア
- (2) Wiperマルウェア
構成
|No||ファイル名||機能||Themida Packing||ファイルサイズ(byte)||MD5 Hash||VirusTotal|
|1||SimDisk_setup.exe
|
songsari_setup.exe
|SimDiskUp.exeと正規のSimDisk_setup.exeをドロップする。
|
自動更新対象となっていた正規のサーバー上のSimDisk_setup.exeを置き換えられたマルウェア。
|N/A||19,713,351
|
(SimDisk)
10.7MB
(songsari)
|d9e211d1e05b50e1021e55110298dff5
|
(SimDisk)
|20/43(2013-06-26 01:12:22 UTC)
|
(SimDisk)
|2||SimDiskUp.exe||ダウンローダー。通信先No.1のサーバーよりd.Jpg/c.jpgを取得する。||N/A||950,784||27838d9f0f1befd7af151f1b73ad7720||19/40(2013-06-26 05:37:47 UTC)|
|3||d.Jpg/c.jpg
|
(~SimDisk.exeに改名)
|ダウンローダー。画像拡張子だが実行形式ファイル。
|
No.5のダウンローダーやNo.6のTorの実行ファイルを展開する。
|○||3,396,096||98e0daafceb50d04828790cc344881d9||24/46(2013-06-28 07:25:34 UTC)|
|4||~E8536.bat||~simdisk.exe実行後に自信を削除する。||−||N/A||N/A||N/A|
|5||(ランダム).exe||Tor通信を行うモジュール。config.iniが付属。Torのバージョンは0.2.3.25||N/A||N/A||N/A||N/A|
|6||(ランダム).exe||通信先No.2のサーバーからsermgr.exeをTor経由で取得する。||○||N/A||N/A||N/A|
|7||sermgr.exe||~ER(ランダムな数字).tmpと~DR(ランダムな数字).tmpを展開する。
|
~ER(ランダムな数字).tmpはWindows Vista以降の場合作成する。
|N/A||4,383,232||d97aef01ac94d2c7654033caa707a59f||18/45(2013-06-26 06:14:05 UTC)|
|8||~ER(ランダムな数字).tmp||64bitWindowsにおいてUAC機能を無効化する。||N/A||215,048||N/A||N/A|
|9||~DR(ランダムな数字).tmp||ole(Windowsサービス名).dllを作成し、Windowsサービスとして登録する。||N/A||1,995,776(32bit)
|
146,170(64bit)
|0ff67e022fa9ce7056316ceff82a80a8(32bit)||12/46(2013-06-26 05:38:09 UTC)(32bit)|
|10||up.bat||~DR7.tmpが正常に実行された後に作成され2つの.tmpを削除する。||−||N/A||N/A||N/A|
|11||ole(Windowsサービス名).dll*22||通信先No.3のサーバーよりCT.jpgを取得し、特定の条件後wuauieop.exeを作成し実行する。||N/A||936,448||13b4617013f22f9eba25be0b6ab2a7a8||13/46(2013-06-27 05:10:19 UTC)|
|12||CT.jpg||DoS攻撃のタイムスタンプとなるデータ。||N/A||N/A||N/A||N/A|
|13||wuauieop.exe||大量のDNSリクエストを送出し、DNSサーバーへDoS攻撃を行う。||○||847,872||f60935e852d0c7bcffaa54dda15d009a||26/47(2013-06-26 05:42:17 UTC)|
- (2) Wiperマルウェア
|No||ファイル名||機能||Themida Packing||ファイルサイズ(byte)||MD5 Hash||VirusTotal|
|1||rdpshellex.exe||システム情報の送信、サービスの停止、デスクトップの変更、リネーム後ファイル削除・データ破壊・MBR破壊を行う。||N/A||245,760||0708a979a5c7c3a0450b7ddc37faead7||21/47(2013-07-02 17:45:35 UTC)|
|2||(ランダム).tmp.bat||ユーザーパスワードの変更を行う。||−||N/A||N/A||N/A|
