【概要】
■発生時刻
- 2013/03/20(水) 14:00頃から異常が発生
- 新韓銀行と農協銀行、済州銀行で14:20頃、ネットワークの遮断が発生
- 農協は、ソウル本店と複数の支店で14:15頃、数台のコンピューターがフリーズ
■対象組織
■被害状況
- 放送局ではパソコン数百台が起動できない状態に
- 農協のメーンサーバーに問題は発生しなかった
- パソコン3万2000台が被害を受けた
■原因
- マルウェアによる攻撃
■マルウェア等の解析
- マスターブートレコード(MBR)の一部の領域が破壊され、システムが正常に起動されない
- ラテン語で「第一列兵」「第二列兵」という言葉で上書き
- PRINCPES(第一列兵) (古代ローマの皇帝という説も)
- HASTATI(第二列兵) (ローマ軍の下級兵士という説も)
- マルウェアは、2013年3月20日14時に動作するようスケジューリング
- アクセス元は 「101.106.25.105」(農協内のIPアドレス)
- バックドア経由でほかのマルウェアをダウンロードさせる「ドロッパ」と複数のファイル破壊型マルウェアで構成(アンラボ)
- 韓国製アンチウイルス製品「pasvc.exe(=アンラボ)」「clisvc.exe(=ハウリ)」を、作動不能にするコマンドが実行
■対策状況
- 官民軍の合同組織「サイバー危機対策本部」を設置 (03/20)
- サイバー危機に関する警報として5段階中3番目に相当する「注意」を発令 (03/20)
- 韓国国防省は、情報作戦の防護体制(INFOCON)を5段階中のレベル4からレベル3へと引き上げ (03/20)
■参考情報
- 異常が発生した放送局などはいずれも同一企業の通信システム(LG U+)を使用
■解析情報
◆韓国の銀行、メディアに対するサイバー攻撃事件について (McAfee, 2013/03/21)
http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1358
◆South Korean Banks and Broadcasting Organizations Suffer Major Damage from Cyber Attack (Symantec, 2013/03/21)
http://www.symantec.com/connect/blogs/south-korean-banks-and-broadcasting-organizations-suffer-major-damage-cyber-attack
◆韓国への大規模サイバー攻撃、マスターブートレコードを復旧困難にさせる攻撃などを確認 (Trendmicro, 2013/03/21)
http://blog.trendmicro.co.jp/archives/6911
◆マスターブートレコードを破壊する韓国企業へのサイバー攻撃、その全体像と教訓とは? (Trendmicro, 2013/03/22)
http://blog.trendmicro.co.jp/archives/6923
■ブログ
◆3/20 韓国同時多発サイバー攻撃について (セキュリティは楽しいかね? Part 2, 2013/03/22)
http://negi.hatenablog.com/entry/2013/03/22/123529
◆2013年3月に発生した韓国へのサイバー攻撃をまとめてみた。 (piyolog, 2013/03/23)
http://d.hatena.ne.jp/Kango/20130323/1363986809
【インディケータ情報】
■マルウェア情報(ApcRunCmd.exe)
| MD5 | db4bbdc36a78a8807ad9b15a562515c4 |
| SHA1 | 309af225ac59e1d2ffaada11e09f5715bce16c1e |
| SHA256 | d7a71f83d576fdf75e7978539bac04ad8b6605207b29379b89c24c0d0f31da61 |
| SHA512 | |
| SSDEEP | 192:0v5uXGwnkGjGlCdhAtNvIQszEtTmhVYWY02noM1qtT57MkJRVtyycpc7numoZ9:E5uXGw/ClCTEZ3WNDMEN5yycpcrumoZ |
| authentihash | 8aa11954d8f4b60de8febe0cc685da5406c52b4b451ab43ab2fdf416afa26167 |
| imphash | 8cf2375491e257d65da71e5d263d7df7 |
| File Size | 24576 bytes |
| File Type | PE32 executable for MS Windows (GUI) Intel 80386 32-bit |
| コンパイル日時 | 2013-01-31 10:27:18 |
| Debug Path | |
| File Name | ApcRunCmd.exe |
| File Path | |
| 生成ファイル | |
| 特徴 | |
| 参考情報 | https://www.virustotal.com/ja/file/d7a71f83d576fdf75e7978539bac04ad8b6605207b29379b89c24c0d0f31da61/analysis/ |
■マルウェア情報(ApcRunCmd.exe)
| MD5 | f0e045210e3258dad91d7b6b4d64e7f3 |
| SHA1 | 4079b6212a5398b6912a37f27a8c39ca3a7f8585 |
| SHA256 | 929dc09a8bd8491b77f050a2736d39c30597ec7090d8f081eeb6179b6f8ab033 |
| SHA512 | |
| SSDEEP | 384:e5uXGw/ClCTEZ3WDcXDMEN5yyqbpcrumoZ:UsD/Cl6E9UcXy/pCumo |
| authentihash | 60ba5186e575ea4b8847e30a21d7051642e297d8a3cb63a5900ee92415788f21 |
| imphash | |
| File Size | 24576 bytes |
| File Type | PE32 executable for MS Windows (GUI) Intel 80386 32-bit |
| コンパイル日時 | 2013-01-31 10:27:18 |
| Debug Path | |
| File Name | ApcRunCmd.exe |
| File Path | |
| 生成ファイル | |
| 特徴 | |
| 参考情報 | https://www.virustotal.com/ja/file/929dc09a8bd8491b77f050a2736d39c30597ec7090d8f081eeb6179b6f8ab033/analysis/ |
OthDown.exe
MD5: 5fcd6e1dace6b0599429d913850f0364
VirusTotal: https://www.virustotal.com/ja/file/239ed753232d3cc0e75323d16d359150937934d30da022628e575997c8dd60a2/analysis/
mb_join.exe
MD5: 0A8032CD6B4A710B1771A080FA09FB87
imbc.exe
sbs.exe
kbs.exe
Bull.exe
Sun.exe
asd.exe
38.exe
39.exe
Sad.exe
down.exe
v3lite.exe
APCRunCmd.DRP
MD5: 9263E40D9823AECF9388B64DE34EAE54
VirusTotal: https://www.virustotal.com/ja/file/422c767682bee719d85298554af5c59cf7e48cf57daaf1c5bdd87c5d1aab40cc/analysis/
