Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] Anonymous

Security Newsletters, 2018 Jan 4th, 인텔 CPU의 보안 취약점 外

Posted on 2018-01-04 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 어나니머스(Anonymous)가 이탈리아 Gorreggio의 과속 카메라 데이터베이스를 해킹하고 경찰의 이메일 및 데이터베이스 시스템을 장악했다. Gazzetta di Reggio에 따르면, 어나니머스는 과속 카메라 티켓 기록 전체를 삭제하고, 내부 이메일과 문서들을 공개했다. 해커들은 증거 스크린샷을 제시했는데, 40기가바이트에 달하는 데이터를 삭제한 것으로 보인다.

Detailed News list

  • Anonymous Italia
    • [SecurityAffairs]
      Anonymous Italia hacked speed camera database and took over the police systems in Correggio

 

Malwares

Summaries

  • 판매시점 정보관리 시스템(PoS, Point of Sale)을 공격하는 악성코드 LockPoS가 새로운 기법을 도입했다. LockPoS는 PoS 신용카드 스캐너가 있는 컴퓨터 메모리에서 신용카드 정보를 훔치는 기능을 가지고 있었다. 이 악성코드는 실행중인 프로세스들의 메모리를 읽어 신용카드 정보를 수집하고 C&C 서버로 보낸다. 이전에는 드로퍼가 explorer.exe 프로세스에 바로 악성코드를 주입했는데, 이번에는 Flokibot PoS 악성코드에서 사용되었던 기법의 새로운 변종 방식을 채택한 것으로 확인되었다.
  • 악명높은 분산서비스거부(DDoS, Distributed Denial of Service)공격 악성코드인 미라이(Mirai) 봇넷의 변종격인 사토리(Satori) 봇넷의 화웨이(Huawei) 라우터에 대한 익스플로잇 소스코드가 pastebin에 공개되었다. NewSky Security의 연구가에 따르면, 화웨이(Huawei) 장치를 공격하는 사토리 봇넷의 소스코드가 크리스마스에 Pastebin에 공개되었다. 화웨이 라우터 장치를 공격하는 제로데이 코드로, 취약점 번호는 CVE-2017-17215다. (3일에서 이어짐)

Detailed News List

    • LockPoS
      • [InfoSecurityMagazine]
        LockPoS Takes a Page from Flokibot to Achieve Stealth
      • [SecurityWeek]
        LockPoS Adopts New Injection Technique

 

  • Satori Botnet
    • [ZDNet]
      Satori IoT botnet malware code given away for Christmas

 

Exploits/Vulnerabilities

Summaries

  • 보안연구가가 모든 인텔 CPU에 영향을 미치는 심각한 취약점을 찾아냈다. 소프트웨어 수준의 대응방안은 이미 마련되었으나, 심각한 성능 하락 문제가 있는 것으로 나타났다. 취약점에 대한 자세한 정보는 9일에 공개될 예정이다.
  • 수천 수백종의 사물인터넷(IoT, Internet of Things) 장치들에서 사용하는 고어헤드(GoAhead) 웹서버에서 취약점이 발견되었다. 영향을 받는 장치에서 원격 코드 실행(remotely execute malicious code)을 할 수 있는 취약점이다. 취약점은 CVE-2017-17562다. GoAhead는 Comcast, IBM, Boeing, Oracle, D-Link, ZTE, HP, Siemens, Canon 등 거대 기술기업들이 폭넓게 사용하고 있는 솔루션이다. 프린터나 라우터를 포함한 IoT 장비들의 웹서버로 활용된다. (26일에서 이어짐)

Detailed News List

  • Intel Chip
    • [DarkReading]
      Intel Processor Security Flaw Prompts Kernel Makeovers in Linux, Windows
    • [TechDirt]
      A Major Security Vulnerability Has Plagued ‘Nearly All’ Intel CPUs For Years
    • [ZDNet]
      Tech giants scramble to fix critical Intel chip security flaw
    • [ThreatPost]
      Intel In Security Hot Seat Over Serious CPU Design Flaw
    • [GrahamClueley]
      The F*CKWIT Intel chip flaw. Ready yourself for patches
    • [EHackingNews]
      Intel’s Processors Security flaw forces Linux, Windows Kernels redesign
    • [TheHackerNews]
      Huge Flaw Found in Intel Processors; Patch Could Hit 5-30% CPU Performance
    • [CyberScoop]
      Industry braces for critical Intel security flaw impacting a decade’s worth of chips
    • [HackRead]
      Multiple Intel Processors Generations Hit by Serious Security Flaw
    • [NakedSecurity]
      F**CKWIT, aka KAISER, aka KPTI – Intel CPU flaw needs low-level OS patches
    • [HelpNetSecurity]
      Upcoming patches for security flaw in Intel processors expected to slow down computers
    • [SecurityWeek]
      Mitigations Prepared for Critical Vulnerability in Intel CPUs
    • [SecurityAffairs]
      Intel Makes a Mistake in The CPU Design, Windows and Linux Scramble to Fix It
  • GoAhead
    • [SecurityWeek]
      Devices Running GoAhead Web Server Prone to Remote Attacks

