南韓駭客攻擊 - 資安趨勢部落格

趨勢科技再次呼籲企業應正視客製化資安防禦策略重要性

【2013 年 3 月 27日 台北訊】上周爆發的南韓遭受駭客攻擊事件引起全球注目，也引發企業經營者及IT人員對於企業自身防禦方案是否周全的熱烈討論。全球雲端防毒廠商趨勢科技(TSE:4704)在事前透過客製化防禦策略，成功協助南韓客戶抵擋駭客攻擊，讓趨勢科技的南韓客戶事先發覺並採取回應，因此未發生任何損失。但根據過往經驗，不排除駭客會再發動另一波攻擊，趨勢科技再次呼籲企業應正視客製化防禦策略的重要性，才能確保企業免於成為駭客下波攻擊的犧牲者。透過趨勢科技的趨勢科技Deep Discovery搭配客製化防禦方案，全球六大銀行當中就有三家採用趨勢科技Deep Discovery，更有超過八十多個政府機構也採用這套解決方案免於此類攻擊。

南韓多家大型銀行及三家大型電視公司相繼在當地時間 2013 年 3 月 20 日星期三出現多台電腦失去畫面的情況。有些電腦甚至在畫面上出現骷髏頭的影像以及來自名為「WhoIs」團體的警告訊息。此攻擊是南韓同一時間遭受的多起攻擊之一。根據趨勢科技研究顯示，這是一次惡意程式攻擊的結果，歹徒一開始假冒銀行寄送主旨為「三月份信用卡交易明細」的釣魚郵件，內含會清除系統的主開機磁區 (Master Boot Record，簡稱 MBR)的惡意程式。駭客並且設定該惡意程式在 2013 年 3 月 20 日同步發作。一旦發作，將使銀行電腦系統完全癱瘓，必須逐一重灌才能回復。繼續閱讀

3 月 20 日當天，南韓三家大型銀行和兩家最大電視台因為遭到目標式攻擊而陷入癱瘓，造成許多南韓人無法從 ATM 提款，電視台人員無法作業。

【2013 年03月21日 台北訊】駭客針對南韓主要銀行、媒體，以及個人電腦發動大規模攻擊，截至目前為止，趨勢科技已經發現多重攻擊。駭客主要針對南韓主要銀行與媒體的補丁更新伺服器（patch management server）佈署惡意程式，造成受攻擊企業內部的電腦全面無法開機，作業被迫停擺；另一攻擊則針對南韓的企業網站，有的網站遭攻擊停擺，有的網站則是使用者造訪該網站都會被導向位於海外的假網站，並被要求提供許多個人資訊；此外，駭客並針對個人用戶發動電子郵件釣魚攻擊，假冒南韓銀行交易記錄名義，誘騙使用者下載內含木馬程式TROJ_KILLMBR.SM的執行檔，使用者電腦開機區遭到覆蓋，導致使用者無法開機。

趨勢科技內部偵測到的針對企業內部的目標攻擊，目前已知受影響的企業主要為銀行以及媒體。這波攻擊以企業補丁更新伺服器（Patch Management Server）為標的，駭客成功入侵受害企業的補丁更新伺服器佈署惡意程式，該惡意程式會隨著企業員工電腦定期下載補丁(Patch) 而散佈至企業內部，造成企業內部電腦全面停擺，無法進行作業。

另一個攻擊則針對企業網站進行攻擊，目前已知南韓知名企業網站遭到入侵，並恐有被植入不明惡意程式之可能。除了企業之外，駭客並針對銀行使用者展開一波社交工程陷阱( Social Engineering)郵件攻擊。駭客透過一封假冒南韓銀行的信件，信件內容表示為使用者的交易記錄，要求使用者打開附件，附件內容其實為一個執行檔，一旦使用者下載執行後，將被下載一個名為TROJ_KILLMBR.SM的惡意程式，電腦開機區的所有資訊將被覆蓋，導致電腦無法開機。繼續閱讀