資料來源：https://blog.trendmicro.com.tw/?p=2566

2013 年 03 月 22 日 Trend Labs 趨勢科技全球技術支援與研發中心 APT / APT攻擊 / APT 進階持續性威脅/ Advanced Persistent Threat, 南韓遭受駭客攻擊, 新聞稿, 重大資安事件

3 月 20 日當天，南韓三家大型銀行和兩家最大電視台因為遭到目標式攻擊而陷入癱瘓，造成許多南韓人無法從 ATM 提款，電視台人員無法作業。

【2013 年03月21日台北訊】駭客針對南韓主要銀行、媒體，以及個人電腦發動大規模攻擊，截至目前為止，趨勢科技已經發現多重攻擊。駭客主要針對南韓主要銀行與媒體的補丁更新伺服器（patch management server）佈署惡意程式，造成受攻擊企業內部的電腦全面無法開機，作業被迫停擺；另一攻擊則針對南韓的企業網站，有的網站遭攻擊停擺，有的網站則是使用者造訪該網站都會被導向位於海外的假網站，並被要求提供許多個人資訊；此外，駭客並針對個人用戶發動電子郵件釣魚攻擊，假冒南韓銀行交易記錄名義，誘騙使用者下載內含木馬程式TROJ_KILLMBR.SM的執行檔，使用者電腦開機區遭到覆蓋，導致使用者無法開機。

趨勢科技內部偵測到的針對企業內部的目標攻擊，目前已知受影響的企業主要為銀行以及媒體。這波攻擊以企業補丁更新伺服器（Patch Management Server）為標的，駭客成功入侵受害企業的補丁更新伺服器佈署惡意程式，該惡意程式會隨著企業員工電腦定期下載補丁(Patch) 而散佈至企業內部，造成企業內部電腦全面停擺，無法進行作業。

另一個攻擊則針對企業網站進行攻擊，目前已知南韓知名企業網站遭到入侵，並恐有被植入不明惡意程式之可能。除了企業之外，駭客並針對銀行使用者展開一波社交工程陷阱( Social Engineering)郵件攻擊。駭客透過一封假冒南韓銀行的信件，信件內容表示為使用者的交易記錄，要求使用者打開附件，附件內容其實為一個執行檔，一旦使用者下載執行後，將被下載一個名為TROJ_KILLMBR.SM的惡意程式，電腦開機區的所有資訊將被覆蓋，導致電腦無法開機。

趨勢科技表示，此惡意連結已遭趨勢科技封鎖。但值得注意的是，不排除駭客會展開另一波新的攻擊。根據過往的案例分析，許多網路釣魚（Phishing）電子郵件看起來可能跟原公司的電子郵件一模一樣。使用者應該仔細閱讀電子郵件，而且去驗證電子郵件內容的正確性。除此之外，勿隨意開啟郵件中所附的連結或檔案，更勿輕易提供個人資料。

趨勢科技Deep Discovery在第一時間即已偵測到此社交工程郵件攻擊，並偵測其內含HEUR_NAMETRICK. B 惡意檔案。趨勢科技呼籲用戶使用最新病毒碼，以提供相對應的防護。更多Deep Discovery相關訊息請參考

更多與此攻擊相關訊息請參考

*APT 攻擊案例:[線上小學堂]南韓青瓦台攻擊事件

補充說明

事件概要

週三（3/20）韓國多家銀行與三大電視臺內部的電腦無法開機，有一些電腦螢幕顯示骷髏頭的圖片與自稱為“WhoIs”團隊的警告資訊，這些現象顯現有駭客組織發起此次攻擊，但是也有一些人相信這是來自朝鮮的報復行動。

目前已知受害者：

電視臺	銀行
– KBS- MBC- YTN	– 新韓銀行- 農協銀行- Jeju

攻擊手法

此次攻擊具有典型APT特徵，包括魚叉式網路釣魚（Phishing）郵件、水坑攻擊（Watering hole）與自我毀滅等。

魚叉式釣魚郵件
- 利用郵件傳送惡意程式，連接以下的惡意網站
  - hxxp:// www. Clickflower. net/board/images/start_car.gif
  - hxxp:// www .6885 .com/ uploads/fb9c6013f1b269b74c8cd139471b96fc/feng.jpg
受感染的電腦被用來作為跳板，攻擊者進一步滲透內部重要伺服器，包括補丁管理系統與網站伺服器
水坑攻擊（Watering hole） – 這是最近的一種攻擊方式，攻擊者侵入目標族群經常訪問的合法網站或伺服器並植入惡意程式，當使用者訪問了這些網站，就會遭受感染。最近的例子是蘋果內部電腦遭受漏洞攻擊，攻擊者在iPhone開發者論壇植入惡意程式，訪問的使用者以蘋果軟體的開發人員為主。這些開發人員齊聚在這個論壇，就像聚集在沙漠中的水坑一樣。
- 韓國企業的補丁管理伺服器與合法網站被入侵，連接的電腦都感染了惡意程式。
- 自我毀滅 – 複寫電腦的Master Boot Record (MBR)，讓後續的分析調查難以進行