Caution
This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
- 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.
Note
주말을 지나 월요일에서 화요일로 넘어가는 기간에는 주말간 묵혀두었던 뉴스들과 후속보도들이 나오면서 분량이 늘어난다. 이번주 역시 그렇다. 페이팔의 TIO Networks에 대한 후속보도가 이루어지며, 많은 뉴스가 올라왔다. 전세계적인 작전으로는 FBI와 마이크로소프트, 보안기업 등 국제적인 협력을 통해 안드로메다 봇넷을 차단한 일이 있었다. GDPR로 계속적으로 보안 규정에 대한 기사가 이어지는 영국에서는 실상 하원의원이 비밀번호를 공유하다가 발각되기도 했다. 구글은 안드로이드 앱에 대한 보안정책을 강화하는 단계를 계속 밟아나가고 있으며, RankWatch의 데이터 유출 사실이 공개되었고 유료 서비스를 제공하던 LeakBase는 문을 닫았다.
Newsletters
Malwares/Exploits/Vulnerabilities
Summaries
- 새로운 Shadow BTCware 랜섬웨어 변종이 발견되었다. Michael Gullespie에 의해 새로운 BTCware 랜섬웨어가 발견되었다. 이 악성코드는 보안이 제대로 설정되지 않은 원격 데스크탑 서비스를 통해 사이버 범죄자들이 직접 설치하는 식으로 퍼지고 있다. 새로운 Shadow BTCware 랜섬웨어는 암호화한 파일에 .(이메일)-id-id.shadow 형식의 피해자들이 몸값을 지불하기위해 연락해야하는 이메일 주소를 확장자에 붙인다.
- RSA에서 두개의 치명적인 인증(Authentication) 버그가 발견되었다. 취약점 번호 CVE-2017-14377은 아파치 웹 서버를 위한 RSA 인증 에이전트(authentication agent)의 입력값 검증 실수(input validation flaw)로 인해 인증을 우회(Bypass)할 수 있다. UDP를 사용하도록 설정된 인증은 문제가 없고, TCP를 사용한다면 검증에 오류를 일으킬 수 있는 조작된 패킷을 보내 접근 권한을 얻을 수 있다. 다른 취약점은 C언어용 RSA 인증 에이전트 개발킷에 존재한다. SDK 8.5와 8.7버젼이 에러핸들링 취약점이 있으며, 취약점 번호는 CVE-2017-14378이다. 이 취약점은 자바버젼의 SDK에는 존재하지 않는다.
Detailed News List
- Shadow BTCware variant
- [SecurityAffairs]
Experts discovered a new variant of Shadow BTCware Ransomware Variant
- [SecurityAffairs]
- RSA Authentication Bugs
Legislation/Politics/Policies/Regulations/Law Enforcement/Trials
Summaries
- 유출된 인증정보에 대한 유료 서비스를 제공했던 LeakBase가 주말을 지나며 서비스를 종료했다. 이 서비스는 작년 9월 서비스를 시작했고, 주요 해킹사건에서 유출된 20억건의 계정정보를 제공한다고 주장했다. 이 서비스는 2017년 1월에 LeakdSource가 중단되면서 주목을 받았었다. LeakBase는 트위터를 통해 유료서비스에 대한 환불을 진행할 것이라 밝혔다. 서비스를 중단하는 이유는 아직 확실히 밝혀진 것이 없지만, 브라이언 크렙스(Brian Krebs)는 LeakBase 소유자중 한명이 다크웹 마켓 Hansa와 관련이 있을 것으로 보고있다.
- 역사상 가장 오래되고 널리 퍼진 봇넷 중 하나였던 안드로메다(Andromeda) 봇넷이 지난주 FBI가 이끈 국제적인 법 집행 작전에 의해 운영이 종료되었다. 유로폴에 따르면, 안드로메다 봇넷의 악성코드 기반구조는 해체되었고, 신원이 확인되지 않은 한명의 용의자가 벨라루스에서 체포되었다. 2011년에 처음 등장한 안드로메다는 마이크로소프트에 따르면, 지난 6개월간 매달 평균 100만개의 장치들에서 발견되었다. 이 악성코드는 2016년 최고 스팸 캠페인들중 하나의 배후이며, 침해당한 웹사이트나 광고 네트워크에서 자주 발견되는 악성코드 최대 80 종(families)과 관련이 있는 봇넷이다.
