Caution
This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 위 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
- 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.
Newsletters
Cyber Espionage/Cyber Operations/Cyber Threats
Summaries
- 코발트 그룹(Cobalt group)이 마이크로소프트 오피스(Microsoft Office)의 취약점 CVE-2017-11882를 표적공격에서 활용하고 있다. 취약점 CVE-2017-11882에 대한 상세 정보가 공개된지 며칠 지나지 않아, 보안기업 Reversing Lab에서는 사이버 범죄자들에 의해 실제 해당 취약점이 활용되고 있는 것을 확인했다. 활용하는 주체는 악명높은 코발트(Cobalt) 그룹으로, 전세계 은행 및 금융권을 공격해왔다. 이 취약점은 지난 17년간 릴리즈된 모든 마이크로소프트 오피스에 영향을 주는 메모리 오염(Memory corruption) 취약점으로, 가장 최근의 오피스 365도 영향을 받는다. 모든 버젼의 윈도우를 대상으로 공격이 이루어질 수 있고, 여기에는 가장 최근의 윈도우즈10 크리에이터스 업데이트(Windows 10 Creators Update)도 포함된다.
Detailed News list
- Cobalt Group
- [SecurityAffairs]
The Cobalt group is exploiting the CVE-2017-
- [SecurityAffairs]
Malwares/Exploits/Vulnerabilities
Summaries
- 새로운 미라이(Mirai) 변종이 급격히 확산되고 있다. Qihoo 360 Netlab의 보안연구가 Li Fengpei에 따르면, 공개 익스플로잇 데이터베이스(Exploit-DB.com)의 PoC(Proof-of-Concept) 코드(https://www.exploit-db.com/exploits/43105/)가 Mirai 봇넷 활동 증가의 근본 원인이다. 이 익스플로잇이 10월 31일에 공개된 후, 보안전문가들이 익스플로잇을 사용한 스캔이 11월 22일 수요일에 시작되는 것을 확인했다. 이 PoC는 구형 ZyXEL PK5001Z 라우터에 존재하는 취약점 CVE-2016-10401을 공격하는데, 2016년 1월에 공개된 취약점이다. ZyXEL PK5001Z 라우터는 하드코딩된 최고관리자 비밀번호(zyad5001)가 존재해 사용자 권한을 루트 권한으로 상승하는데 사용될 수 있다. su 명령의 비밀번호로는 장치에 로그인 할 수 없지만, 해커들은 다수의 ZyXEL 장비들이 admin/CentryL1nk 또는 admin/QwestM0dem을 기본 텔넷 인증정보로 사용하는 것을 사용해 공격에 악용하고 있다.
- Exim 메일 서비스에서 원격 코드 실행(RCE, Remote Code Execution) 및 서비스거부(DoS, Denial of Service) 취약점이 발견되었다. 이 취약점은 블랙프라이데이에 Phil Pennock에 의해 공개되었다. 버그트래커에 올라온 설명에 따르면, Exim서버는 BDAT 데이터 헤더를 파싱할 때 eMail의 끝을 나타내는 점(.) 문자를 찾는다. BDAT는 MTA가 대량의 첨부파일을 청크(Chunk)단위로 다루기 위한 서버 지시자(verb)다. 여기에는 PoC 코드도 포함되어 있는데, 함수포인터 receive_getc가 초기화 되지 않아서 Exim 서버는 스택이 고갈되어 서비스 거부 상태에 처한다. 취약점 번호는 CVE-2017-16944 다.
Detailed News List
- A new Mirai variant
- Exim Mailer RCE/DoS Vulnerabilities
- [TheRegister]
Exim-ergency! Unix mailer has RCE, DoS vulnerabilities - [National Vulnerability Database]
CVE-2017-16944 Detail
- [TheRegister]
Legislation/Politics/Policies/Regulations/Law Enforcement/Trials
Summaries
- 러시아 해커들이 미국 관리들을 지속적으로 표적으로 삼아 공격해오고 있지만, 이에 대해 FBI의 경고가 제대로 이루어지지 않았다는 기사가 나왔다. 해커들이 미 공군(U.S. Air Force) 사이버보안 전 책임자(former head of cybersecurity), 국가 보안 회의(National Security Council) 전 이사(ex-director), 국방 정보국(Defense Intelligence Agency) 전 국장(former head)을 공격대상으로 삼고 있다. Fancy Bear라고 알려진 러시아 해킹그룹이 1년이상 개인 메일을 공격해도 FBI에서는 지속적으로 위험을 경고하는데 실패했다고 AP(Associated Press)의 조사 결과에서 밝혀졌다.
Detailed News List
- Russian Hackers Target US officials