|3||desktop_image001.bmp||デスクトップ変更に使われる画像ファイル。||−||N/A||N/A||N/A|
配布元・通信先
- (1) DoSマルウェア
- 配布元
- www.simdisk.co.kr/app/simdisk_setup.exe
- www.songsari.com
- 通信先
- No.1 www.habang.co.kr/images/korea/c.jpg(or d.Jpg)(211.196.153.24)
- No.2 Torで接続するサーバー(詳細不明)
- No.3 webmail.genesyshost.com/mail/
- 配布元
マルウェアを分析している組織による情報
- TrendMicro
- AhnLab
- hauri
- FireEye
この件を受けて韓国政府の対応
- サイバー危機警報のレベルを「注意」に変更。
- 政府合同調査チームによる被害組織を対象にした不正アクセスの原因、経路を調査するため、マルウェアを分析。
- 継続的なサイバー攻撃に備え、民間、政府組織に対し、インターネットに設置されたサーバーの脆弱性チェック、セキュリティ対策強化並びに被害発生時の速やかな通報を要請。
- マルウェアの通信先をを遮断。
- 個人情報が掲載されていた3か所のWebサイトを遮断。
7月1日に発生した複数のサイトにおけるHP改ざん
7月1日に韓国内の複数のサイトで画像が埋め込まれたり、メッセージが書き込まれるといった被害が発生しました。KISAの発表によれば30サイトが被害を受けたとのことで、INCAのレポートでも10サイトのURLがリストに掲載されています。具体的な改ざん方法、経緯は明らかとなっていませんが、インカによれば被害を受けたサイトが多数で在った理由はグループウェアを利用している一部の企業ではiFrame経由でマルウェアが送り込まれたためとの報告がされています。
[긴급]7.1 사이버전, 국내 주요 사이트 해킹 공격 받는 중 Update # …
尚、OpNorthKoreaは以下でまとめています。
OpNorthKoreaをまとめてみた。 - piyolog
尚、これらまとめるにあたり今回のサイバー攻撃をいち早くトレースされていたnilnil氏(@nilnil26)のツイートを参考にさせて頂きました。ありがとうございます。
概要
2013年6月25日9時半頃から複数の政府系Webサイトやメディアの内部システムがダウンする事態が発生しました。韓国政府は一連の事象を何者かによるサイバー攻撃が原因であると推定し、合同調査チームによる詳細な原因究明にあたっています。また7月1日に複数のサイトが改ざんされる被害を受けました。
韓国へのサイバー攻撃の全体概要
|No||発生日||種類||被害対象||概要|
|1||6/25||HP改ざん||大統領府
|
国務調整室
他2サイト
|画像が埋め込まれる等トップページが改ざんされた。|
|2||6/25||(D)DoS||大田政府統合電算センター||DoS用マルウェアでBot化した端末から韓国政府関連のDNSサーバーがDoS攻撃を受け、政府サイトへの接続障害が発生した。|
|3||6/25||情報漏えい||大統領府
|
国防部
セヌリ党
米軍
|政府サイトから入手したと思われる会員、党員、軍関係者の個人情報のリスト30万人分以上が外部サーバーに掲載された。|
|4||6/25||システム停止||毎日新聞
|
大邱日報
|何らかの攻撃を受けたことにより記事送稿システムが停止した。
|
(Wipeするマルウェアの被害を受けた可能性)
|5||6/25||HP改ざん||日刊ベストストア||HPの一部コンテンツが改ざんされた。|
|6||6/25||HP改ざん
|
(D)DoS
|日刊ベストストア
|
ハバン
大統領府
国家情報院
セヌリ党
|日刊ベストストアやハバンのHPが改ざんされ、閲覧するだけで大統領府、国家情報院、セヌリ党サイトへDoSを行うスクリプトが埋め込まれた。|
|7||7/01||HP改ざん||国内30サイト以上||画像が埋め込まれる等トップページが改ざんされた。|
|8||7/01||マルウェア拡散||グループウェアを利用する一部の企業(詳細不明)||グループウェアにiFrame経由でマルウェアが仕込まれ、それを利用する企業がHPの改ざん被害を受けた。|
|9||7/01||DoS||今日のユーモア||約40GpbsのDoS攻撃を受け接続障害が発生した。7/2現在も攻撃を受けている模様。|
時系列まとめ
|06/25||9時10分頃||大統領府や国務調整室のサイトがサイバー攻撃を受け、トップ画面が改ざんされた。|
|10時頃||大統領府サイトで金正恩の要求に関するメッセージが10分間表示された。|
|10時頃||大統領府サイトがシステム緊急点検が始まりアクセス不可になった。|
