Caution
This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
- 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.
Newsletters
Cyber Espionage/Cyber Operation/Cyber Intelligence
Summaries
- 중동 및 북아프리카(MENA, Middle East and North Africa)를 대상으로 하는 가자(Gaza) 사이버범죄집단(Cybergang)이 새로운 도구들을 확보해 활동을 확대할 것으로 보인다고 카스퍼스키랩(Kaspersky Lab)이 전했다. 새로운 도구는 마이크로소프트 엑세스(Microsoft Access)의 최근 취약점인 CVE-2017-0199를 공격하는 익스플로잇과 최소 하나의 안드로이드 스파이웨어, 악성코드를 대상에게 유포하기 위한 매우 지정학적으로 민감한 스피어피싱 문서가 이에 해당한다. 가자 사이버범죄집단은 지속적으로 정부기관, 정유 및 가스 기업, 대사관, 외교관, 언론기관을 지난 몇년간 공격해왔고 최근들어 이러한 공격을 확대해 가고 있는 것으로 보인다.
- 페이스북의 유튜브 링크로 위장한 클릭낚시(Clickbait)와 가짜뉴스 경고. 페이스북에서 전달되는 링크에 대해서 특별히 더 조심할 필요가 있다. 스패머(spammer)들이 공유된 링크 주소를 속일 수 있기 때문이다. 사용자에겐 정상적인 링크로 보이게 하면서 가짜 뉴스 웹사이트나 악성코드, 악성 컨텐츠로 리다이렉트 되도록 링크를 조작할 수 있다. 페이스북에서 Open Graph meta tags를 수집하면서 og:url값의 주소와 실제 공유하는 링크 주소 일치여부를 확인하지 않아 발생한다. 그러나 페이스북은 Linkshim이라는 URL검사 시스템에 의해 클릭한 URL에 대한 진단이 수행되므로 취약점에 해당하지 않는다고 이 문제를 취약점으로의 분류하기를 거절했다.
Detailed News list
- Gaza Cybergang
- [DarkReading] 가자 사이버범죄집단, 새로운 도구로 작전을 확장한다
Gaza Cybergang Acquires New Tools, Expands Operations - [SecurityWeek] Hamas 관련된 가자 사이버범죄집단, 새로운 범죄도구와 대상 생겼다
Hamas-Linked ‘Gaza Cybergang’ Has New Tools, Targets
- [DarkReading] 가자 사이버범죄집단, 새로운 도구로 작전을 확장한다
- Facebook Clickbait
- [theHackerNews] 페이스북의 유뷰브 링크로 위장한 가짜링크 주의
Wait, Do You Really Think That’s A YouTube URL? Spoofing Links On Facebook
- [theHackerNews] 페이스북의 유뷰브 링크로 위장한 가짜링크 주의
Malware/Exploit/Vulnerability
Summaries
- Sage 랜섬웨어가 분석 방해 기능을 갖췄다. Fortinet의 보고서에 따르면, Sage 랜섬웨어가 권한상승 및 탐지우회를 위한 새로운 기능을 추가했다. 2017년 초 활발히 활동하다 최근 6개월 이상 별다른 활동을 보이지 않았던 Sage 랜섬웨어가 분석방해 기능과 권한상승 기능을 추가한 샘플이 발견되며 새로운 주목을 받았다. 악성 자바스크립트 첨부파일을 포함한 스팸메일로 배포되는 Sage 랜섬웨어가 Locky 랜섬웨어와 동일한 유포 인프라구조를 공유한다는 사실도 드러났다. 악성 매크로를 포함한 문서파일로도 유포되고 있으며 info 및 top 도메인을 활용한다.
- 정보를 유출하는 “Catch-All” 악성 크롬 확장기능이 퍼지고 있다. WhatsApp의 사진으로 위장한 피싱 메일이 악성 크롬 확장기능을 유포하고 있으며, 사진대신 드롭퍼(dropper)를 다운로드하게 한다. 이 드롭퍼가 실행되면 가짜 Adobe PDF Reader Installer 화면을 보여주며 설치하게 한다. 이 인스톨러는 md0.exe, md1.exe라는 두 실행 파일을 설치하는데, md0은 윈도우즈 방화벽을 비활성화 하고, 구글 크롬의 모든 프로세스를 종료한다. 그리고 세이프브라우징 다운로드 보호기능 같은 여러 보안기능을 해제한다. 일단 이 행위들이 성공하면 구글 크롬의 런쳐(launcher)파일을 교체하고, 이 확장기능은 웹에서 전송되는 데이터를 악성코드 C&C서버로 Ajax를 통해 전송한다.
