Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[월:] 2017년 11월

Security Newsletters, 2017 Nov 30th, UBoatRAT 外

Posted on 2017-11-30 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Malwares/Exploits/Vulnerabilities

Summaries

  • UBoatRAT라는 이름의 원격 제어 트로이가 대한민국 비디오 게임 산업의 기관 및 개인을 대상으로 유포되고있다. UBoatRAT은 구글 드라이브 링크를 통해 배포되고 있다. 이 악성코드는 C&C 서버 주소를 GitHub에서 얻고, 마이크로소프트 윈도우즈의 BITS(Background Intelligent Transfer Service)를 사용한다. 이 악성코드는 2017년 5월에 최초 발견되었을 당시에는 홍콩의 공개 블로그 서비스와 일본의 침해 웹서버를 C&C용도로 사용하는 간단한 HTTP 백도어였다. 그때부터 개발자가 다양한 기능을 추가하고 여름을 거치면서 업데이트된 버젼을 릴리즈했다. 아직 정확한 공격 대상은 불분명하지만, 팔로알토 네트웍스(Palo Alto Networks)는 대한민국이나 비디오게임 산업과 관련된 것으로 보고있다. 한글 게임 제목과 한국기반의 게임 회사 이름, 비디오게임 산업에서 사용되는 단어들이 확인되었기 때문이다.
  • 무료 오픈소스 전자 의료기록 관리 소프트웨어 OpenEMR(open-EMR.org)에 존재하는 취약점으로 환자의 의료기록 및 개인식별 가능 정보가 유출 될 수 있는 것으로 드러났다. OpenEMR은 전세계에서 사용되며, 2012년 예상으로는 미국내 설치 건수가 5천건이 넘고 전세계적으로는 15,000건이 넘는다. 취약점은 이전에 OpenEMR에서 발견된 취약점을 리뷰하는 과정에서 발견되었고, 개발자에게 공개되었다. 버그픽스는 11월 초 OpenEMR v5.0.0의 여섯번째 패치에 포함되어 발표되었다.

Detailed News List

  • UBoatRAT
    • [SecurityWeek]
      New Custom RAT Hits Targets in East Asia
    • [PaloAltoNetworks]
      UBoatRAT Navigates East Asia
  • OpenEMR
    • [HelpNetSecurity]
      OpenEMR flaw leaves millions of medical records exposed to attackers

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 삼성전자가 버그크라우드(Bugcrowd)와 협력해 모바일 보안 보상 프로그램의 적시 지불을 진행한다. 삼성전자가 수요일에 발표한 내용에 따르면, 이제 두달 된 삼성전자의 버그바운티 프로그램에서 보상 지불과정을 버그크라우드가 진행하도록 하여 가속화 한다. 삼성전자의 모바일 보안 보상 프로그램에서 보안 연구가는 취약점의 심각도 등에 따라 취약점당 20만 달러까지 보상을 받을 수 있다.
  • 해커 Lauri Love의 미국으로의 범죄인 인도(extradition)에 대한 재판이 런던의 Royal Courts of Justice에서 시작된다. 미 검사들은 33세의 Love를 ‘민간 기업 및 미국 정부 기관의 웹사이트와 컴퓨터 시스템에 대한 다수의 사이버 공격’ 혐의로 고소했다. Love는 SQL Injection과 Adobe ColdFusion의 취약점 악용, 추후 공격을 위해 서버에 백도어를 심은 혐의를 받고 있다. Love는 미국에서 재판을 받게되면 최대 99년형에 처해질 것으로 보인다.

Detailed News List

  • Samsung Mobile
    • [DarkReading]
      Samsung’s Mobile Device Bug Bounty Program Gets a Boost
    • [SecurityWeek]
      Samsung Adopts Bugcrowd to Manage Mobile Security Rewards Program
  • Lauri Love’s Extradition
    • [TheRegister]
      Accused hacker Lauri Love’s extradition appeal begins

 

Vulnerability Patches/Software Updates

Summaries

  • 애플이 비밀번호 없이도 root 권한을 얻을 수 있는 macOS High Sierra의 버그에 대한 패치를 급히 공개했다.

Detailed News List

  • Apple MacOS High Sierra
    • [TheRegister]
      As Apple fixes macOS root password hole, here’s what went wrong
    • [ZDNet]
      Apple fixes macOS password flaw
    • [ThreatPost]
      Apple Announces Emergency Patch to Fix High Sierra Login Bug
    • [NakedSecurity]
      Apple closes that big root hole – “Install this update as soon as possible”
    • [Graham Cluley]
      Apple fixes root password bug: ‘Install this update as soon as possible’
    • [SecurityWeek]
      Apple Patches Critical Root Access Flaw in macOS

 

Cyber Intelligence/Open Source Intelligence

Summaries

  • Fancy Bear 혹은 APT28, Sofacy, Iron Twilight, Pawn Storm으로 알려진 러시아와 연관된 악명높은 해커그룹의 흔적이 영국에서 발견되었다. 해커들이 영국에 등록된 회사에서 서버를 구매해 사용하면서 몇몇 흔적을 남긴 것을 BBC가 찾아냈다. 해커들은 이 컴퓨터를 사용해 독일 의회를 공격했으며, 나이지리아 정부 웹사이트의 트래픽을 하이재킹하고 애플 장치들을 공격 대상으로 삼았다. Crookservers는 잠시 Oldham에 위치한 적이 있었다. BBC에 의해 확인된 Crookservers의 기술 및 재무 정보에 따르면 Fancy Bear는 중요 자금에 접근할 수 있었고, 온라인 금융 서비스를 받았으며, 일부는 자금세탁 방지 작전에 의해 일부 폐쇄되었다. 3년 넘게 Fancy Bear는 컴퓨터들을 Crookservers를 통해 임대했고, 가짜 신분과 가상 사설 네트워크와 추적하기 힘든 지불 시스템으로 그 흔적을 지워왔다.

