Caution
This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
- 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.
Newsletters
Malwares/Exploits/Vulnerabilities
Summaries
- UBoatRAT라는 이름의 원격 제어 트로이가 대한민국 비디오 게임 산업의 기관 및 개인을 대상으로 유포되고있다. UBoatRAT은 구글 드라이브 링크를 통해 배포되고 있다. 이 악성코드는 C&C 서버 주소를 GitHub에서 얻고, 마이크로소프트 윈도우즈의 BITS(Background Intelligent Transfer Service)를 사용한다. 이 악성코드는 2017년 5월에 최초 발견되었을 당시에는 홍콩의 공개 블로그 서비스와 일본의 침해 웹서버를 C&C용도로 사용하는 간단한 HTTP 백도어였다. 그때부터 개발자가 다양한 기능을 추가하고 여름을 거치면서 업데이트된 버젼을 릴리즈했다. 아직 정확한 공격 대상은 불분명하지만, 팔로알토 네트웍스(Palo Alto Networks)는 대한민국이나 비디오게임 산업과 관련된 것으로 보고있다. 한글 게임 제목과 한국기반의 게임 회사 이름, 비디오게임 산업에서 사용되는 단어들이 확인되었기 때문이다.
- 무료 오픈소스 전자 의료기록 관리 소프트웨어 OpenEMR(open-EMR.org)에 존재하는 취약점으로 환자의 의료기록 및 개인식별 가능 정보가 유출 될 수 있는 것으로 드러났다. OpenEMR은 전세계에서 사용되며, 2012년 예상으로는 미국내 설치 건수가 5천건이 넘고 전세계적으로는 15,000건이 넘는다. 취약점은 이전에 OpenEMR에서 발견된 취약점을 리뷰하는 과정에서 발견되었고, 개발자에게 공개되었다. 버그픽스는 11월 초 OpenEMR v5.0.0의 여섯번째 패치에 포함되어 발표되었다.
Detailed News List
- UBoatRAT
- [SecurityWeek]
New Custom RAT Hits Targets in East Asia - [PaloAltoNetworks]
UBoatRAT Navigates East Asia
- [SecurityWeek]
- OpenEMR
- [HelpNetSecurity]
OpenEMR flaw leaves millions of medical records exposed to attackers
- [HelpNetSecurity]
Legislation/Politics/Policies/Regulations/Law Enforcement/Trials
Summaries
- 삼성전자가 버그크라우드(Bugcrowd)와 협력해 모바일 보안 보상 프로그램의 적시 지불을 진행한다. 삼성전자가 수요일에 발표한 내용에 따르면, 이제 두달 된 삼성전자의 버그바운티 프로그램에서 보상 지불과정을 버그크라우드가 진행하도록 하여 가속화 한다. 삼성전자의 모바일 보안 보상 프로그램에서 보안 연구가는 취약점의 심각도 등에 따라 취약점당 20만 달러까지 보상을 받을 수 있다.
- 해커 Lauri Love의 미국으로의 범죄인 인도(extradition)에 대한 재판이 런던의 Royal Courts of Justice에서 시작된다. 미 검사들은 33세의 Love를 ‘민간 기업 및 미국 정부 기관의 웹사이트와 컴퓨터 시스템에 대한 다수의 사이버 공격’ 혐의로 고소했다. Love는 SQL Injection과 Adobe ColdFusion의 취약점 악용, 추후 공격을 위해 서버에 백도어를 심은 혐의를 받고 있다. Love는 미국에서 재판을 받게되면 최대 99년형에 처해질 것으로 보인다.
Detailed News List
- Samsung Mobile
- Lauri Love’s Extradition
- [TheRegister]
Accused hacker Lauri Love’s extradition appeal begins
- [TheRegister]
Vulnerability Patches/Software Updates
Summaries
- 애플이 비밀번호 없이도 root 권한을 얻을 수 있는 macOS High Sierra의 버그에 대한 패치를 급히 공개했다.
