2013年3月20日、韓国の政府機関および主要企業が大規模な攻撃を受け、被害を受けた組織の業務に大きな障害を引き起こしました。今回の事例は、複数のコンピュータの画面が真っ暗になる一方で、他のコンピュータでは頭蓋骨や”warning(警告)”の画像が表示されることが発端となりました。
弊社では、今回の攻撃に関連する複数の検体(「TROJ_INJECTO.BDE」として検出)を入手。この「TROJ_INJECTO.BDE」が、今回の攻撃において、主要な不正活動を実行する役割を担っています。この不正プログラムは、「マスター・ブート・レコード(MBR)」を「HASTATI.」や「PRINCPES」という文字列で上書きします。MBRは、通常、オペレーティングシステム(OS)を正常に起動させる際に必要な情報を保有しています。そしてこの不正プログラムは、自動的に感染コンピュータを再起動させ、コンピュータが再起動されると、破壊されたMBRが原因となり、感染コンピュータは起動できなくなります。
MBRを狙う不正活動自体は目新しいものではなく、これは、感染ユーザがサイバー犯罪者に金銭を支払うまで感染端末をロックさせる「身代金要求型不正プログラム(ランサムウェア)」という不正プログラムにはよく見られる不正活動となります。こうしたMBRへの攻撃は、感染コンピュータの復旧を困難かつ長期化させることになります。
なお、同時期に、他の攻撃も韓国を襲いました。主要な電子機器企業のWebサイトが書き換えられる被害に遭いました。また、複数の銀行のWebサイトも改ざんされ、閲覧者の端末にバックドア型不正プログラムを侵入させるエクスプロイトコードが挿入されていました。これら一連の攻撃の関連性を示す証拠は、現時点ではなく、同時期に発生したのは単なる偶然の可能性もあります。
トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「Webレピュテーション」技術により、関連のWebサイト へのアクセスがブロックされます。また、「ファイルレピュテーション」技術により、関連不正プログラムを検出し、削除します。また、「TROJ_INJECTO.BDE」など関連不正プログラムは、OPR 9.801.00 より検出対応しています。
トレンドマイクロでは、今回の攻撃に関する調査を継続中で、必要に応じてより詳細な情報を公開いたします。
参考記事:
by Trend Micro
翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)