Detailed News List

  • Fancy Bear
    • [EHackingNews]
      Fancy Bear hackers’ UK link revealed

 

Privacy

Summaries

  • 컨퍼런스 콜의 현저한 보안 헛점을 드러내는 조사결과가 공개됐다. 루프업(LoopUp)이 1,000명의 비즈니스 전문가를 대상으로 조사한 결과에 따르면, 70%의 대상자가 컨퍼런스 콜에서 기밀정보를 의논하는게 일반적이라 답했으며, 절반 이상은 누가 해당 회의에 들어와 있는지 알지 못하는게 일반적이라고 인정했다. 이는 종종 전형적인 접화접속 회의의 불완전성 때문인 것으로 루프업은 지적했다. 누가 회의에 들어와 있는지에 대한 가시성이 부족하며, 원치않는 손님을 내보낼 수 있는 제어력이 부족한 것이다. 더 나아가 66%는 1년 이상 전화접속 회의에 같은 비밀번호를 쓰는 것으로 드러났다.

Detailed News List

  • Conference Calls
    • [InfoSecurityMagazine]
      Conference Calls a ‘Significant & Overlooked’ Security Gap in the Enterprise

 

Data Breaches/Info Leakages

Summaries

  • 영국의 물류운송기업 클락슨(Clarksons)이 사이버 보안 사고의 피해를 입었을 수 있다면서 정보를 도난당했을 수 있다고 경고했다. 클락슨은 기밀정보가 도난당했으며, 해커들이 요구한 금액을 지불하지 않기로 결정하면서 정보가 공개될 수 있다고 경고했다. 전세계 21개 국가에 49개의 사무실을 가지고 있는 클락슨은 어떤 정보가 잠재적으로 해커에의해 도난당했을 수 있는지, 언제 사고가 일어났는지, 언제 발견되었는지 아직 공개하지 않았다.

Detailed News List

  • Clarksons
    • [TripWire]
      U.K. Shipping Company Clarksons Hit by Cyberattack, Refuses to Pay Ransom
    • [ZDNet]
      Shipping firm warns that hackers may leak confidential information
    • [SecurityWeek]
      Hackers Target U.K. Shipping Giant Clarkson
    • [TheRegister]
      Hacked Brit shipping giant Clarksons: A person may release some of our data today

 

Industrial/Infrastructure/Physical System/HVAC/SCADA

Summaries

  • 최근 패치된 Dnsmasq가 아직도 지멘스(Siemens)사의 산업용 장비들에 영향을 미치는 것으로 나타났다. 지멘스는 보안 경고문을 공개했는데, Dnsmasq 취약점 7개중 4개가 자사의 SCALANCE 제품에 영향을 미친다고 밝혔다. 10월에 구글 보안연구가는 Dnsmasq 소프트웨어 패키지에서 7개의 서로다른 취약점을 발견했다. Dnsmasq는 다양한 곳에서 많이 사용되는데, 지멘스도 SCALANCE 제품들과 W1750D 컨트롤러기반 direct access points, M800 산업용 라우터, S615 방화벽이 영향을 받는다고 밝혔다. 세 취약점 (CVE-2017-13704, CVE-2017-14495, CVE-2017-14496)은 조작된 요청을 UDP 포트 53번으로 보내 Dnsmasq 프로세스를 중단시킬 수 있다. SCALANCE 제품군은 CVE-2017-14491에도 영향을 받는다. 이 취약점은 공격자에 의해 서비스거부 상태에 빠지거나 임의의 코드를 취약한 장치에서 실행할 수 있다.

Detailed News List

  • Dnsmasq still affect Siemens
    • [SecurityAffairs]
      Recently Patched Dnsmasq still affect Siemens Industrial devices
    • [SecurityWeek]
      Recently Patched Dnsmasq Flaws Affect Siemens Industrial Devices

 

Posted in Security, Security NewsTagged APT28, Bug Bounty Program, CVE-2017-13704, CVE-2017-14491, CVE-2017-14495, CVE-2017-14496, Cyber Intelligence, Data Breach, Fancy Bear, Industrial Control System, Information Leakage, Iron Twilight, OpenEMR, Patches, Pawn Storm, Privacy, Sofacy, UBoatRAT, VulnerabilityLeave a comment

Security Newsletters, 2017 Nov 29th, ROKRAT 악성코드 外

Posted on 2017-11-29 - 2017-11-29 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Malwares/Exploits/Vulnerabilities