Detailed News List
- Apple MacOS High Sierra
- [TheRegister]
As Apple fixes macOS root password hole, here’s what went wrong - [ZDNet]
Apple fixes macOS password flaw - [ThreatPost]
Apple Announces Emergency Patch to Fix High Sierra Login Bug - [NakedSecurity]
Apple closes that big root hole – “Install this update as soon as possible” - [Graham Cluley]
Apple fixes root password bug: ‘Install this update as soon as possible’ - [SecurityWeek]
Apple Patches Critical Root Access Flaw in macOS
- [TheRegister]
Cyber Intelligence/Open Source Intelligence
Summaries
- Fancy Bear 혹은 APT28, Sofacy, Iron Twilight, Pawn Storm으로 알려진 러시아와 연관된 악명높은 해커그룹의 흔적이 영국에서 발견되었다. 해커들이 영국에 등록된 회사에서 서버를 구매해 사용하면서 몇몇 흔적을 남긴 것을 BBC가 찾아냈다. 해커들은 이 컴퓨터를 사용해 독일 의회를 공격했으며, 나이지리아 정부 웹사이트의 트래픽을 하이재킹하고 애플 장치들을 공격 대상으로 삼았다. Crookservers는 잠시 Oldham에 위치한 적이 있었다. BBC에 의해 확인된 Crookservers의 기술 및 재무 정보에 따르면 Fancy Bear는 중요 자금에 접근할 수 있었고, 온라인 금융 서비스를 받았으며, 일부는 자금세탁 방지 작전에 의해 일부 폐쇄되었다. 3년 넘게 Fancy Bear는 컴퓨터들을 Crookservers를 통해 임대했고, 가짜 신분과 가상 사설 네트워크와 추적하기 힘든 지불 시스템으로 그 흔적을 지워왔다.
Detailed News List
- Fancy Bear
- [EHackingNews]
Fancy Bear hackers’ UK link revealed
- [EHackingNews]
Privacy
Summaries
- 컨퍼런스 콜의 현저한 보안 헛점을 드러내는 조사결과가 공개됐다. 루프업(LoopUp)이 1,000명의 비즈니스 전문가를 대상으로 조사한 결과에 따르면, 70%의 대상자가 컨퍼런스 콜에서 기밀정보를 의논하는게 일반적이라 답했으며, 절반 이상은 누가 해당 회의에 들어와 있는지 알지 못하는게 일반적이라고 인정했다. 이는 종종 전형적인 접화접속 회의의 불완전성 때문인 것으로 루프업은 지적했다. 누가 회의에 들어와 있는지에 대한 가시성이 부족하며, 원치않는 손님을 내보낼 수 있는 제어력이 부족한 것이다. 더 나아가 66%는 1년 이상 전화접속 회의에 같은 비밀번호를 쓰는 것으로 드러났다.
Detailed News List
- Conference Calls
- [InfoSecurityMagazine]
Conference Calls a ‘Significant & Overlooked’ Security Gap in the Enterprise
- [InfoSecurityMagazine]
Data Breaches/Info Leakages
Summaries
- 영국의 물류운송기업 클락슨(Clarksons)이 사이버 보안 사고의 피해를 입었을 수 있다면서 정보를 도난당했을 수 있다고 경고했다. 클락슨은 기밀정보가 도난당했으며, 해커들이 요구한 금액을 지불하지 않기로 결정하면서 정보가 공개될 수 있다고 경고했다. 전세계 21개 국가에 49개의 사무실을 가지고 있는 클락슨은 어떤 정보가 잠재적으로 해커에의해 도난당했을 수 있는지, 언제 사고가 일어났는지, 언제 발견되었는지 아직 공개하지 않았다.
Detailed News List
- Clarksons
- [TripWire]
U.K. Shipping Company Clarksons Hit by Cyberattack, Refuses to Pay Ransom - [ZDNet]
Shipping firm warns that hackers may leak confidential information - [SecurityWeek]
Hackers Target U.K. Shipping Giant Clarkson - [TheRegister]
Hacked Brit shipping giant Clarksons: A person may release some of our data today
- [TripWire]
Industrial/Infrastructure/Physical System/HVAC/SCADA
Summaries
- 최근 패치된 Dnsmasq가 아직도 지멘스(Siemens)사의 산업용 장비들에 영향을 미치는 것으로 나타났다. 지멘스는 보안 경고문을 공개했는데, Dnsmasq 취약점 7개중 4개가 자사의 SCALANCE 제품에 영향을 미친다고 밝혔다. 10월에 구글 보안연구가는 Dnsmasq 소프트웨어 패키지에서 7개의 서로다른 취약점을 발견했다. Dnsmasq는 다양한 곳에서 많이 사용되는데, 지멘스도 SCALANCE 제품들과 W1750D 컨트롤러기반 direct access points, M800 산업용 라우터, S615 방화벽이 영향을 받는다고 밝혔다. 세 취약점 (CVE-2017-13704, CVE-2017-14495, CVE-2017-14496)은 조작된 요청을 UDP 포트 53번으로 보내 Dnsmasq 프로세스를 중단시킬 수 있다. SCALANCE 제품군은 CVE-2017-14491에도 영향을 받는다. 이 취약점은 공격자에 의해 서비스거부 상태에 빠지거나 임의의 코드를 취약한 장치에서 실행할 수 있다.
Detailed News List
- Dnsmasq still affect Siemens
- [SecurityAffairs]
Recently Patched Dnsmasq still affect Siemens Industrial devices - [SecurityWeek]
Recently Patched Dnsmasq Flaws Affect Siemens Industrial Devices
- [SecurityAffairs]