北朝鮮の国営通信社「朝鮮中央通信」が公式サイトにマルウェアを仕込んでいたことが判明


北朝鮮の公式ニュースサイトである「朝鮮中央通信」上に、閲覧者のPCに秘密裏にインストールされるドロッパー型のマルウェアが仕込まれていたことが明らかになりました。

Surprise! North Korea’s official news site delivers malware, too | Ars Technica
http://arstechnica.com/security/2015/01/surprise-north-koreas-official-news-site-delivers-malware-too/


「朝鮮中央通信」は北朝鮮の国営通信社で、同国最大の報道機関です。公式ウェブサイトを開設したのは2010年のことで、国内外に向けてさまざまなニュースを配信しており、ウェブページのデザインはこんな感じです。


Ars Technicaは朝鮮中央通信のソースコード上で赤枠部分に「FlashPlayer10.zip」というデータを発見しました。このファイルやJavaScriptのコードを独自に解読したところ、これがただのインストーラーではなくマルウェアであったことが判明。


このファイルはJavaScript変数の「FlashPlayer」として、朝鮮中央通信のウェブサイトのメインページやその他ページ上に仕掛けられており、Windows上で実行可能な「Flash Player 10」や「ActiveXコントロール」といったインストーラーにも偽装していたそうです。

ファイル名は異なるものの、どのファイルも中身は同じものであったそうで、これをオンラインスキャンサービスのVirusTotalにてスキャンしてみたところ、ユーザーのPC内に秘密裏にインストールされるドロッパー型のマルウェアであることが判明した、というわけ。なお、「FlashPlayer10.zip」のタイムスタンプを確認したところ、作成日は2012年の12月となっていたそうです。


朝鮮中央通信に仕込まれているマルウェアは、北朝鮮や金正恩氏の動向を定期的にチェックしておきたい何者かを対象とした水飲み場型攻撃ではないかと考えられています。

・関連記事
北朝鮮がソニー・ピクチャーズをハッキングしたのではないかと報じられる - GIGAZINE

北朝鮮の国産タブレット「サムジヨンタブレット」のレビューが公開 - GIGAZINE

北朝鮮が独自開発したスマートフォン「Arirang(アリラン)」を製造中 - GIGAZINE

北朝鮮で解禁されていた旅行者向け3G通信がわずか1ヶ月で利用不可能に - GIGAZINE

北朝鮮が保有するミサイルの脅威をわかりやすく表現した図 - GIGAZINE

348

in メモ, Posted by logu_ii