Summaries

  • 새로운 Ursnif 변종이 유포되고 있다. FireEye에 의해 탐지된 이 변종(Ursnif/Gozi-ISFB)은 조작된 TLS(Thread Local Storage) Callback 기술을 사용한다. 최근 관찰된 이 변종 악성코드는 스팸메일을 통해 유포되고 있다.
  • 애플의 macOS High Sierra가 루트 권한을 비밀번호를 입력하지 않고 획득할 수 있어 문제가 되고있다. macOS 10.13으로 알려진 High Sierra에서 사용자가 비밀번호 없이 root로 로그인 할 수 있다. 관리자 아이디 및 비밀번호를 묻는 인증 창에 root를 사용자명으로 입력하고 비밀번호는 공란으로 비워두면 된다. 물리적으로 컴퓨터에 접근할 수만 있다면, 최고관리자 권한으로 아무 일이나 가능한 것이다.
  • 구글이 WhatsApp, Skype를 염탐하는 안드로이드 스파이웨어를 탐지했다. 머신러닝 기반으로 유해 앱을 찾아내는 구글 플레이 프로텍트(Google Play Protect)가 최근 구글 연구자들이 사용자로부터 다양한 정보를 훔치는 새로운 안드로이드 스파이웨어를 찾아내는데 일조했다. 아프리카 국가의 안드로이드 장치에서 발견된 Tizi는 페이스북(Facebook), 트위터(Twitter), 왓츠앱(WhatsApp), 바이버(Viber), 스카이프(Skype), 링크드인(LinkedIn), 텔레그램(Telegram) 등 유명 소셜 미디어 앱으로부터 민감 데이터를 훔칠 수 있는 스파이웨어를 피해자의 장치에 설치할 수 있는 루팅 능력을 가진 안드로이드 백도어다. Tizi에 감염되면 스파이웨어 설치를 위해 루트 권한을 획득한 후, C&C서버에 감염장치의 GPS위치를 SMS를 통해 전송한다. 루트 권한을 획득하기 위해 사용하는 취약점 번호는 다음과 같다. CVE-2012-4220, CVE-2013-2596, CVE-2013-2597, CVE-2013-2595, CVE-2013-2094, CVE-2013-6282, CVE-2014-3153, CVE-2015-3636, CVE-2015-1805
  • 대한민국을 노리는 ROKRAT이 다시 재부상하고 있다. Cisco Talos의 분석 결과에 따르면, 이번달 새로운 버젼의 ROKRAT 악성코드가 탐지되었다. 이 버젼은 기존의 코드와 동일한 정찰(reconnaissance)코드를 포함하고 있으며, “Evil New Years”로 명명한 샘플과 유사한 PDB 패턴을 갖는다. 그리고 ROKRAT과 동일한 클라우드 기능과 복사/붙여넣기 방식을 보인다. 이번 버젼에서는 클라우드 기반을 C&C로 활용하는 것이 정확히 동일하진 않으며, pcloud, box, dropbox, yandex를 사용한다. 새로운 버젼의 ROKRAT은 FreeMilk 캠페인에 사용된 Freenki 다운로더 코드를 공유하며, 악성 HWP 문서를 통해 유포가 시작되었다. 이 문서는 올바른 인권통일을 위한 시민모임(올인통) 김태훈 변호사가 작성한 문서로 꾸며져 있다.
  • 새로운 BankBot이 구글 플레이의 탐지 시스템을 회피하여 유포중이다. 모바일 은행 트로이인 BankBot이 페이로드 다운로드 방식으로 구글 플레이 프로텍트(Google Play Protect)를 회피하고 있다. Avast, SfyLabs, ESET의 연구자들이 찾아낸 결과에 따르면, 뱅크봇(BankBot)의 새로운 버젼은 자신의 페이로드를 외부 출처로부터 다운로드 받는 방식으로 구글 플레이의 탐지기능을 회피하고 있다. 일단 이 트로이가 설치되면, 정상적인 은행 앱을 실행할 때 까지 기다렸다가, 복사한 앱을 화면에 덮어씌운다. 이 앱은 단순히 사용자의 은행 인증정보만 훔치는 것이 아니라, 모바일 계좌이체 인증번호 문자 메시지까지 가로챈다.
  • (28일에서 이어짐) 아이폰X의 페이스아이디(FaceID)를 약 150달러짜리 가면을 통해 인증을 통과했었던 베트남의 사이버보안 기업인 Bkav가 이번에는 새로운 가면으로 다시 시도한 페이스아이디 인증 통과 내용을 공개했다. 이번에는 약 200달러로 가면을 만들었는데, 이전과는 다르게 3D 프린터로 전체 얼굴을 찍어낸 후 눈만 2D 프린팅을 해서 붙인 가면으로 통과했다.
  • (28일에서 이어짐) 새로운 미라이(Mirai) 변종이 급격히 확산되고 있다. Qihoo 360 Netlab의 보안연구가 Li Fengpei에 따르면, 공개 익스플로잇 데이터베이스(Exploit-DB.com)의 PoC(Proof-of-Concept) 코드(https://www.exploit-db.com/exploits/43105/)가 Mirai 봇넷 활동 증가의 근본 원인이다. 이 익스플로잇이 10월 31일에 공개된 후, 보안전문가들이 익스플로잇을 사용한 스캔이 11월 22일 수요일에 시작되는 것을 확인했다. 이 PoC는 구형 ZyXEL PK5001Z 라우터에 존재하는 취약점 CVE-2016-10401을 공격하는데, 2016년 1월에 공개된 취약점이다. ZyXEL PK5001Z 라우터는 하드코딩된 최고관리자 비밀번호(zyad5001)가 존재해 사용자 권한을 루트 권한으로 상승하는데 사용될 수 있다. su 명령의 비밀번호로는 장치에 로그인 할 수 없지만, 해커들은 다수의 ZyXEL 장비들이 admin/CentryL1nk 또는 admin/QwestM0dem을 기본 텔넷 인증정보로 사용하는 것을 사용해 공격에 악용하고 있다.

Detailed News List

  • Ursnif Variant
    • [FireEye]
      Newly Observed Ursnif Variant Employs Malicious TLS Callback Technique to Achieve Process Injection
    • [SecurityIntelligence]
      Ursnif v3 Emerges, Targets Australian Bank Customers With Redirection Attacks
  • macOS High Sierra allows root without password
    • [KrebsOnSecurity]
      MacOS High Sierra Users: Change Root Password Now
    • [ZDNet]
      Stupid, stupid MacOS security flaw grants admin access to anyone
    • [SlashDot]
      MacOS High Sierra Bug Allows Login As Root With No Password
    • [Forbes]
      Stupid Bug Lets Anyone Change Apple macOS High Sierra Passwords — Here’s How To Fix It
    • [CyberScoop]
      Serious flaw in Apple’s MacOS allows any user to gain full root access
    • [TheRegister]
      Pro tip: You can log into macOS High Sierra as root with no password
    • [SANS]
      Apple High Sierra Uses a Passwordless Root Account, (Tue, Nov 28th)
  • Google Detects Android Spyware Tizi
    • [TechRepublic]
      Google stops the spread of Tizi Android malware in the Play Store (TechRepublic)
    • [ThreatPost]
      Google Detects and Boots Tizi Spyware Off Google Play
    • [SecurityAffairs]
      Google detects Android Tizi Spyware that spies on popular apps like WhatsApp and Telegram
    • [VirusBulletin]
      Tizi Android malware highlights the importance of security patches for high-risk users
    • [HelpNetSecurity]
      Tizi backdoor rooted Android devices by exploiting old vulnerabilities
    • [TheHackerNews]
      Google Detects Android Spyware That Spies On WhatsApp, Skype Calls
    • [TripWire]
      Tizi Backdoor Uses Spyware to Steal Android Users’ Social Media Data
    • [ZDNet]
      Google torches this nasty Tizi Android spyware it found on Play Store
  • New ROKRAT
    • [CiscoTalos]
      ROKRAT Reloaded
  • New BankBot
    • [DarkReading]
      New BankBot Version Avoids Detection in Google Play — Again
  • FaceID
    • [IBTimes]
      Cybersecurity experts again fooled iPhone X Face ID with 3D mask
    • [9to5Mac]
      Cybersecurity experts again trick Face ID w/ 3D-printed mask & infrared eye cutouts [Video]
    • [Forbes]
      Apple Face ID ‘Fooled Again’ — This Time By $200 Evil Twin Mask
  • A new Mirai variant
    • [InformationSecurityBuzz]
      A New Mirai Variant Is Spreading Quickly
    • [THeHackerNews]
      New Mirai Botnet Variant Found Targeting ZyXEL Devices In Argentina
    • [SecurityAffairs]
      A new Mirai variant is rapidly spreading, around 100,000 IPs running the scans in the past 60 hours