Detailed News List
- Sage ransomware
- [SecurityWeek] Sage 랜섬웨어 분석방지를 위한 기능들 추가
Sage Ransomware Gets Anti-Analysis Capabilities - [Fortinet] 우회기능 갖춘 Sage 2.2 랜섬웨어 더 많은 국가를 대상으로 한다
Evasive Sage 2.2 Ransomware Variant Targets More Countries
- [SecurityWeek] Sage 랜섬웨어 분석방지를 위한 기능들 추가
- Chrome extension
- [HelpNetSecurity] 악성 크롬 확장기능이 데이터를 훔친다
Malicious Chrome extension steals all data - [SANS ICS] “Catch-All” 구글 크롬 악성 확장기능이 Post 데이터를 훔친다
“Catch-All” Google Chrome Malicious Extension Steals All Posted Data
- [HelpNetSecurity] 악성 크롬 확장기능이 데이터를 훔친다
Security Breach/Info Leakage
Summaries
- 구글의 내부 버그트래킹 시스템의 버그로, 심각한 취약점 정보들이 노출되었다. 구글 내부에서 사용하고 있는 이슈 트래커인 버가나이저(Buganizer)는 구글 제품 및 서비스에 대한 이슈를 기록/관리하는 시스템이다. 외부 사용자는 극히 제한된 정보만 열람할 수 있으나, 보안연구가 Alex Birsan이 취약점을 찾아냈다. Birsan은 구글의 메일주소로 위장하여 시스템의 백엔드에 접근할 수 있었다. 그 결과 Birsan은 수천개의 버그리포트를 확인할 수 있었으며, 몇몇은 최우선순위(Priority zero)에 해당하는 취약점이었다. 이 취약점에 대하여 Birsan은 구글로부터 $15,600의 보상금을 받았다.
- 영국 퀸즈 파크(Queens Park)의 일버트 스트릿(Ilbert Street)에서 발견된 USB 스틱에서 히스로(Heathrow) 공항에 대한 기밀정보 파일들이 발견되었다. 앞선 30일자 보도와 동일한 내용이다. 매우 민감한 자료들이 USB 스틱에 저장된 채 버려져 있는 것이 발견되었으며, 해당 저장장치에는 2.5GB의 암호화되지 않은 데이터들이 들어있었다. 저장된 것은 지도, 사진, 동영상 등의 파일들이었는데, 거기에는 왕비를 포함한 외국 VIP들, 내각 각료(cabinet members)들에 대한 보호조치들과 같은 극히 민감한 정보들이 포함되어 있었다.
- Dark Overload 해커그룹에 의해 노출되었던 성형외과의 고객정보에 대해서 정보 공개에 대한 위협과 함께 몸값을 요구하고 나섰다. Dark Overload 해커그룹은 정보를 유출당한 London Bridge Plastic Surgery(LBPS) 클리닉이 요구사항을 들어주지 않을경우 사진들을 공개하겠다고 협박했다. Dark Overload는 이전에도 미 의료기관, 학교에 대한 공격 및 넷플릭스를 공격해 미공개된 에피소드를 유출시킨 사건 등에 연관된 해커그룹이다.