- 친구를 조기석방 시키려던 미시건 주의 남성이 체포되어 감옥신세를 지게 됐다. Konrads Voits라는 27세의 남성은 Washtenaw Country 정부 컴퓨터 시스템에 친구를 조기석방 시키려는 목적으로 악성코드를 설치한 혐의에 대해 유죄를 인정했다. 시도는 성공하지 못했고 그는 경찰에 의해 체포되었다. 법원 문서에 따르면, Voits는 1월에 Washtenaw와 유사한 피싱 도메인 ewashtenavv.org w대신 v두개를 사용해 만들었다. 그리고 피싱 이메일과 소셜 엔지니어링으로 악성코드를 설치하게 했다. 계속적인 공격으로 죄수를 감시하는 Xjail 컴퓨터 시스템을 포함해 직원 1,600여명의 로그인 정보를 획득했으나, 이러한 시도들이 탐지되어 결국 체포되었다.
- 여러 영국 하원(MP, Member of Parliament)의원들이 자신들의 해이한 보안의식을 드러내면서 정부의 사이버보안 규정에 대한 의문이 일고있다. Mid Bedfordshire의 하원의원인 Nadine Dorries는 지난 주말 여러 트윗을 통해 그녀의 직원이 자신의 비밀번호를 사용해 자신의 의회 사무실 컴퓨터에 로그인 한 것을 드러냈다. 그리고 “교환 프로그램의 인턴까지” 포함해 그녀의 직원들이 그녀 인증정보를 사용해 Nadine의 이름으로 이메일을 보내기도 한다고 덧붙였다.
Detailed News List
- LeakBase goes dark
- [SecurityWeek]
Leaked Credentials Service Shuts Down - [HackRead]
Data Breach Index Website “Leakbase” Shut Down - [KrebsOnSecurity]
Hacked Password Service Leakbase Goes Dark
- [SecurityWeek]
- Andromeda(Gamarue) Botnet
- [Microsoft]
Microsoft teams up with law enforcement and other partners to disrupt Gamarue (Andromeda) - [WeLiveSecurity]
ESET helps law enforcement worldwide to disrupt Gamarue botnet - [WeLiveSecurity]
ESET takes part in global operation to disrupt Gamarue - [SecurityAffairs]
Global operation allowed law enforcement agencies to take down the Andromeda Botnet - [CyberScoop]
International law effort takes down long-running Andromeda botnet - [TheHackerNews]
Feds Shut Down ‘Longest-Running’ Andromeda Botnet - [SecurityWeek]
Authorities Take Down Andromeda Botnet - [HelpNetSecurity]
Andromeda botnet dismantled in international cyber operation
- [Microsoft]
- Facing Jail for Hacking Jail
- MPs’ lax cybersecurity practices
- [EHackingNews]
Nadine Dorries faces backlash over lax attitude to cybersecurity - [ZDNet]
Password-sharing politicians prompt security row - [TheRegister]
Brit MP Dorries: I gave my staff the, um, green light to use my login - [ITProPortal]
MPs slammed for lax cybersecurity practices - [GrahamCluley]
The lax computer security of British MPs – as detailed in their own tweets - [SiliconRepublic]
UK politicians criticised for lax cybersecuritypractices
- [EHackingNews]
Vulnerability Patches/Software Updates
Summaries
- RSA에서 두개의 치명적인 인증(Authentication) 버그가 발견되었다. 취약점 번호 CVE-2017-14377은 아파치 웹 서버를 위한 RSA 인증 에이전트(authentication agent)의 입력값 검증 실수(input validation flaw)로 인해 인증을 우회(Bypass)할 수 있다. UDP를 사용하도록 설정된 인증은 문제가 없고, TCP를 사용한다면 검증에 오류를 일으킬 수 있는 조작된 패킷을 보내 접근 권한을 얻을 수 있다. 다른 취약점은 C언어용 RSA 인증 에이전트 개발킷에 존재한다. SDK 8.5와 8.7버젼이 에러핸들링 취약점이 있으며, 취약점 번호는 CVE-2017-14378이다. 이 취약점은 자바버젼의 SDK에는 존재하지 않는다.