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 법원 기록에 따르면 캐나다 청소년이 2014년의 야후 이메일 해킹에서 러시아 정보원을 도운 혐의로 미국에 의해 기소당했다. 카림 바라토프(Karim Baratov)는 이번 화요일에 샌프란시스코 연방법원에 출두 할 예정이며, 유죄를 인정할 것으로 예상된다. 바라토프는 22세의 캐나다 시민으로 카자흐스탄에서 태어났고, 3월에 미 검사들의 요청으로 캐나다에서 체포되었다. 그리고 이번 여름 범죄자 인도 요청에 대해 맞서 싸우는 것을 포기한 후 미국으로 송환되었다.
  • (28일에서 이어짐) NHS가 2천만 파운드 규모의 자금을 새로운 사이버보안 센터를 건립해 화이트햇 해커를 사용해 지속적으로 공격에 대한 검사를 하고 기관의 방어에 대한 검증을 하는데 투자할 예정이다. NHS는 이 금액을 “전체 의료 및 복지 시스템에 대한 국가적인, 실시간에 근접한 모니터링과 경보 서비스”를 만드는데 사용할 예정이라고 밝혔다.
  • (28일에서 이어짐) 세명의 중국인이 세 개의 기업, 무디스 애널리틱스(Moody’s Analytics), 트림블(Trimble), 지멘스(Siemens)를 해킹해 민감정보와 거래비밀 수 기가바이트를 훔친 사이버범죄 혐의로 기소당했다. 미 사법부는 이들이 중국의 정보 기술 유한 회사 Boyusec 소속이며, 사이버보안 연구자들에 의해 중국 정부으 후원을 받는 사이버 스파이 그룹과 연계되어 있다고 말했다. 사법부에 따르면 기소당한 세명의 이름은 Wu Yingzhuo, Dong Hao, Xia Lei다.

Detailed News List

  • Canadian accused Yahoo hacking case
    • [eHackingNews]
      Canadian accused in 2014’s Yahoo Hacking Case
  • NHS to hire white hat
    • [InformationAge]
      NHS looks to up its cyber security game
    • [InformationSecurityBuzz]
      NHS Digital Is Investing £20million For A Central Cybersecurity Unit
    • [EnterpriseTimes]
      NHS Digital £20 million cybersecurity project
    • [TheInquirer]
      NHS to hire white hat hackers as part of £20m cybersecurity investment
    • [TheRegister]
      Looking for scrubs? Nah, NHS wants white hats – the infosec techie kind
    • [FierceBiotech]
      UK to hire hackers in $27M health cybersecuritypush
    • [ZDNet]
      After WannaCry ransomware attack, the NHS is toughening its cyber defences
  • DoJ charged three chienese
    • [CSOOnline]
      US charged 3 Chinese security firm hackers with corporate cyber-espionage
    • [ARSTechnica]
      Security Firm Was Front For Advanced Chinese Hacking Op
    • [ZDNet]
      US indicts Chinese hackers for corporate espionage
    • [InfoSecurityMagazine]
      Alleged Chinese Intelligence Officers Indicted by DoJ
    • [TheHackerNews]
      U.S. Charges Three Chinese Hackers for Hacking Siemens, Trimble & Moody
    • [SecurityAffairs]
      US indicts Chinese hackers belonging to APT3 for espionage on Siemens and Moody’s
    • [TheRegister]
      Chinese IT security bods accused of siphoning US GPS, biz blueprints
    • [CyberScoop]
      DOJ reveals indictment against Chinese cyber spies that stole U.S. business secrets
    • [Forbes]
      Hackers Linked To Dangerous Chinese Group Charged With Stealing 400GB Of Data From Siemens (Forbes)
    • [SecurityWeek]
      U.S. Indicts Chinese For Hacking Siemens, Moody’s

 

Vulnerability Patches/Software Updates

Summaries

  • PowerDNS가 “Authoriative” 및 “Recursor” 제품에 대해 공개된 버그를 소프트웨어 업데이트로 패치하라고 사용자들에게 알렸다. 버그가 있는 소프트웨어가 DNS이다보니 공격당할 경우 심각한 문제를 야기할 수 있다. 패치된 다섯가지 취약점들은 CVE-2017-15090, CVE-2017-15094, CVE-2017-15092, CVE-2017-15093, CVE-2017-15091 이다. 취약한 Recursor는 4.0.0 부터 4.0.6 까지다. 취약한 Authoritative는 4.0.4와 3.4.11 까지다.

Detailed News List

  • PowerDNS
    • [SecurityWeek]
      Several Vulnerabilities Patched in PowerDNS
    • [TheRegister]
      Open source nameserver used by millions needs patching
    • [HelpNetSecurity]
      PowerDNS patches five security holes in widely used nameserver software

 

Data Breaches/Info Leakages

Summaries

  • 미 육군과 NSA가 연합한 미군 및 정치인 대상 첩보수집 업무를 하는 INSCOM(Intelligence and Security Command)의 데이터가 인터넷에서 또 발견되었다. UpGuard Cyber Risk Team은 INSCOM의 데이터를 인터넷에서 발견했는데, 아마존 웹 서비스 S3 클라우드 스토리지 버켓에 누구나 접근 가능한 상태로 노출되어 있었다. 그러나 문제가 심각해 보이는 것이, 다운로드 가능한 데이터들 중에 고도의 민감 자료나 외국 동맹에게 전파 금지대상인 자료들인 일급비밀(Top Secret)로 분류된 정보와, NOFORN으로 분류된 데이터가 있다는 것이다. 특히 Red Disk라는 코드네임을 가진 100기가바이트 이상의 데이터를 포함한 가상 디스크 이미지가 유출되었다.
  • (28일에서 이어짐) 영국의 한 엘리트 클럽이 회원 5천명의 데이터가 도난당했다고 발표했다. 이 사건은 런던에 위치한 옥스퍼드 및 캠브릿지 클럽의 사무실에 있는 백업 컴퓨터 드라이브를 훔쳐서 발생했다. 이 드라이브에는 100명의 직원과 5000명의 회원들의 이름, 이메일 주소, 전화번호, 생일, 사진, 은행정보등이 포함되어 있었다. 신용카드 정보는 도둑맞은 데이터에 포함되지 않았다.
  • (28일에서 이어짐) BulletProof Coffee가 해킹당했다. 실리콘밸리 출신의 사업가가 만든 방탄커피(BulletProof Coffee)가 해킹당해 웹사이트에 악성 코드가 삽입되었고, 사용자의 신용카드 정보를 몇달간 탈취해온 것으로 드러났다. 도난당한 정보는 은행 카드 번호, 만료일자, 보안코드번호(CVV), 이름, 주소, 이메일 주소다.

