編集部からのお知らせ
Pick up! ローコード開発の行方
「これからの企業IT」の記事はこちら

韓国サイバー攻撃、「DarkSeoul」グループによるDDoS--今後も続くと予測

田中好伸 (編集部)

2013-06-27 20:24

 6月25日に韓国政府機関のウェブサイトを狙ったサイバー攻撃について、シマンテックは「DarkSeoul」と呼ばれるグループによるものと説明している。今回のサイバー攻撃はトロイの木馬「Castov」を使ったものと解説する。

 今回のサイバー攻撃は、分散型サービス妨害(DDoS)攻撃とみられる。トレンドマイクロが解説したように、今回の攻撃では、オンラインストレージなどを提供するネットサービス「SimDisk」をPCで使うためのインストーラファイル「SimDisk.exe」の自動更新機能を悪用した。

 シマンテックの分析によると、SimDisk.exeにトロイの木馬を仕掛けたCastovをダウンロードさせるという。このSimDisk.exeは、本来の正しいものであるSimDisk.exeとマルウェアである「SimDiskup.exe(Downloader.Castov)」という2つのファイルを侵入先のシステムに投下する。

 Downloader.Castovが侵入先のサーバに接続し、「C.jpg(Downloader.Castov)」という画像に見せかけた実行可能ファイルをダウンロード。この後で、接続経路を匿名化するソフトウェア「Tor」のネットワークを使って「Sermgr.exe(Trojan.Castov)」がダウンロードされる。

 Castovは、Windowsのシステムフォルダに、ダイレクトリンクライブラリのように見えるファイル「Ole(ここはランダム).dll」を投下。さらにCastovはメールシステム「ICEWARP」のウェブメールをホストするウェブサーバからファイル「CT.jpg」をダウンロードする。これは、ICEWARPの既知の脆弱性を利用して、すでに感染しており、CT.jpgには、Castovが攻撃の同期に使うタイムスタンプが含まれている。

 CT.jpgにあるタイムスタンプの時刻になると、Castovは「Wuauieop.exe(Trojan.Castdos)」を投下する。このCastdosは「gcc.go.kr」にDNSをリクエストして過負荷をかけて、最終的にDDoS攻撃が実行されて、多数のウェブサイトに被害が及ぶことになる。


(出典:シマンテック)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    社員の生産性を約2倍まで向上、注目の企業事例から学ぶDX成功のポイント

  2. コミュニケーション

    真の顧客理解でCX向上を実現、いまさら聞けない「データドリブンマーケティング」入門

  3. クラウドコンピューティング

    家庭向けIoT製品の普及とともに拡大するセキュリティとプライバシー問題─解決策を知ろう

  4. クラウドコンピューティング

    クラウドの障害対策を徹底解説!4つの方法とメリット、デメリット

  5. セキュリティ

    サイバー犯罪の標的となるMicrosoft製品、2019年に悪用された脆弱性リストからの考察

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]