木馬、DDoS齊襲南韓

繼3月大舉入侵後，南韓最高政治中心青瓦台網站上周再遭黑客攻擊，估計黑客刻意選韓戰爆發63周年紀念日發動攻擊。據聞是次錄得多宗來自不同來源的攻擊，而針對南韓政府網站的分散式阻斷服務（DDoS）攻擊，則與黑客組織「黑暗首爾幫」（DarkSeoul），及Trojan.Castov木馬程式有直接關係，導致網頁被置換並關閉，事件引起全球矚目。

趨勢科技全球病毒防治中心Trend Labs的最新研究發現，韓國雲端儲存服務商「SimDisk 」伺服器，在此波攻擊中疑似遭黑客攻擊，透過其自動更新系統散佈至用戶端，建立「殭屍大軍」及發動DDoS 攻擊試圖癱瘓政府網站。分析並發現，黑客攻擊「SimDisk」的伺服器並取得控制權後，即置換「SimDisk exe」執行檔，並透過自動更新系統散佈名為「SimDiskup exe」的惡意程式至用戶端，一旦更新下載完成，此裝置即遭惡意程式感染，並會連上特定網址接收指令，繼而下載另一隻名為DDOS_DIDKR.A的惡意程式，以培養網絡「殭屍大軍」，並運用這些受感染裝置，針對政府網站發動DDoS攻擊，以癱瘓目標網站。

趨勢科技方面強烈建議政府機構與企業，應重視伺服器保安維護，並同步進行自身IT保安能力檢測，以避免成為此波或下一波攻擊的受害者。同時，當企業或一般消費者在下載使用這類免付費軟體前，應審慎思考其安全性，才能將受駭機率降到最低。

與3月時的攻擊比較，黑客將今次攻擊提升到另一層次，將以前只利用入侵組織內更新伺服器的手法，擴展至入侵雲端寄存商。面對黑客組織發動的全球性攻擊，趨勢科技建議雲端服務商、企業與政府可加強對網絡流量、Login日誌以及伺服器等的監控，將企業內外部的資訊流量與行為透明化，並於企業內部的重要主機建立檔案異動監控機制，並確保企業內伺服器與IT系統均已經更新俱備最新防護。

黑暗首爾幫再襲南韓

是次攻擊的幕後黑手「黑暗首爾幫」，於過去4年來接連發動了多宗矚目，而又專門針對南韓境內機構的大規模攻擊，包括今年3月稱為Jokra的攻擊，清洗多間南韓銀行及電視台內大量電腦硬碟的數據，以及於今年5月入侵多間南韓金融機構。

「黑暗首爾幫」已非首次在富有歷史意義的紀念日發動DDoS攻擊，及清洗受襲機構硬碟的數據，該組織亦曾於美國獨立日，進行同類網絡攻擊行動。

「黑暗首爾幫」的多次攻擊手法大同小異，喜以具有政治內容的字詞，重複寫入硬碟以清洗原本儲存的資料，並採用正當的第三方更新機制，在企業網絡內四處散播；同時採用特定的加密及反破解（obfuscation）方式、利用特定的第三方網頁電郵伺服器來儲存檔案，其攻勢行動更是多階段相互關連。

「黑暗首爾幫」所發動的攻擊，均展現了高度協調能力及精密黑客技術。Symantec指出，全國性的大規模網絡攻擊活動以往較為罕見，全球知名的包括Stuxnet及Shamoon（W32.Disttrack）等。