Detailed News List

  • INSCOM
    • [SecurityAffairs]
      Top Secret US Army and NSA documents left exposed on Amazon S3 bucket
    • [ZDNet]
      New details of NSA’s Ragtime program appear in leaked files
    • [ThreatPost]
      Leaky AWS Storage Bucket Spills Military Secrets, Again
    • [InfoSecurityMagazine]
      Pentagon Exposes Top Secret Classified Info to Public Internet
    • [CyberScoop]
      Top secret Army, NSA data found on public internet due to misconfigured AWS server
    • [ZDNet]
      New NSA leak exposes Red Disk, the Army’s failed intelligence system
    • [TheRegister]
      US intelligence blabs classified Linux VM to world via leaky S3 silo
  • UK Club Data Breach
    • [EHackingNews]
      The Oxford and Cambridge Club, one of the United Kingdom’s most elite gentlemen’s clubs open to alumni of the universit…
    • [TripWire]
      Elite UK Club Announces Theft of 5,000 Members’ Data
  • BulletProof is not bulletproof
    • [SecurityAffairs]
      Bulletproof 360 website was hacked. Personal and financial data exposed
    • [SecurityWeek]
      Bulletproof Coffee Cannot Keep Hackers Out
    • [TheRegister]
      Bulletproof Coffee lacks bulletproof security: Nerd brain juice biz hacked, cards gulped

 

Industrial/Infrastructure/Physical System/HVAC/SCADA

Summaries

  • (28일에서 이어짐) 해커들이 대형 선박의 균형을 맞추기 위한 적재 계획 소프트웨어(Load Planning Software)를 공격할 수 있다는 기사가 나왔다. 선박에서 사용하는 적재 계획 소프트웨어가 보안 메시징 시스템을 사용하지 않고 개발되었으며, 운송라인, 터미널, 항만 당국 사이에 오가는 메시지가 존재한다. 매일 대형 선박들은 BAPLIE라 불리는 시스템으로 200,000톤 가량의 무게를 나르는 수천개의 컨테이너를 처리하는데, 이 시스템은 항만 당국에 각각의 컨테이너가 어디에 위치할지에 대해 알린다. 그러나 업데이트 되지 않은 시스템을 사용하면, 사이버 범죄자들이 세관으로 보내는 정보를 조작해 실제 내용과 무게를 바꿀 수 있다.

Detailed News List

  • Load Planning Software
    • [SecurityAffairs]
      Hackers can easily target container ships by hacking load plans due to its vulnerable messaging system
    • [HackRead]
      Hackers can Exploit Load Planning Software to Capsize Balance of Large Vessels

 

Internet of Things

Summaries

  • 차키를 주머니에서 꺼내지 않고 차 시동을 거는 것은 최근 차량에서 지원되는 소소한 편의기능중 하나다. 그러나 불행하게도 이러한 기능을 자동차 도둑들도 편리하게 사용할 수 있다. 영국 웨스트 미드랜드(West Midlands) 경찰이 공개한 CCTV 화면에 따르면, 차량 도둑들이 릴레이 박스를 가지고 차 문을 잠금 해제한 뒤, 차를 몰고 가버리는데 약 1분이 안되는 시간이 걸렸다. 도둑들은 차 열쇠로부터 차량으로의 신호를 연계해주는 릴레이박스(Relay box)장비를 가지고 다니며, 한명은 집 근처에서 차 열쇠 신호를 잡고 두번째 박스로 전달한다. 신호를 전달받은 사람은 차량 문을 연 뒤 키 없이 시동을 거는 방법으로 운전해 차량을 가지고 도주한다.

Detailed News List

  • No Key Required
    • [HackRead]
      Gone in Seconds: Hackers Steal Mercedes Car without Key
    • [InformationSecurityBuzz]
      How Criminals Can Steal A Car Without The Keys
    • [HelpNetSecurity]
      No key required: How thieves use relay boxes to steal cars
    • [InfomationSecurityBuzz]
      Nine In Ten UK Consumers Have Security Concerns Around Connected Cars
    • [BBC]
      Mercedes ‘relay’ box thieves caught on CCTV in Solihull
    • [Schneier on Security]
      Man-in-the-Middle Attack against Electronic Car-Door Openers

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • Anomali에 따르면, FTSE 100(런던 증권거래소 상장 주식중 시가총액 상위 100개기업) 기업의 평문 비밀번호가 포함된 수천개의 로그인 정보가 다크웹에서 유통되고 있다. 이번 년도 4월에서 7월까지의 모니터링 결과, 각 FTSE 100 기업에 평균 218개의 사용자명과 비밀번호가 발견되었다. 유출된 로그인 정보는 작년에 비해 세배나 증가한 양으로, 전체 5,275건에서 16,583건으로 증가했다. 은행부문이 가장 최악의 결과를 보였는데, 거의 1/4에 해당하는 23%의 인증정보가 노출되었다.