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 유명한 나이지리아 왕자가 체포되었다. 지난 일요일에 67세의 Michael Neu가 269건의 사기(Wire fraud)와 자금세탁(money laundering)으로 체포되었다. Neu는 사기꾼들의 중간자 역할을 한 것에 대해 인정했다고 보도했다.
  • 미국 정부기관들의 절반 정도에 DMARC 구현이 완료되어가는 중이다. 국토안전부(DHS, Department of Homeland Security)의 지시에 따라, 미 정부기관들에서 DMARC 표준을 구현하는 일이 진척을 보이고 있다. 그러나 첫번째 데드라인이 2주밖에 남지 않았다. DMARC는 Domain-based Message Authentication, Reporting and Conformance로, 이메일 스푸핑을 탐지하고 방지하기 위해 설계된 이메일 인증(authentication), 정책(policy), 리포팅(reporting) 프로토콜이다.

Detailed News List

  • Louisiana Nigerian Prince
    • [NakedSecurity]
      Your Nigerian Prince is a 67 year old from Louisiana
  • DMARC
    • [SecurityWeek]
      DMARC Implemented on Half of U.S. Government Domains

 

Vulnerability Patches/Software Updates

Summaries

  • 구글이 2018년 1월 안드로이드 보안 업데이트에서 38개의 안드로이드 보안 취약점을 수정했다. 5개의 버그는 Critical 등급이며, 33개는 High 등급이다.
  • VMWare에서 vSphere Data Protection 패치를 내놓았다. VMWare에 따르면, 공격자가 영향을 받는 시스템을 공격하여 원격으로 장악할 수 있는 취약점이다. 취약점 번호는 CVE-2017-15548, CVE-2017-15549, CVE-2017-15550 이다. (3일에서 이어짐)
  • 코드 실행 및 루트 권한 접근이 가능한 취약점이 새해 첫날에 그 상세 정보가 공개되었다. Siguza라는 온라인 이름을 사용하는 연구가가 PoC 코드를 공개했다. 시스템에 접근 권한을 가지고 있는 공격자는 이 취약점을 사용해 임의의 코드를 실행하고 루트 권한을 얻을 수 있다. 이 버그는 모든 버젼의 macOS가 영향을 받는다. (2일에서 이어짐)

Detailed News List

  • Google
    • [SecurityWeek]
      Google Patches Multiple Critical, High Risk Vulnerabilities in Android
    • [HackerOnlineClub]
      Google Patches 38 Android Security Vulnerabilities
  • VMWare
    • [TheRegister]
      Attention, vSphere VDP backup admins: There is a little remote root hole you need to patch…
    • [CyberScoop]
      VMware announces, patches critical flaw in its VDP backup product
    • [SecurityWeek]
      VMware Patches Critical Flaws in vSphere Data Protection
  • Apple
    • [SecurityWeek]
      Apple Working on Patch for New Year’s Eve macOS Flaw

 

Privacy

Summaries

  • 광고회사의 표적화 된 스크립트가 브라우저의 비밀번호 관리기능을 공격해 사용자들을 추척하고 있음이 드러났다. 이 방법은 프라이빗 브라우징이나 쿠키를 삭제하는 등으로 막을 수 없다. Princeton의 Center for Information Technology Policy에서 찾아낸 이 방식은, 많은 웹 사용자들이 브라우저에 내장된 로그인 매니저를 사용해 로그인 정보를 자동기입 한다는 것을 이용한다. 일반적으로는 문제가 없는 부분이지만, 일부 사이트는 AdThink나 OnAudience 스크립트 중 하나를 채택해서, 눈에 보이지 않는 두번째 로그인 스크린을 만든다. 이 숨겨진 로그인 화면은 비밀번호 관리자에 의해, 사용자가 인지하지 못하는 사이에 자동으로 내용이 기입된다. 이 시점에, 스크립트가 해시된 사용자의 email 주소를 수집하고 광고회사의 원격 서버로 전송한다.
  • 스마트폰 센서를 통해, 해커가 4자리 비밀번호를 알아낼 수 있다는 기사가 나왔다. 싱가폴 NTU(Nanyang Technology University)의 연구자들이 사이버 범죄자들이 스마트폰의 센서를 사용해 스마트폰을 침해할 수 있음을 보여주는 연구결과를 내놓았다. 연구자들이 밝혀낸 바에 따르면, 99.5%의 확률로 이 방법이 먹혔으며, 장치의 잠금을 해제할 수 있었다. 정확하게 4자리의 숫자 비밀번호를 추측해 낼 수 있었다. 연구자들은 안드로이드에 설치된 센서들과 머신러닝을 사람들이 입력하는 PIN코드를 추측하는데 활용했다. 6개의 센서들에는 자력계(magnetometer), 가속도계(accelerometer), 자이로스코프(gyroscope), 주변 광 센서(ambient light sensor), 기압계(barometer), 근접 센서(proximity sensor)가 포함된다. 가속도계와 자이로스코프를 함께 사용했을 때, 매우 정확하게 4자리 비밀번호를 추측해 낼 수 잇었다. 최종적으로는 100%의 정확도로 PIN 코드를 추측해내는데 성공했다. (2일에서 이어짐)

