《APT 攻擊》南韓爆發史上最大駭客攻擊 企業及個人用戶電腦皆停擺

3 月 20 日當天,南韓三家大型銀行和兩家最大電視台因為遭到目標式攻擊而陷入癱瘓,造成許多南韓人無法從 ATM 提款,電視台人員無法作業。

南韓爆發史上最大駭客攻擊,社交工程信件樣本

2013 0321 台北訊】駭客針對南韓主要銀行、媒體,以及個人電腦發動大規模攻擊,截至目前為止,趨勢科技已經發現多重攻擊。駭客主要針對南韓主要銀行與媒體的補丁更新伺服器(patch management server)佈署惡意程式,造成受攻擊企業內部的電腦全面無法開機,作業被迫停擺;另一攻擊則針對南韓的企業網站,有的網站遭攻擊停擺,有的網站則是使用者造訪該網站都會被導向位於海外的假網站,並被要求提供許多個人資訊;此外,駭客並針對個人用戶發動電子郵件釣魚攻擊,假冒南韓銀行交易記錄名義,誘騙使用者下載內含木馬程式TROJ_KILLMBR.SM的執行檔,使用者電腦開機區遭到覆蓋,導致使用者無法開機。

attack

趨勢科技內部偵測到的針對企業內部的目標攻擊,目前已知受影響的企業主要為銀行以及媒體。這波攻擊以企業補丁更新伺服器(Patch Management Server)為標的,駭客成功入侵受害企業的補丁更新伺服器佈署惡意程式,該惡意程式會隨著企業員工電腦定期下載補丁(Patch) 而散佈至企業內部,造成企業內部電腦全面停擺,無法進行作業。

另一個攻擊則針對企業網站進行攻擊,目前已知南韓知名企業網站遭到入侵,並恐有被植入不明惡意程式之可能。除了企業之外,駭客並針對銀行使用者展開一波社交工程陷阱( Social Engineering)郵件攻擊。駭客透過一封假冒南韓銀行的信件,信件內容表示為使用者的交易記錄,要求使用者打開附件,附件內容其實為一個執行檔,一旦使用者下載執行後,將被下載一個名為TROJ_KILLMBR.SM的惡意程式,電腦開機區的所有資訊將被覆蓋,導致電腦無法開機。

趨勢科技表示,此惡意連結已遭趨勢科技封鎖。但值得注意的是,不排除駭客會展開另一波新的攻擊。根據過往的案例分析,許多網路釣魚(Phishing)電子郵件看起來可能跟原公司的電子郵件一模一樣。使用者應該仔細閱讀電子郵件,而且去驗證電子郵件內容的正確性。除此之外,勿隨意開啟郵件中所附的連結或檔案,更勿輕易提供個人資料。

 

趨勢科技Deep Discovery在第一時間即已偵測到此社交工程郵件攻擊,並偵測其內含HEUR_NAMETRICK. B 惡意檔案。趨勢科技呼籲用戶使用最新病毒碼,以提供相對應的防護。更多Deep Discovery相關訊息請參考

更多與此攻擊相關訊息請參考

*APT 攻擊案例:[線上小學堂]南韓青瓦台攻擊事件


補充說明

事件概要

週三(3/20)韓國多家銀行與三大電視臺內部的電腦無法開機,有一些電腦螢幕顯示骷髏頭的圖片與自稱為“WhoIs”團隊的警告資訊,這些現象顯現有駭客組織發起此次攻擊,但是也有一些人相信這是來自朝鮮的報復行動。

 

目前已知受害者:

電視臺

銀行

–          KBS-          MBC-          YTN–          新韓銀行-          農協銀行-          Jeju

 

