South Korea KillMBR vs Deep Discovery

Le 20 mars dernier, des entreprises et agences gouvernementales de Corée du Sud ont subi une cyber-attaque de grande ampleur. De grandes banques du pays, ainsi que des fournisseurs de contenu TV, ont été ciblés et les impacts furent visible:  des distributeurs de billet bloqué, télévisions affichant un message de la “whois” team ou black-screen… Quelques noms d’entreprises ciblées : KBS, MBC, YTN (TV stations); Shinhan Bank, NongHyup, Jeju (banks)..

Il s’agit d’une attaque via spear-phishing. Un email “personnalisé” a été envoyé aux employés des entreprises en question, au  sujet de “leur historique de carte de crédit”. Une pièce jointe “zippée” contenait un dropper qui, après lancement, téléchargeait un trojan depuis plusieurs URLs. Une fois exécuté, le trojan récupérait les comptes administrateurs dans les softs SecureCRT et mRemote puis se propageait sur les différents serveurs Windows, Unix et Linux. Ensuite, le trojan écrasait la MBR avec des chaines de caractères (PRINCPES, HASTATI…) pour rendre inutilisable le système. Au final, des postes et des serveurs incapables de “booter” sur l’OS et du travail pour les admin pour restaurer les machines.

1

Deux clients Trend Micro, ciblés par l’attaque, ont été protégés dynamiquement grâce à la solution Deep Discovery. Le mail “spear-phishing” fut automatiquement analysé via les différents moteurs dont l’exécution en sandbox, puis dynamiquement, les différentes URLs appelées par le dropper ont été classifiées comme dangereuses dû fait des fichiers téléchargés, eux aussi exécuter en sandbox.

dd-1-screenshot

Plus d’informations sur South Korea KillMBR : http://about-threats.trendmicro.com/us/malware/TROJ_KILLMBR.SM

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.