|10時半頃||新聞2社が使用する記事送稿システムが使用不可となった。*1|
|10時45分||政府はサイバー危機「関心」警報(5段階中2段階目)を発令*2 *3|
|10時45分||軍は情報作戦防護体制(INFOCON)を準備体制段階である4へ一段階格上げ。*4|
|11時半||セヌリ党のサイトがサイバー攻撃を受けアクセス不可になった。|
|11時50分頃||政府合同調査チームが被害組織を対象にした原因調査に着手。メディア・放送局へセキュリティ強化を要請。|
|午前中||毎日新聞、大邱日報の新聞二社の記事作成・送信システムが接続不可能に。|
|午前中||大統領府サイトが掲示板や会員向け機能等部分的停止をした上で再開。|
|午前中||警察がサイバー攻撃を受けた新聞社へ捜査員を派遣。*5|
|14時41分||保健福祉部のWebサイトがサービス停止した。*6|
|15時半頃||大統領府サイトで緊急復旧作業が行われ正常状態に復旧。|
|午後?||未来創造科学部、安全行政部、国防部、国家情報院等参加によるサイバー危機評価会が開催された。|
|15時40分||政府はサイバー危機を「注意」(5段階中3段階目)へ警報段階を格上げ。*7|
|15時40分||保健福祉部のWebサイトがお詫びする内容へ表示へ変更された。|
|16時頃||日刊ベストストアで不正アクセスが行われ約1時間程度サイト上で障害が発生した。|
|17時30分||未来創造科学部戦略局長が単一組織による犯行の可能性を示唆。],聯合ニュース,2013/06/26アクセス:魚拓">*8|
|18時頃||日刊ベストストアでデータ改ざんが確認され、サービスを中断。|
|20時半||SimDiskのWebサイトが障害発生のためサービスを停止。*9|
|22時頃||一部サイトを除き接続障害が出ていたWebサイトが復旧。|
|6/26||未明||日刊ベストストアでサービス開始後からDoS攻撃が開始された。|
|9時頃||日刊ベストストアでサービスが再開。DoS攻撃は継続中。|
|17:26||KISAが今回のサイバー攻撃に使われたマルウェア専用のワクチンソフトを配布開始。*10 *11|
|6/27||午前中||インカインターネットがWiperマルウェアの存在を確認。|
|7/01||午前中||韓国内の複数のWebサイトが改ざんされた。|
|7/01||不明||「今日のユーモア」サイトがDoS攻撃を受け接続障害が発生した。|
被害を受けたWebサイト
今回のサイバー攻撃では複数の政府機関、政党、メディア(未来創造科学部によれば全16組織)が被害を受けたと報告しています。また、サーバーがダウンしたのは131台、DoS攻撃を受けたのは2か所、HPの改ざんは4か所であると未来創造科学部が発表したと報じられています。*14
- (1) 大統領府(青瓦台) president.go.kr
- トップ画面が改ざんされた。
- カテゴリーの名称が「Hacked by Anonymous.」に改ざんされた。*15
- 金正恩をたたえる文字「偉大な金正恩首領」が表示された。
- 10分間、別のメッセージ「統一大統領金正恩将軍様万歳! われわれの要求条件が実現するまで攻撃は続けられる」が表示された。また名前として「民主と統一を目指すアノニマスコリア」が表示された。さらに文章上部には朴大統領の写真が掲載された。
- 本物かは不明ながら与党(セヌリ党)の党員、大統領府サイトの会員、国防部の個人情報を閲覧できるリンクが表示された。(いずれも6月26日時点で掲載中。)
全部で20万件程度の個人情報リストが公開。*16
- ログファイルが改ざんされた。*17
- 大統領府サイトが被害を受けるのは2009年以来4年目。
- 改ざんされたトップページに掲載された画像
- (2) 国務調整室・首相秘書室 pmo.go.kr/pmo_web/main
- トップ画面が改ざんされた。
- (3) 安全行政部 www.mnd.go.kr
- Webサイトの接続障害が発生した。
- (4) 未来創造科学部
- Webサイトの接続障害が発生した。
- (5) 統一部
- Webサイトの接続障害が発生した。
- (6) 保健福祉部 www.mw.go.kr
- 「Service Temporarily Unavailable」と表示されWebサイトがダウンした。
- (7) セヌリ党
- (8) eトゥデイ www.etoday.co.kr
- Webサイトの接続障害が発生した。
- (9) スポーツ・ソウル www.sportsseoul.com
- Webサイトの接続障害が発生した。
- (10) 毎日(メイル)新聞 www.imaeil.com
- 記事作成・送信システムがダウンした。(大邱日報と同じシステムを利用。)
- (12) 日刊ベストストア(イルベ)www.ilbe.com
