TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

韓国サイバーテロ (マルウェア解析)

【概要】

  • ウイルス内に、ラテン語で「第一列兵」「第二列兵」という言葉が見つかった
    • PRINCPES(第一列兵)
    • HASTATI(第二列兵)


【ニュース】

◆“ウイルスに謎の言葉” 韓国サイバー攻撃 (テレ朝, 2013/03/21 11:48)
http://news.tv-asahi.co.jp/news_international/articles/000002339.html

◆韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因 (ITPro, 2013/03/21)
http://itpro.nikkeibp.co.jp/article/COLUMN/20130321/464661/?ST=security

◆韓国サイバー攻撃に使われたマルウェアMBRを上書きし起動不能に (@IT, 2013/03/21 16:15)

韓国で3月20日、放送局や金融機関のPCがマルウェアに感染してコンピュータシステムが一斉にダウンした件に関連し、KISAは3月21日、専用の駆除ツールを開発し、配布を開始した

http://www.atmarkit.co.jp/ait/articles/1303/21/news095.html

◆韓国放送局・銀行へのハッキング トロイの木馬利用か (聯合ニュース, 2013/03/21 16:18)
http://japanese.yonhapnews.co.kr/headline/2013/03/21/0200000000AJP20130321002800882.HTML

◆韓国への大規模サイバー攻撃マスターブートレコードを復旧困難にさせる攻撃などを確認― トレンドマイクロ (Internet Security Knowledge, 2013/03/21)
http://is702.jp/news/1318/partner/101_g/

◆韓国へのサイバー攻撃、「ローマ皇帝」と「兵士」を模していた?……マカフィーが解析 (RBB Today, 2013/03/21 17:08)
http://www.rbbtoday.com/article/2013/03/21/105065.html

◆韓国襲ったサイバー攻撃Linuxも攻撃してデータ消去---シマンテックの追加調査 (ITPro, 2013/03/21)
http://itpro.nikkeibp.co.jp/article/NEWS/20130321/464842/

◆韓国の“サイバーテロ”に使用されたマルウェア、セキュリティ各社が分析 (Internet Watch, 2013/03/21 18:58)
http://internet.watch.impress.co.jp/docs/news/20130321_592671.html

◆「コンピューターを使用不能にすることが目的」――韓国へのサイバー攻撃 (Nikkei BPnet, 2013/03/21)
「PCを起動不能に」「ウイルス対策ソフトを停止」、セキュリティ企業が解析
http://www.nikkeibp.co.jp/article/news/20130321/344575/?rt=nocnt

◆韓国で発生したサイバー攻撃手口を公開 - シマンテック (マイナビニュース, 2013/03/22)
http://news.mynavi.jp/news/2013/03/22/108/

◆韓国サイバー攻撃事件、企業向けのPC管理システム経由での攻撃か (財経新聞, 2013/03/22 18:08)
http://www.zaikei.co.jp/article/20130322/127529.html

◆「3万2000台が被害」 韓国サイバー攻撃の全貌 (日経新聞, 2013/03/22 23:00)

マルウェアは「パッチ管理システム」を経由して、各企業のサーバーやパソコンに配布(KISA)
標的とした企業・組織のパッチ管理システムに不正侵入。パッチに見せかけたウイルスを置き、パッチ管理システムを使って社内のサーバーやパソコンに配布
マルウェアは、3月20日14時に動き出すよう設定
放送局や金融など6社で、3万2000台のコンピューターが被害
サイバー危機警報を「関心」から「注意」に引き上げ
ウイルス対策ベンダーがマルウェアを解析
マルウェアは、感染したパソコンやサーバーを使用不能にする機能しか持たない
「pasvc.exe」あるいは「clisvc.exe」が動作している場合には、これらを停止
「PRINCPES」や「HASTATI.」といった文字で、ハードディスクのMBRやデータ領域を上書き
shutdown コマンドを使用してPCを再起動 (McAfee)

http://www.nikkei.com/article/DGXNASFK2203A_S3A320C1000000/

◆韓国企業へのサイバー攻撃マルウェアはディスクを消去し起動不能に (COMPUTERWORLD, 2013/03/22)

Windowsマシンに感染後、Linux/UNIXマシンへの攻撃も試みる

http://www.computerworld.jp/topics/563/206786


【解析結果】

◆韓国の銀行、メディアに対するサイバー攻撃事件について (2013/03/21)
http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1358

◆放送局や金融機関の攻撃に関連中間解析結果発表[韓国語を日本語に翻訳] (Ahnlab, 2013/03/21)
http://blog.ahnlab.com/ahnlab/1728

◆South Korean Banks and Broadcasting Organizations Suffer Major Damage from Cyber Attack (Symantec, 2013/03/21)
http://www.symantec.com/connect/blogs/south-korean-banks-and-broadcasting-organizations-suffer-major-damage-cyber-attack

◆Remote Linux Wiper Found in South Korean Cyber Attack (Symantec, 2013/03/21)
http://www.symantec.com/connect/blogs/remote-linux-wiper-found-south-korean-cyber-attack

◆Information about the South Korean banks and media systems attacks (AlienVoult, 2013/03/20)
http://labs.alienvault.com/labs/index.php/2013/information-about-the-south-korean-banks-and-media-systems-attacks/

◆South Korean 'Whois Team' attacks (SecureList, 2013/03/20)
http://www.securelist.com/en/blog/208194183/South_Korean_Whois_Team_attacks


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019