攻擊手法

此次攻擊具有典型APT特徵,包括魚叉式網路釣魚(Phishing)郵件、水坑攻擊(Watering hole)與自我毀滅等。

  • 魚叉式釣魚郵件
    • 利用郵件傳送惡意程式,連接以下的惡意網站
      • hxxp:// www. Clickflower. net/board/images/start_car.gif
      • hxxp:// www  .6885 .com/ uploads/fb9c6013f1b269b74c8cd139471b96fc/feng.jpg
  • 受感染的電腦被用來作為跳板,攻擊者進一步滲透內部重要伺服器,包括補丁管理系統與網站伺服器
  • 水坑攻擊(Watering hole) – 這是最近的一種攻擊方式,攻擊者侵入目標族群經常訪問的合法網站或伺服器並植入惡意程式,當使用者訪問了這些網站,就會遭受感染。最近的例子是蘋果內部電腦遭受漏洞攻擊,攻擊者在iPhone開發者論壇植入惡意程式,訪問的使用者以蘋果軟體的開發人員為主。這些開發人員齊聚在這個論壇,就像聚集在沙漠中的水坑一樣。
    • 韓國企業的補丁管理伺服器與合法網站被入侵,連接的電腦都感染了惡意程式。
    • 自我毀滅 – 複寫電腦的Master Boot Record (MBR),讓後續的分析調查難以進行

影響

–          業務運行中斷

  • 銀行:ATM、網銀、銀行運維都停擺
  • 電視臺、媒體:媒體向外播送的內容無法更新,公開網站無法連接
  • KBS網站目前依然無法使用

    KBS網站目前依然無法使用
    KBS網站目前依然無法使用

–          受感染機器上的資料無法回復

[APT 攻擊周爆]

每天 100 次陷阱~一封尋常的工作信,輕易竊得政府機密

APT 攻擊社交工程信件樣本根據趨勢科技統計,一般員工平均每個工作日會收到100封電子郵件,等於我們每天有100次掉進駭客陷阱的風險。 本案例的信件,假冒寄件人,偽造公家單位、企業行政部門幾乎人手一張的辦公日曆表檔案,連寄件人應該稱呼收件人「老師」都沒弄錯,犯罪手法的精準度令人不寒而慄。

[災難結果]

APT 駭客並非隨機攻擊,而是事先摸清受害者的人際網絡,精心挑選攻擊對象,「客製化」信件內容,像本案例這種再正常不過的信件主旨和 Excel 附件,隱藏惡意程式,卻能輕易躲過一般垃圾郵件過濾機制,內容又是工作上重要或實用的資訊,吸引收件人開啟,只要點兩下滑鼠,政府機密就成為駭客囊中物了。

參加 APT攻擊週爆!投票即可抽獎

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎延伸閱讀

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?

《APT 攻擊》退信和讀取回條自動回覆的風險

APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具,自我更新更厲”駭”

木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局

《APT進階持續性威脅~主要目標攻擊侵入點:eMail》63%產品規劃藍圖 ,76%預算計畫經由 email 傳送

《APT進階持續性威脅》APT 攻擊常用的三種電子郵件掩護潛入技巧(含多則中英文信件樣本)

淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例

影片說明:APT 攻擊駭客攻擊手法模擬~社交工程攻擊(Social Engineer)過程重現

《APT 威脅》神不知鬼不覺的APT攻擊 — 多則APT 真實案件分享(含網路釣魚信件樣本)

《趨勢專家談雲端運算》目標攻擊在Web 3.0的演變

《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊

「李宗瑞影片,趕快下載呦!」從公僕誤開測試信,看好奇心所付出的資安代價(含APT 目標式電子郵件攻擊實際案例)

進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

從實體到雲端,重重風險怎把關 ?

惡意PowerPoint文件夾帶漏洞攻擊及後門程式

[圖表] APT攻擊的 5 個迷思與挑戰

< APT 目標攻擊 >知名韓國企業收到量身訂製的社交工程信件,員工開啟後遭遠端控制竊取個資

<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動

《APT攻擊 》另一起電子郵件目標攻擊利用研究單位做掩護

《APT 攻擊》下載藏文輸入法至Apple iOS,竟引狼入室

《APT /MAC 攻擊》另一起和西藏相關的攻擊活動針對Windows和Mac系統

微軟控告殭屍網路ZeuS、SpyEye和Ice IX幕後黑手

APT 攻擊

 

◎即刻加入趨勢科技社群網站,精彩不漏網