Detailed News List
- Google Bug Database Flaws
- [DarkReading] 구글 버그 데이터베이스 취약점으로 심각한 취약점 정보 노출
Google Bug Database Flaws Expose Severe Vulnerabilities
- [DarkReading] 구글 버그 데이터베이스 취약점으로 심각한 취약점 정보 노출
- Heathrow USB Stick
- [HackRead] 런던 길위에 떨어진 USB 스틱에 히스로 공항 보안데이터 및 여왕에 대한 자료 발견
USB Stick with Heathrow Security and Queen’ Data Found on London Street - [SecurityWeek] 히스로 공항, 어떻게 런던 길위에서 보안데이터가 발견되었는가 밝힐 수사 진행중
Heathrow Probes How Security Data Found on London Street
- [HackRead] 런던 길위에 떨어진 USB 스틱에 히스로 공항 보안데이터 및 여왕에 대한 자료 발견
- London Bridge Plastic Surgery
- [HackRead] 런던 성형외과 환자정보 공개 협박
The Dark Overlord hacks plastic surgery clinic; demands ransom
- [HackRead] 런던 성형외과 환자정보 공개 협박
Crypto Currency
Summaries
- 구글 플레이스토어에서 모네로 채굴하는 악성 앱이 세 건 발견되었다. 트렌드 마이크로의 보안연구가들이 동적 자바스크립트 로딩과 네이티브 코드 인젝션을 통해 탐지를 회피하는 어플리케이션을 찾아냈다. Recitiamo Santo Rosario라는 이름의 종교관련 어플리케이션과 WiFi 보안, 자동차 배경화면을 제공하는 어플리케이션 이었다.
Detailed News List
- Monero mining malware apps
- [HackRead] 모네로 채굴 악성 앱 발견
Three Monero Mining Malware Apps Found on Play Store - [HelpNetSecurity] 구글플레이에 등록되어있는 암호화폐 채굴하는 스크립트가 심어진 어플리케이션들
Cryptocurrency-mining script planted in apps on Google Play
- [HackRead] 모네로 채굴 악성 앱 발견
Patch/Update
Summaries
- 오라클이 Identity Manager의 치명적인 취약점을 수정했다. 취약점 번호 CVE-2017-10151은 오라클에 아무런 사용자 상호작용 없이, 네트워크에서 HTTP를 통해 Oracle Identity Manager를 공격할 수 있는 익스플로잇이다. 이 취약점은 HTTP를 통해 접근할 수 있는 기본 계정이 존재해서 발생한다.
Detailed News List
- Oracle
- [SecurityWeek] 오라클 Identity Manager의 취약점 수정
Oracle Patches Critical Flaw in Identity Manager
- [SecurityWeek] 오라클 Identity Manager의 취약점 수정
Technology/Technical Document/Report
Summaries
- 파이어폭스 58에서 캔버스 핑거프린팅(Canvas fingerprinting) 차단기능을 제공한다. 쿠키를 사용하지 않고 사용자를 구분 및 추척할 수 있는 기술 중 하나인 캔버스 핑거프린팅에 대한 차단 기능이 2018년 1월에 발표될 Firefox 58에 추가될 예정이다. 캔버스 핑거프린팅은 웹사이트나 광고회사에서 온라인 행위들을 추적하기 위해 사용하는 방법 중 하나로, HTML5 엘리먼트인 canvas에서 다양한 정보를 추출해서 사용한다. Canvas 엘리먼트를 사용하는 방법으로 사용자가 알지 못하는 사이에 브라우저, 운영체제, 설치된 그래픽 하드웨어 등의 정보를 추출해 사용자를 추적할 수 있었다.
Detailed News List
- Firefox 58 & Canvas
- [DigitalTrends] Firefox 58, 캔버스 핑거프린팅 막는다
Firefox 58 to block ‘canvas fingerprinting,’ a new way for sites to track users - [NakedSecurity] Firefox, 캔버스 ‘슈퍼쿠키’ 막는다
Firefox takes a bite out of the canvas ‘super cookie’ - [HelpNetSecurity] Firefox 곧 canvas기반의 브라우저 핑거프린팅 막는다
Firefox will soon block canvas-based browser fingerprinting attempts
- [DigitalTrends] Firefox 58, 캔버스 핑거프린팅 막는다
Deep Web/DarkNet/Onion
Summaries
- –
Detailed News List
- –
Industrial/Infrastructure/Physical System/HVAC
Summaries
- –
Detailed News List
- –
Legislation/Politics/Policy/Regulation/Law Enforcement
Summaries
- –
Detailed News List
- –
Internet of Things
Summaries
- –
Detailed News List
- –
Social Engineering
Summaries
- –
Detailed News List
- –
Privacy
Summaries
- –
Detailed News List
- –