Detailed News List

  • FTSE 100
    • [InfoSecurityMagazine]
      Thousands of FTSE 100 Corporate Log-Ins Found on Dark Web

 

Posted in Security, Security NewsTagged BankBot, CVE-2012-4220, CVE-2013-2094, CVE-2013-2595, CVE-2013-2596, CVE-2013-2597, CVE-2013-6282, CVE-2014-3153, CVE-2015-1805, CVE-2015-3636, CVE-2017-15090, CVE-2017-15091, CVE-2017-15092, CVE-2017-15093, CVE-2017-15094, DarkNet, Data Breach, Deep web, Industrial Control System, Information Leakage, INSCOM, Internet of Things, IoT, Malware, Patches, Relay box, ROKRAT, Tizi, UrsnifLeave a comment

Security Newsletters, 2017 Nov 28th, BitCoinGold 악성코드 외

Posted on 2017-11-28 - 2017-11-28 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats

Summaries

  • 세계 최대 규모의 스팸 봇넷인 Necurs가 Scarab 랜섬웨어를 유포중이라는 경고 기사가 이어지고 있다. 전세계 컴퓨터로 시간당 2,000,000건 이상의 스팸메일을 전송하고 있다.
  • 이라크 해커 그룹인 Daeshgram이 IS의 공식 홈페이지를 대상으로 공격해 포르노 이미지를 홈페이지에 올렸다. Daeshgram의 회원들은 이 공격의 동기는 ISIS 지지자들 사이에 그룹의 리더로부터 전달되는 메시지에 대한 불신을 확산시키기 위함이라고 답했다.
  • 코발트 그룹(Cobalt group)이 이번달 초 패치된 마이크로소프트 오피스(Microsoft Office)의 수식 편집기(Equation Editor)에 존재하는 17년 된 취약점 CVE-2017-11882를 공격하고 있다. 과학 및 수학 수식을 만들기 위한 구성요소인 수식편집기는 오피스 2007에서 교체되었지만, 하위 호환성을 위해 계속 포함되어 있었다.

Detailed News list

  • Necurs sends Scarab Ransomware
    • [TheHackerNews]
      World’s Biggest Botnet Just Sent 12.5 Million Emails With Scarab Ransomware
    • [InformationSecurityBuzz]
      Millions Of Spam Emails Found Carrying SCARAB Ransomware
    • [InfoSecurityMagazine]
      Scarab Ransomware Uses Necurs to Spread to Millions of Inboxes
  • ISIS official website hacked
    • [EHackingNews]
      ISIS official website filled with Pornographic images
  • Microsoft Office Equation Editor
    • [SecurityWeek]
      Cobalt Hackers Exploit 17-Year-Old Vulnerability in Microsoft Office

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 이란 웹 개발자 Pouya Drabi가 이번달 초 페이스북에서 누구든지 어떤 사진이든 삭제할 수 있는 취약점을 발견했다. 이 취약점은 이번 달 초 페이스북이 새로 소개한 GIF 등의 사진을 포함한 투표를 올리는 기능에 있었다. Darabi의 분석결과, 새로운 투표를 생성하는 기능에서 페이스북 서버로 보내는 이미지ID나 GIF URL을 페이스북의 기타 다른 사진의ID로 누구나 수정할 수 있었다. 이렇게 바꿔서 보낸 이미지ID는 투표에 보여지게 되고, 투표 생성자가 해당 포스트를 삭제하게 되면 해당 사진도 삭제된다. 페이스북은 이 취약점을 11월 5일에 수정했다.
  • 아이폰X의 페이스아이디(FaceID)를 약 150달러짜리 가면을 통해 인증을 통과했었던 베트남의 사이버보안 기업인 Bkav가 이번에는 새로운 가면으로 다시 시도한 페이스아이디 인증 통과 내용을 공개했다. 이번에는 약 200달러로 가면을 만들었는데, 이전과는 다르게 3D 프린터로 전체 얼굴을 찍어낸 후 눈만 2D 프린팅을 해서 붙인 가면으로 통과했다.
  • 테러(Terror) 익스플로잇킷(Exploit Kit)이 모두 HTTPS 통신으로 전환했다. Malwarebytes가 27일 작성한 내용에 따르면, 지난 몇 개월 동안 테러 익스플로잇 킷을 추적한 결과 그것의 리다이렉션 메커니즘과 기반구조에서 눈에띄는 변화가 있었다. 예측 가능한 URI 패턴과 배포 채널을 사용하는 RIG 익스플로잇 킷과는 다르게, Terror 익스플로잇 킷은 악성광고 체인에서 고정된 리퍼러를 사용하지 않고, 몇몇 경우에서는 다중 단계의 필터링을 조합하거나 전달 순서 전체에 HTTPs를 사용하는 등 지속적으로 탐지 회피를 시도한다.

Detailed News List

  • Facebook Polls Bug
    • [SecurityAffairs]
      Researcher found a vulnerability in Facebook polls that allowed removal of any photo
    • [TheHackerNews]
      Another Facebook Bug Allowed Anyone to Delete Your Photos
    • [GrahamCluley]
      Facebook flaw allowed unauthorised users to delete any photo
    • [SecurityWeek]
      Facebook Flaw Allowed Removal of Any Photo
    • [NakedSecurity]
      How one man could have deleted any image on Facebook
    • [TheRegister]
      That $10,000 Facebook bug: Photos shafted, addicts screwed by polls
    • [HackRead]
      Deleting anyone’s Facebook photo, a bug that earned researcher $10,000
  • FaceID
    • [Forbes]
      Apple Face ID ‘Fooled Again’ — This Time By $200 Evil Twin Mask
  • Terror Exploit Kit
    • [MalwareBytes]
      Terror exploit kit goes HTTPS all the way

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • NHS가 2천만 파운드 규모의 자금을 새로운 사이버보안 센터를 건립해 화이트햇 해커를 사용해 지속적으로 공격에 대한 검사를 하고 기관의 방어에 대한 검증을 하는데 투자할 예정이다. NHS는 이 금액을 “전체 의료 및 복지 시스템에 대한 국가적인, 실시간에 근접한 모니터링과 경보 서비스”를 만드는데 사용할 예정이라고 밝혔다.
  • 블룸버그 보도에 따르면, 백악관의 다수의 출처로부터 도널드 트럼프 대통령이 백악관 직원이 개인 전화를 일터에서 사용하지 못하도록 금지하려 한다는 제보가 계속되고 있다. 직원들은 가족이나 학교, 의사와 연락할 수 없다는 것에 대해 걱정하고 있다. 백악관의 공식 통신 장치는 문자를 보낼수 없으며, 일부 직원들은 백악관에서 제공하는 전화로 개인적인 통화를 해서 문제에 휩쓸릴 것 대해서 우려하고 있다. 백악관의 네트워크는 이미 직원들이 Gmail이나 Outlook, Skype, Google Hangouts과 같은 유명 인터넷 통신 사이트에 접근하는 것을 차단했다.
  • 세명의 중국인이 세 개의 기업, 무디스 애널리틱스(Moody’s Analytics), 트림블(Trimble), 지멘스(Siemens)를 해킹해 민감정보와 거래비밀 수 기가바이트를 훔친 사이버범죄 혐의로 기소당했다. 미 사법부는 이들이 중국의 정보 기술 유한 회사 Boyusec 소속이며, 사이버보안 연구자들에 의해 중국 정부으 후원을 받는 사이버 스파이 그룹과 연계되어 있다고 말했다. 사법부에 따르면 기소당한 세명의 이름은 Wu Yingzhuo, Dong Hao, Xia Lei다.