Detailed News List

  • Ad scripts track users
    • [NakedSecurity]
      Ad scripts track users via browser password managers
    • [HelpNetSecurity]
      Ad targeters exploit browsers’ password managers to track users online
  • Smartphone Sensor
    • [NakedSecurity]
      Sensor data can be used to guess your PIN, unlock your phone

 

Data Breaches/Info Leakages

Summaries

  • HoundDawgs의 계정정보가 유출되었다. HoundDawgs는 덴마크의 토렌트 트래커로, 2017년 12월 데이터 유출 사고가 있었다. 공개된 데이터에는 4만 5천건의 이메일 주소와 함께 토렌트 활동 로그 및 IP주소와 비밀번호의 SHA1 해시가 포함되어 있었다.
  • 2017년 11월에 의류 업체인 Forever 21이 보안 침해가 있었음을 밝힌 일이 있었다. 이번에는 Forever 21이 2017년에 몇 달 동안 해커에 의해 신용카드 데이터가 도난당했다는 사실을 확인했다. 아직 조사가 진행중이지만, 일부 POS(Point of Sale) 시스템에서 악성코드가 발견되었고 최소 4월 3일부터 11월 18일까지 이 악성코드가 사용된 것으로 보고있다. (2일에서 이어짐)

Detailed News List

  • HoundDawgs
    • [HaveIBeenPawned]
      HoundDawgs – 45,701 breached accounts
  • Forever 21
    • [BankInfoSecurity]
      Forever 21 Suffered 7-Month POS Malware Attack

 

Posted in Security, Security NewsTagged Anonymous, Cyber Espionage, Data Breach, DMARC, Exploit, GoAhead, Information Leakage, LockPoS, Malware, Patches, Privacy, Satori Botnet, VulnerabilityLeave a comment

Security Newsletters, 2017 Dec 9th, 안드로이드 야누스(Janus) 外

Posted on 2017-12-09 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 핵티비스트(Hacktivist)들이 이스라엘 공무원들의 이름, 이메일, 비밀번호와 미국 정부 사이트 목록을 온라인에 공개하고, 그들에 대한 공격을 요구하는 일이 있었다. 어나니머스(Anonymous)는 몇몇 사이트의 데이터를 유출했는데, 이는 그들의 중동에서의 정치 대한 미국의 간섭에 대항한 집단 보복으로 보인다. 어나니머스의 작전은 팔레스타인을 보호하고 도널드 트럼프가 예루살렘을 이스라엘의 수도로 인정하는 것(Donald Trump’s choice to recognize Jerusalem as the capital of Israel)에 대한 시위를 목표로 했다. 관련된 메시지가 사이버게릴라(cyberguerilla.com)에 게제되었다.
  • 인도 첩보기관(Indian Intelligence Bureau, IB)이 중국이 42개의 모바일 어플리케이션으로 감시하고 있는 상황을 우려해 군인들에게 삭제지시를 내렸다. 인도 정보기관이 중국 사이버 스파이가 유명 모바일 어플리케이션과 장치들을 사용해 인도의 보안 설비(security installations)에 대한 기밀정보를 수집하고 있다고 경고했다. 인도의 많은 사이버보안 전문가들은 궁국 군사 첩보 기관에 의한 스파이 행위 시도에 대한 우려를 표했다. 이 경고에는 42개의 중국의 유명 모바일 앱이 포함되어 있으며, WeChat, Truecaller, Weibo, UC Browser, UC News 등이 국가 보안에 심각한 위협이 될수 있다는 인도 첩보기관의 내용이 포함되어 있다.
  • 러시아 중앙은행(Central Bank of Russia)이 신년 연휴 이전에 금융기관에 대한 새로운 해커 공격에 대해서 경고했다. 중앙은행의 사이버 보안 부국장(Deputy Head of Cyber Security Department)인 Artem Sychev는 Cobalt Strike 바이러스를 사용하는 해커들의 공격이 줄어들었다고 발표했다. 그는 해커들이 연말에 은행 고객들이 엄청난 손실을 보게 만들 다른 공격을 준비하고 있을 것이라고 말했다.

