FBIが警告したマルウェア「Destover」は韓国で起きた攻撃を模倣--Symantec

シマンテックは12月9日、FBIが緊急警告をした破壊的なマルウェア「Backdoor.Destover」が以前に韓国で行われた攻撃と共通点があると、ブログで明かした。

シマンテックは、Destoverのいくつかのサンプルで使われているC&Cサーバーを調査。それによると、韓国内の標的を攻撃するために作成されたマルウェア「Trojan.Volgmer」の特定のバージョンで使われていたものと同じだという。C&Cサーバーが同じ2つの攻撃は、背後に同じグループが存在する疑いがある。

また、DestoverとC&Cサーバーを共用するバージョンのVolgmerは、韓国の標的を攻撃するよう設定されており、韓国語版のコンピュータ上のみで実行される。

しかし、現時点ではDestoverとVolgmerの関連性を示す確かな証拠が見つかっていない。DestoverはVolgmerの攻撃の手口を模倣した可能性が捨てきれないという。

攻撃手法を模倣するケースは多く、Destove攻撃rはShamoon攻撃と同じドライバーを利用している。分析の結果、両者は同じグループの攻撃である可能性は低く、Destover攻撃がShamoon攻撃の手口を真似たと考えられるという。