Detailed News List

  • NHS to hire white hat
    • [TheInquirer]
      NHS to hire white hat hackers as part of £20m cybersecurity investment
    • [TheRegister]
      Looking for scrubs? Nah, NHS wants white hats – the infosec techie kind
    • [FierceBiotech]
      UK to hire hackers in $27M health cybersecuritypush
    • [ZDNet]
      After WannaCry ransomware attack, the NHS is toughening its cyber defences
  • White House bans personal phones at work
    • [ZDNet]
      ​Trump considering banning White House staffers’ personal phones
  • DoJ charged three chienese
    • [Forbes]
      Hackers Linked To Dangerous Chinese Group Charged With Stealing 400GB Of Data From Siemens (Forbes)
    • [SecurityWeek]
      U.S. Indicts Chinese For Hacking Siemens, Moody’s

 

Data Breaches/Info Leakages

Summaries

  • 영국의 한 엘리트 클럽이 회원 5천명의 데이터가 도난당했다고 발표했다. 이 사건은 런던에 위치한 옥스퍼드 및 캠브릿지 클럽의 사무실에 있는 백업 컴퓨터 드라이브를 훔쳐서 발생했다. 이 드라이브에는 100명의 직원과 5000명의 회원들의 이름, 이메일 주소, 전화번호, 생일, 사진, 은행정보등이 포함되어 있었다. 신용카드 정보는 도둑맞은 데이터에 포함되지 않았다.
  • BulletProof Coffee가 해킹당했다. 실리콘밸리 출신의 사업가가 만든 방탄커피(BulletProof Coffee)가 해킹당해 웹사이트에 악성 코드가 삽입되었고, 사용자의 신용카드 정보를 몇달간 탈취해온 것으로 드러났다. 도난당한 정보는 은행 카드 번호, 만료일자, 보안코드번호(CVV), 이름, 주소, 이메일 주소다.

Detailed News List

  • UK Club Data Breach
    • [TripWire]
      Elite UK Club Announces Theft of 5,000 Members’ Data
  • BulletProof is not bulletproof
    • [TheRegister]
      Bulletproof Coffee lacks bulletproof security: Nerd brain juice biz hacked, cards gulped

 

Industrial/Infrastructure/Physical System/HVAC/SCADA

Summaries

  • 해커들이 대형 선박의 균형을 맞추기 위한 적재 계획 소프트웨어(Load Planning Software)를 공격할 수 있다는 기사가 나왔다. 선박에서 사용하는 적재 계획 소프트웨어가 보안 메시징 시스템을 사용하지 않고 개발되었으며, 운송라인, 터미널, 항만 당국 사이에 오가는 메시지가 존재한다. 매일 대형 선박들은 BAPLIE라 불리는 시스템으로 200,000톤 가량의 무게를 나르는 수천개의 컨테이너를 처리하는데, 이 시스템은 항만 당국에 각각의 컨테이너가 어디에 위치할지에 대해 알린다. 그러나 업데이트 되지 않은 시스템을 사용하면, 사이버 범죄자들이 세관으로 보내는 정보를 조작해 실제 내용과 무게를 바꿀 수 있다.

Detailed News List

  • Load Planning Software
    • [HackRead]
      Hackers can Exploit Load Planning Software to Capsize Balance of Large Vessels

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 블랙프라이데이 할인행사 기간과 관련된 온라인 사기 사건에 대한 경고에 이어, 이제는 연말 할인 행사 및 크리스마스 시기를 노리는 온라인 사기에 대한 경고가 이어지고 있다.
  • 영국의 머니뮬(Money Mule)이 2013년에 비해 그 수가 두배로 늘어났다. 젊은 층에서 범죄를 통해 얻은 자금을 돈세탁하기 위해 은행 계좌를 사용하는 경우가 75% 증가했다고 Cifas 통계가 밝혔다. 사기예방서비스(Fraud Prevention Service)는 2017년 1월에서 9월까지 8652건을 탐지했다고 밝혔다. 지난해 같은 기간에 비해 크게 늘어난 수치다. 소위 머니뮬(Money Mule)은, 범죄자들에게 자신의 은행계좌를 사용해 범죄를 통해 얻은 수익을 계좌이체 할 수 있게 하고, 수사에서 흔적을 감추는데 도움을 주는것을 말한다. 대부분 돈을 인출해 해외로 전송하며, 그러한 행위의 댓가로 돈을 얻는다.

Detailed News List

  • Deal Scams
    • [MyPolice]
      Keep safe this Christmas while shopping online
    • [ZScaler]
      Black Friday Deals: Trojans, Phishing, and Crypto Coin Mining
    • [BusinessReviewAustralia]
      Cyber Monday: Most Australian businesses not prepared for cybercrime, says Allianz
  • Money Mule Doubles
    • [InfoSecurityMagazine]
      Number of Young UK Money Mules Doubles Since 2013

 

Crypto Currencies/Crypto Mining

Summaries

  • BitCoin Gold가 MyBTGWallet 사기 사건 이후 또다른 문제를 겪고 있는 것으로 보인다. BTG 팀은 누군가가 그들의 Github 프로젝트 저장소에 접근하여 컴파일된 윈도우즈 파일을 다른 것으로 바꿔치기 한 것을 발견했다. BTG의 경고에 따르면, 다운로드 페이지에 있던 링크와 Github 릴리즈페이지의 파일 다운로드가 출처를 알 수 없는 수상한 파일을 약 36시간 가량 배포했다. 윈도우즈용 비트코인골드 지갑을 11월 24일 UTC 13:11에서 11월 25일 UTC 22:30 사이(한국시간 11월 24일 22:11 ~ 26일 07:30)에 다운로드 받은 사람은 악성코드에 감염되었을 가능성이 있다.