Detailed News List
- RSA Authentication Bugs
Privacy
Summaries
- 구글이 엿보는 기능을 가진 앱을 엄중 단속할 계획을 발표했다. 안드로이드 개발자들은 60일의 여유기간이 주어졌다. 구글이 안드로이드 개발자들에게 그들의 앱이 데이터를 어떻게 수집하는지에 대해 더 나은 경고를 제공해야 한다고 경고했다. 지난 금요일 구글은 Safe Browsing 규칙과 구글의 원치않는 소프트웨어 정책의 확대 적용(expanded enforcement of Google’s Unwanted Software Policy)의 개정안(revisions)을 발표했다. 만약 개발자들이 60일 안에 이를 따르지 않으면, 구글이 구글 플레이 프로텍트(Google Play Protect)를 통하거나, 앱이 접속하는 웹페이지를 통해 사용자에게 경고할 것이라 전했다. 구글 세이프 브라우징이 앱과 웹사이트에서 사용자 개인정보를 그들의 동의(consent)없이 수집하고 있다는 경고를 보여줄 것이라 밝혔다.
Detailed News List
- Google crack down on apps that snoop
- [ThreatPost]
Google Cracks Down On Nosy Android Apps - [SecurityWeek]
Google to Warn Android Users on Apps Collecting Data - [SecurityAffairs]
Google Unwanted Software Policy – It’s a fight against snooping apps - [ZDNet]
Google cracks down on apps that snoop on you, even if they’re not in Play Store - [TheRegister]
Google to crack down on apps that snoop
- [ThreatPost]
Data Breaches/Info Leakages
Summaries
- HaveIBeenPwned에 따르면, 2016년 11월경 검색엔진 최적화 관리 회사인 RankWatch의 몽고DB(MongoDB)가 비밀번호 없이 공개되어 있었다가 해킹당해 데이터가 유출되었고, 이어서 온라인 포럼에 공개되었다. 이 데이터에는 740만개의 이메일 주소와 이름, 전화번호, 직업이 포함되어있다.
- (4일에서 이어짐) TIO Networks 침해사고에 대한 기사가 이어지고 있다. 페이팔(PayPal)이 소유한 회사중 하나인 TIO Networks가 보안 침해사고로 160만명의 고객이 영향을 받았다고 인정했다. TIO Networks는 최근 페이팔에 2억 3천 8백만 달러에 인수되었다. TIO는 캐나다 기업으로, 북미 전역에 걸쳐 생활요금 등을 징수하는 60,000개 이상의 키오스크(Kiosk) 네트워크를 운영한다. 11월 10일에 페이팔은 TIO 플랫폼에 영향을 미칠 수 있는 취약점을 발견하고, TIO의 데이터 보안 프로그램이 페이팔의 보안 표준을 따르지 않아 TIO의 네트워크 운영을 중단한바 있다. 12월 1일 페이팔은 해킹에 대한 더 자세한 세부정보를 공개했다.
Detailed News List
- RankWatch
- [HaveIBeenPwned]
RankWatch – 7,445,067 breached accounts
- [HaveIBeenPwned]
- TIO Networks
- [DarkReading]
PayPal’s TIO Networks Suffered Data Breach Exposing Data on 1.6 Million Customers - [HackRead]
PayPal’s TIO Networks breach affects millions of customers - [ZDNet]
PayPal’s TIO Networks reveals data breach impacted 1.6 million users - [InfoSecurityMagazine]
PayPal Admits Acquired Company Suffered Major Breach - [TheRegister]
PayPal paid $US233m for company that leaked 1.6 million records - [SecurityWeek]
Breach at PayPal Subsidiary Affects 1.6 Million Customers - [TheHackerNews]
PayPal Subsidiary Data Breach Hits Up to 1.6 Million Customers - [SecurityAffairs]
PayPal-owned company TIO Networks data breach affects 1.6 million customers
- [DarkReading]
Social Engineering/Phishing/Con/Scam
Summaries
- PayPal 사용자들을 노리는 ‘거래 실패(failed transaction)‘이메일 피싱이 이루어지고 있다. 연말에 많은 사람들이 구매한 선물이 제때 도착할 수 있을지를 놓고 걱정하는 가운데, 이를 노리는 피싱 캠페인이 벌어지고 있다. 거래가 실패했다는 스팸 메일의 “Resolution Center” 버튼을 클릭하면 범죄자들이 구축해놓은 피싱사이트로 이동하게 된다. 이 사이트에서는 페이팔 계정정보 및 실제 주소, 전화번호, 어머니의 처녀적 이름, 생일, 지불카드 정보를 물어본다.
Detailed News List
- PayPal Phishing Campaign
- [InformationSecurityBuzz]
New PayPal Phishing Campaign Targeting Users - [TripWire]
Scammers Disseminating Unverified PayPal Transaction Phishing Emails - [HelpNetSecurity]
Phishers target panicking PayPal users with fake “failed transaction” emails - [HackRead]
A Tricky PayPal Phishing Scam That Comes From Official PayPal Email
- [InformationSecurityBuzz]