- サイバー攻撃ではなかったとされている同日接続不可になっていたサイト(いずれもアクセス過多による接続障害であり、DoS攻撃を受けた可能性があります。)
Webサイト改ざんを介して漏えいした個人情報
NSHCによれば下記6つの個人情報が流出したと報告しています。
- 米軍
- 25師団所属の個人情報 1万5千人
- 第3海兵師団の個人情報 1万人
- 第1機兵団を特定できる情報 1万5千人
6.25 サイバー攻撃の手口
今回のサイバー攻撃として現在確認されている手口は次の4つです。
- (1) マルウェアを用いたDNSサーバーへの大量リクエストを用いたDoS攻撃
- (2) 正規サイトへ悪性スクリプトを埋め込み、閲覧者を使って行われるWebサーバーへのDoS攻撃
- (3) Wiperマルウェアを用いたデータ破壊・削除
- (4) 政府Webサイトの改ざんによる示威行為
政府組織のWebサイトが相次いてアクセス不可となった理由はDNSサーバーへ行われたDoS攻撃によるものと考えられます。
またBot化する際に用いられたマルウェアは、ファイル共有サービス「SimDisk」のインストーラーファイル(SimDisk.exe)が2013年6月25日0時にマルウェアに置き換えられたものでした。自動更新機能を通じて正規サイトからマルウェアをダウンロードしたユーザーが被害を受けました。*19 BOT化した端末は2013年6月25日10時にC&Cサーバーより攻撃対象のサイトへDoSを行うように命令され、一部サイトが接続不可となったようです。
さらに今回のDoS攻撃はこのマルウェアによるものと悪性スクリプトを用いたものが混在していると報告しています。悪性スクリプトによるDoS攻撃とは、Webサイト(www.habang.co.kr)へアクセスするだけでDoS攻撃が自動的に行われるもので、今回の攻撃でも大統領府と国家情報院*20、セヌリ党のサイトへ行われていたとのことです。
また、ハードディスクを破壊するマルウェアの存在についてもインカインターネットやAhnLabが報告しています。このデータを破壊するマルウェアは報道機関等が影響を受けたことをKISAが認めたと報じられています。*21
検体名
- (1) DoSマルウェア
- TROJ_DIDKR.A (TrendMicro)
- Trojan.Castov,Trojan.Castdos (Symantec)
- Trojan/W32.KRDDoS (nProtect)
- Trojan/Win32.Ddkr,Trojan/Win32.XwDoor (AhnLab)
- (2) Wiperマルウェア
- TROJ_KORHIGH.A(TrendMicro)
- Trojan.Korhigh (Symantec)
- Trojan/Win32.Ddkr,Trojan/Agent.245760.OX (AhnLab)
特徴
- (1) DoSマルウェア
- (2) Wiperマルウェア
構成
|No||ファイル名||機能||Themida Packing||ファイルサイズ(byte)||MD5 Hash||VirusTotal|
|1||SimDisk_setup.exe
|
songsari_setup.exe
|SimDiskUp.exeと正規のSimDisk_setup.exeをドロップする。
|
自動更新対象となっていた正規のサーバー上のSimDisk_setup.exeを置き換えられたマルウェア。
|N/A||19,713,351
|
(SimDisk)
10.7MB
(songsari)
|d9e211d1e05b50e1021e55110298dff5
|
(SimDisk)
|20/43(2013-06-26 01:12:22 UTC)
|
(SimDisk)
|2||SimDiskUp.exe||ダウンローダー。通信先No.1のサーバーよりd.Jpg/c.jpgを取得する。||N/A||950,784||27838d9f0f1befd7af151f1b73ad7720||19/40(2013-06-26 05:37:47 UTC)|
|3||d.Jpg/c.jpg
|
(~SimDisk.exeに改名)
|ダウンローダー。画像拡張子だが実行形式ファイル。
|
No.5のダウンローダーやNo.6のTorの実行ファイルを展開する。
|○||3,396,096||98e0daafceb50d04828790cc344881d9||24/46(2013-06-28 07:25:34 UTC)|
|4||~E8536.bat||~simdisk.exe実行後に自信を削除する。||−||N/A||N/A||N/A|
|5||(ランダム).exe||Tor通信を行うモジュール。config.iniが付属。Torのバージョンは0.2.3.25||N/A||N/A||N/A||N/A|