Detailed News List

  • BitCoin Gold
    • [eHackingNews]
      Bitcoin Gold wallet compromised, users may have downloaded malware

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 이전에는 호주가 지정학적으로 고립된 이유로 보호받았지만, 인터넷을 기반으로 모든 비즈니스가 이루어지는 지금은 모두가 평등한 “Fair Game”이라는 기사가 나왔다. WannaCry 랜섬웨어로 인해 전 세계 150개국의 수많은 피해가 발생했을 때, 호주 빅토리아(Victoria)주의 교통카메라가 감염된 사례나, Petya로 인해 태즈마니아 호바트(Hobart, Tasmania)에 위치한 Cadbury사의 초콜릿 공장 생산이 중단된 일을 보면 더이상 안전지대가 아니라는 것이다.

Detailed News List

  • Fair Game
    • [ZDNet]
      ​Australia ‘fair game’ when it comes to the threat of a cyber attack

 

Posted in Security, Security NewsTagged BitCoinGold, Bug Bounty Program, Cobalt, CVE-2017-11882, Cyber Espionage, Data Breach, Exploit Kit, FaceID, Industrial Control System, Information Leakage, Money Mule, Necurs Botnet, Scam, Scarab Ransomware, Terror Exploit Kit, VulnerabilityLeave a comment

Security Newsletters, 2017 Nov 27th, Mirai 변종 외

Posted on 2017-11-27 - 2017-11-27 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 위 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats

Summaries

  • 코발트 그룹(Cobalt group)이 마이크로소프트 오피스(Microsoft Office)의 취약점 CVE-2017-11882를 표적공격에서 활용하고 있다. 취약점 CVE-2017-11882에 대한 상세 정보가 공개된지 며칠 지나지 않아, 보안기업 Reversing Lab에서는 사이버 범죄자들에 의해 실제 해당 취약점이 활용되고 있는 것을 확인했다. 활용하는 주체는 악명높은 코발트(Cobalt) 그룹으로, 전세계 은행 및 금융권을 공격해왔다. 이 취약점은 지난 17년간 릴리즈된 모든 마이크로소프트 오피스에 영향을 주는 메모리 오염(Memory corruption) 취약점으로, 가장 최근의 오피스 365도 영향을 받는다. 모든 버젼의 윈도우를 대상으로 공격이 이루어질 수 있고, 여기에는 가장 최근의 윈도우즈10 크리에이터스 업데이트(Windows 10 Creators Update)도 포함된다.

Detailed News list

  • Cobalt Group
    • [SecurityAffairs]
      The Cobalt group is exploiting the CVE-2017-

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 새로운 미라이(Mirai) 변종이 급격히 확산되고 있다. Qihoo 360 Netlab의 보안연구가 Li Fengpei에 따르면, 공개 익스플로잇 데이터베이스(Exploit-DB.com)의 PoC(Proof-of-Concept) 코드(https://www.exploit-db.com/exploits/43105/)가 Mirai 봇넷 활동 증가의 근본 원인이다. 이 익스플로잇이 10월 31일에 공개된 후, 보안전문가들이 익스플로잇을 사용한 스캔이 11월 22일 수요일에 시작되는 것을 확인했다. 이 PoC는 구형 ZyXEL PK5001Z 라우터에 존재하는 취약점 CVE-2016-10401을 공격하는데, 2016년 1월에 공개된 취약점이다. ZyXEL PK5001Z 라우터는 하드코딩된 최고관리자 비밀번호(zyad5001)가 존재해 사용자 권한을 루트 권한으로 상승하는데 사용될 수 있다. su 명령의 비밀번호로는 장치에 로그인 할 수 없지만, 해커들은 다수의 ZyXEL 장비들이 admin/CentryL1nk 또는 admin/QwestM0dem을 기본 텔넷 인증정보로 사용하는 것을 사용해 공격에 악용하고 있다.
  • Exim 메일 서비스에서 원격 코드 실행(RCE, Remote Code Execution) 및 서비스거부(DoS, Denial of Service) 취약점이 발견되었다. 이 취약점은 블랙프라이데이에 Phil Pennock에 의해 공개되었다. 버그트래커에 올라온 설명에 따르면, Exim서버는 BDAT 데이터 헤더를 파싱할 때 eMail의 끝을 나타내는 점(.) 문자를 찾는다. BDAT는 MTA가 대량의 첨부파일을 청크(Chunk)단위로 다루기 위한 서버 지시자(verb)다. 여기에는 PoC 코드도 포함되어 있는데, 함수포인터 receive_getc가 초기화 되지 않아서 Exim 서버는 스택이 고갈되어 서비스 거부 상태에 처한다. 취약점 번호는 CVE-2017-16944 다.

Detailed News List

  • A new Mirai variant
    • [SecurityAffairs]
      A new Mirai variant is rapidly spreading, around 100,000 IPs running the scans in the past 60 hours
  • Exim Mailer RCE/DoS Vulnerabilities
    • [TheRegister]
      Exim-ergency! Unix mailer has RCE, DoS vulnerabilities
    • [National Vulnerability Database]
      CVE-2017-16944 Detail

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 러시아 해커들이 미국 관리들을 지속적으로 표적으로 삼아 공격해오고 있지만, 이에 대해 FBI의 경고가 제대로 이루어지지 않았다는 기사가 나왔다. 해커들이 미 공군(U.S. Air Force) 사이버보안 전 책임자(former head of cybersecurity), 국가 보안 회의(National Security Council) 전 이사(ex-director), 국방 정보국(Defense Intelligence Agency) 전 국장(former head)을 공격대상으로 삼고 있다. Fancy Bear라고 알려진 러시아 해킹그룹이 1년이상 개인 메일을 공격해도 FBI에서는 지속적으로 위험을 경고하는데 실패했다고 AP(Associated Press)의 조사 결과에서 밝혀졌다.

Detailed News List

  • Russian Hackers Target US officials
    • [WTOP]
      FBI silent as US officials targeted by Russian hackers
Posted in Security, Security NewsTagged Cobalt, CVE-2016-10401, CVE-2017-11882, CVE-2017-16944, Fancy Bear, Hardcoding, MiraiLeave a comment

글 내비게이션

이전 글

Search

Recent Posts

  • Exploit PoC for CVE-2023-20887 VMWare Aria Operations for Networks
  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外

Categories

  • Diet (7)
  • Exploit (1)
  • Flaw (2)
  • Hacking (1)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2023년 6월 (1)
  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.