韓国の“サイバーテロ”に使用されたマルウェア、セキュリティ各社が分析

　韓国の銀行やテレビ局などのPCが一斉にシャットダウンし、起動不能となった問題に関し、セキュリティ企業各社がこの攻撃に使われたとみられるマルウェアについて報告している。

　McAfeeによると、このマルウェアが実行されると、PCのマスターブートレコード（MBR）を、「PRINCPES」「PR!NCPES」「HASTATI.」といった文字列で上書きする。さらに、ファイルシステムの一部も同様の文字列で上書きし、いくつかのファイルを再現不可能にする。その後、システムを強制的にリブートするが、MBRが書き換えられているためにOSが起動しなくなる。

感染後のMBRスナップショット（McAfee Blogより）

　MBRを上書きする前には、韓国の2社（AhnLabとHauri）のウイルス対策製品を作動不能にしようと試みる。このマルウェア自体は外部と通信する機能は持たず、システム内にファイルを置いたり、レジストリキーを変更したりといった動作もしていないため、標的としたPCを使用不能にすることのみを目的としているように見受けられると分析している。

　このマルウェアをPCにダウンロードして起動させるドロッパーも見つかっているが、この攻撃のためのオリジナルのようだとしている。ドロッパーは、「AgentBase.exe」という名前でMBRを不能にするモジュールを%TEMP%フォルダーにダウンロードし、実行させる。

　さらに、ドロッパーは外部のサーバーに対しても攻撃を行おうとする。PC内のファイルシステムからSSHクライアントの設定ファイルをスキャンし、設定ファイルを見つけるとそのシステムにアクセス可能かどうかを調べ、Linux、HP-UX、SunOSのパーティションにダメージを与えようとするBASHスクリプトをダウンロードする。

　McAfeeでは、マルウェアサンプルのデータベースで関連ファイルを探してみたところ、以前のサンプルと同じ構造を持つものを2つ見つけたが、MBRを破壊する機能は持っていなかったという。これらのサンプルは2012年10月に見つかっており、今回の攻撃には関連していないものの、攻撃者がMBRを破壊するコードを作成するために使用したものと同じマルウェアスタブであると分析している。

　韓国のAhnLabでは障害の中間分析として、このマルウェアの流通には企業内部の資産管理サーバー（AhnLab製品ではAPCサーバーと呼んでいるサーバー）が利用されたと説明。攻撃者が持続的標的型攻撃（APT：Advanced Persistent Threat）により、サーバーのアカウントを奪取したものとみられるとしている。

　KasperskyやSymantecでは、韓国のISPや通信会社のサイトに対して、「Whois Team」と称するグループによるウェブページの改ざんが行われたことを紹介している。また、Symantecでは、MBRを破壊する攻撃としては、2012年8月にも「Disttrack」あるいは「Shamoon」と呼ばれるマルウェアにより中東地域で多くの組織が同様の被害に遭ったことを指摘。今回の攻撃の本当の動機は不明だが、最近になって朝鮮半島の政治的緊張が高まってきていることから、今回の攻撃は秘密裏に行われた攻撃か、国家主義的ハクティビストによる活動の一環ではないかとしている。