TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究のログ

韓国 サイバーテロ (まとめ)

【概要】

■発生時刻

  • 2013/03/20(水) 14:00頃から異常が発生
  • 新韓銀行と農協銀行、済州銀行で14:20頃、ネットワークの遮断が発生
  • 農協は、ソウル本店と複数の支店で14:15頃、数台のコンピューターがフリーズ


■対象組織


■被害状況

  • 放送局ではパソコン数百台が起動できない状態に
  • 農協のメーンサーバーに問題は発生しなかった
  • パソコン3万2000台が被害を受けた


■原因


マルウェア等の解析

■対策状況

  • 官民軍の合同組織「サイバー危機対策本部」を設置 (03/20)
  • サイバー危機に関する警報として5段階中3番目に相当する「注意」を発令 (03/20)
  • 韓国国防省は、情報作戦の防護体制(INFOCON)を5段階中のレベル4からレベル3へと引き上げ (03/20)

■参考情報

  • 異常が発生した放送局などはいずれも同一企業の通信システム(LG U+)を使用


■解析情報

◆韓国の銀行、メディアに対するサイバー攻撃事件について (McAfee, 2013/03/21)
http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1358

◆South Korean Banks and Broadcasting Organizations Suffer Major Damage from Cyber Attack (Symantec, 2013/03/21)
http://www.symantec.com/connect/blogs/south-korean-banks-and-broadcasting-organizations-suffer-major-damage-cyber-attack

◆韓国への大規模サイバー攻撃マスターブートレコードを復旧困難にさせる攻撃などを確認 (Trendmicro, 2013/03/21)
http://blog.trendmicro.co.jp/archives/6911

マスターブートレコードを破壊する韓国企業へのサイバー攻撃、その全体像と教訓とは? (Trendmicro, 2013/03/22)
http://blog.trendmicro.co.jp/archives/6923


■ブログ

◆3/20 韓国同時多発サイバー攻撃について (セキュリティは楽しいかね? Part 2, 2013/03/22)
http://negi.hatenablog.com/entry/2013/03/22/123529

◆2013年3月に発生した韓国へのサイバー攻撃をまとめてみた。 (piyolog, 2013/03/23)
http://d.hatena.ne.jp/Kango/20130323/1363986809


【インディケータ情報】

マルウェア情報(ApcRunCmd.exe)

MD5 db4bbdc36a78a8807ad9b15a562515c4
SHA1 309af225ac59e1d2ffaada11e09f5715bce16c1e
SHA256 d7a71f83d576fdf75e7978539bac04ad8b6605207b29379b89c24c0d0f31da61
SHA512
SSDEEP 192:0v5uXGwnkGjGlCdhAtNvIQszEtTmhVYWY02noM1qtT57MkJRVtyycpc7numoZ9:E5uXGw/ClCTEZ3WNDMEN5yycpcrumoZ
authentihash 8aa11954d8f4b60de8febe0cc685da5406c52b4b451ab43ab2fdf416afa26167
imphash 8cf2375491e257d65da71e5d263d7df7
File Size 24576 bytes
File Type PE32 executable for MS Windows (GUI) Intel 80386 32-bit
コンパイル日時 2013-01-31 10:27:18
Debug Path
File Name ApcRunCmd.exe
File Path
生成ファイル
特徴
参考情報 https://www.virustotal.com/ja/file/d7a71f83d576fdf75e7978539bac04ad8b6605207b29379b89c24c0d0f31da61/analysis/

マルウェア情報(ApcRunCmd.exe)

MD5 f0e045210e3258dad91d7b6b4d64e7f3
SHA1 4079b6212a5398b6912a37f27a8c39ca3a7f8585
SHA256 929dc09a8bd8491b77f050a2736d39c30597ec7090d8f081eeb6179b6f8ab033
SHA512
SSDEEP 384:e5uXGw/ClCTEZ3WDcXDMEN5yyqbpcrumoZ:UsD/Cl6E9UcXy/pCumo
authentihash 60ba5186e575ea4b8847e30a21d7051642e297d8a3cb63a5900ee92415788f21
imphash
File Size 24576 bytes
File Type PE32 executable for MS Windows (GUI) Intel 80386 32-bit
コンパイル日時 2013-01-31 10:27:18
Debug Path
File Name ApcRunCmd.exe
File Path
生成ファイル
特徴
参考情報 https://www.virustotal.com/ja/file/929dc09a8bd8491b77f050a2736d39c30597ec7090d8f081eeb6179b6f8ab033/analysis/

OthDown.exe
MD5: 5fcd6e1dace6b0599429d913850f0364
VirusTotal: https://www.virustotal.com/ja/file/239ed753232d3cc0e75323d16d359150937934d30da022628e575997c8dd60a2/analysis/
mb_join.exe
MD5: 0A8032CD6B4A710B1771A080FA09FB87

imbc.exe
sbs.exe
kbs.exe
Bull.exe
Sun.exe
asd.exe
38.exe
39.exe
Sad.exe
down.exe
v3lite.exe
APCRunCmd.DRP
MD5: 9263E40D9823AECF9388B64DE34EAE54
VirusTotal: https://www.virustotal.com/ja/file/422c767682bee719d85298554af5c59cf7e48cf57daaf1c5bdd87c5d1aab40cc/analysis/


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019