|6||(ランダム).exe||通信先No.2のサーバーからsermgr.exeをTor経由で取得する。||○||N/A||N/A||N/A|
|7||sermgr.exe||~ER(ランダムな数字).tmpと~DR(ランダムな数字).tmpを展開する。
|
~ER(ランダムな数字).tmpはWindows Vista以降の場合作成する。
|N/A||4,383,232||d97aef01ac94d2c7654033caa707a59f||18/45(2013-06-26 06:14:05 UTC)|
|8||~ER(ランダムな数字).tmp||64bitWindowsにおいてUAC機能を無効化する。||N/A||215,048||N/A||N/A|
|9||~DR(ランダムな数字).tmp||ole(Windowsサービス名).dllを作成し、Windowsサービスとして登録する。||N/A||1,995,776(32bit)
|
146,170(64bit)
|0ff67e022fa9ce7056316ceff82a80a8(32bit)||12/46(2013-06-26 05:38:09 UTC)(32bit)|
|10||up.bat||~DR7.tmpが正常に実行された後に作成され2つの.tmpを削除する。||−||N/A||N/A||N/A|
|11||ole(Windowsサービス名).dll*22||通信先No.3のサーバーよりCT.jpgを取得し、特定の条件後wuauieop.exeを作成し実行する。||N/A||936,448||13b4617013f22f9eba25be0b6ab2a7a8||13/46(2013-06-27 05:10:19 UTC)|
|12||CT.jpg||DoS攻撃のタイムスタンプとなるデータ。||N/A||N/A||N/A||N/A|
|13||wuauieop.exe||大量のDNSリクエストを送出し、DNSサーバーへDoS攻撃を行う。||○||847,872||f60935e852d0c7bcffaa54dda15d009a||26/47(2013-06-26 05:42:17 UTC)|
- (2) Wiperマルウェア
|No||ファイル名||機能||Themida Packing||ファイルサイズ(byte)||MD5 Hash||VirusTotal|
|1||rdpshellex.exe||システム情報の送信、サービスの停止、デスクトップの変更、リネーム後ファイル削除・データ破壊・MBR破壊を行う。||N/A||245,760||0708a979a5c7c3a0450b7ddc37faead7||21/47(2013-07-02 17:45:35 UTC)|
|2||(ランダム).tmp.bat||ユーザーパスワードの変更を行う。||−||N/A||N/A||N/A|
|3||desktop_image001.bmp||デスクトップ変更に使われる画像ファイル。||−||N/A||N/A||N/A|
配布元・通信先
- (1) DoSマルウェア
- 配布元
- www.simdisk.co.kr/app/simdisk_setup.exe
- www.songsari.com
- 通信先
- No.1 www.habang.co.kr/images/korea/c.jpg(or d.Jpg)(211.196.153.24)
- No.2 Torで接続するサーバー(詳細不明)
- No.3 webmail.genesyshost.com/mail/
- 配布元
マルウェアを分析している組織による情報
- TrendMicro
- AhnLab
- hauri
- FireEye
この件を受けて韓国政府の対応
- サイバー危機警報のレベルを「注意」に変更。
- 政府合同調査チームによる被害組織を対象にした不正アクセスの原因、経路を調査するため、マルウェアを分析。
- 継続的なサイバー攻撃に備え、民間、政府組織に対し、インターネットに設置されたサーバーの脆弱性チェック、セキュリティ対策強化並びに被害発生時の速やかな通報を要請。
- マルウェアの通信先をを遮断。
- 個人情報が掲載されていた3か所のWebサイトを遮断。
7月1日に発生した複数のサイトにおけるHP改ざん
7月1日に韓国内の複数のサイトで画像が埋め込まれたり、メッセージが書き込まれるといった被害が発生しました。KISAの発表によれば30サイトが被害を受けたとのことで、INCAのレポートでも10サイトのURLがリストに掲載されています。具体的な改ざん方法、経緯は明らかとなっていませんが、インカによれば被害を受けたサイトが多数で在った理由はグループウェアを利用している一部の企業ではiFrame経由でマルウェアが送り込まれたためとの報告がされています。
[긴급]7.1 사이버전, 국내 주요 사이트 해킹 공격 받는 중 Update # …