6月25日に韓国政府機関のウェブサイトを狙ったサイバー攻撃について、シマンテックは「DarkSeoul」と呼ばれるグループによるものと説明している。今回のサイバー攻撃はトロイの木馬「Castov」を使ったものと解説する。
今回のサイバー攻撃は、分散型サービス妨害(DDoS)攻撃とみられる。トレンドマイクロが解説したように、今回の攻撃では、オンラインストレージなどを提供するネットサービス「SimDisk」をPCで使うためのインストーラファイル「SimDisk.exe」の自動更新機能を悪用した。
シマンテックの分析によると、SimDisk.exeにトロイの木馬を仕掛けたCastovをダウンロードさせるという。このSimDisk.exeは、本来の正しいものであるSimDisk.exeとマルウェアである「SimDiskup.exe(Downloader.Castov)」という2つのファイルを侵入先のシステムに投下する。
Downloader.Castovが侵入先のサーバに接続し、「C.jpg(Downloader.Castov)」という画像に見せかけた実行可能ファイルをダウンロード。この後で、接続経路を匿名化するソフトウェア「Tor」のネットワークを使って「Sermgr.exe(Trojan.Castov)」がダウンロードされる。
Castovは、Windowsのシステムフォルダに、ダイレクトリンクライブラリのように見えるファイル「Ole(ここはランダム).dll」を投下。さらにCastovはメールシステム「ICEWARP」のウェブメールをホストするウェブサーバからファイル「CT.jpg」をダウンロードする。これは、ICEWARPの既知の脆弱性を利用して、すでに感染しており、CT.jpgには、Castovが攻撃の同期に使うタイムスタンプが含まれている。
CT.jpgにあるタイムスタンプの時刻になると、Castovは「Wuauieop.exe(Trojan.Castdos)」を投下する。このCastdosは「gcc.go.kr」にDNSをリクエストして過負荷をかけて、最終的にDDoS攻撃が実行されて、多数のウェブサイトに被害が及ぶことになる。
(出典:シマンテック)