Detailed News list

  • #OpUSA, #OpIsrael
    • [SecurityAffairs]
      #OpUSA – OpIsrael – Anonymous hit Israel and threatens cyberattack on US Govt
    • [CyberGuerilla]
      Anonymous OpUSA – OpIsrael: Israili Gov’t hacked and dumped
  • China is spying through 42 mobile apps
    • [SecurityAffairs]
      The Indian Intelligence warns China is spying through 42 mobile apps
  • Russian Central Bank
    • [EHackingNews]
      Russian Central Bank warned of possible Cyber Attack before New Year

 

Malwares

Summaries

  • 이전에 Blind라는 이름으로 알려졌던 나폴레온(Napoleon) 랜섬웨어에 대한 Malwarebytes Lab의 분석보고서가 발표되었다. 이 랜섬웨어는 이전에는 Blind라는 이름으로 알려졌고, 최근에는 .napoleon 이라는 확장자를 사용하며 몇가지 변경사항이 확인되었다. 지금까지 이 새로운 변종의 유포방식은 확실하게 확인되지 않았다. Malwarebytes의 추정은 공격자들이 직접 해킹당한 컴퓨터에 드랍 및 설치한는 것으로 보고있다. 랜섬웨어가 설치되고 난 후에는 파일들 하나씩 암호화하며, 확장자에 email.lapoleon을 추가한다. HTA 형식의 랜섬노트를 남기며, Napoleon의 윈도우 화면은 Blind에 비해서 단순해졌다.
  • 앞서 정리했던 Locky와 유사한 Scarab 랜섬웨어가 피해 대상이 몸값 지불에 흥정을 할 수 있게 허락하고 있다는 기사가 나왔다. Scarab 랜섬웨어는 6월에 처음 발견되었는데, 11월에 들어서 갑자기 수백만개의 스팸메일을 통해 유포되었다. 이 이메일은 Locky 랜섬웨어를 매우 성공적으로 유포한 것으로 유명한 Necurs 봇넷에 의해 유포되었다.
  • 11월 30일에 애플이 조용히 macOS XProtect 악성코드 방지 시스템에 OSX.HiddenLotus.A.라 불리는 것에 대한 시그니처를 추가한 일이 있었다. 히든로터스(HiddenLotus)가 무엇인가에 대해서는 의문으로 남았으나, 같은날 Arnaud Abbati가 샘플을 찾아서 트위터에서 공유하며 정체가 밝혀졌다. 히든로터스는 드로퍼(dropper)로 Lê Thu Hà (HAEDC).pdf라는 파일이름을 사용했다. 이 파일은 이전에 문서파일 형태로 위장한 악성코드들 처럼 특별할 것 없어 보이지만, 실제로는 pdf 확장자를 사용한다. 하지만 인식되기로는 응용프로그램으로 인식되는데, 여기에는 pdf의 d 문자가 영어 알파벳 d가 아닌 로마 숫자 500을 의미하는 D의 소문자를 사용했다.
  • Eset에 따르면 인터넷 서비스 제공업체(ISP, Internet Service Provider)가 연관된 것으로 보이는 FinFisher 악성코드가 새로운 종류의 스파이웨어로 대체되었다. ESET에서 Win32/StrongPity2로 탐지된 이 스파이웨어는 StrongPity라 불리는 그룹의 스파이웨어와 유사하다.
  • 유명 블로깅 웹 어플리케이션인 워드프레스(WordPress)를 사용하는 사이트에서 키로거가 발경되었다. 수천개의 워드프레스 사이트가 사용자의 입력을 가로채는 악성코드에 감염된 것이 발견되었다. 이 감염은 cloudflare.solutions이라는 악성코드로 웹사이트가 감염되었던 지난 4월의 캠페인 중 일부이다. 과거에 탐지되었을 당시에는 암호화폐를 채굴하는 기능이 포함되어 있었으며, 지금은 키로깅 기능이 포함되어 있다. 기사가 작성될 당시 cloudflare.solutions 악성코드는 5,495개의 웹사이트에 감염되어 있었으며 이 숫자는 증가하고 있는 것으로 보인다. (8일에서 이어짐)
  • 전세계 수백만 시스템을 감염시켰던 Conficker 웜이 9년이 지난 지금도 여전히 활발히 활동중이다. 이 웜은 제조, 헬스케어, 정부 분야의 조직에 강력한 위협으로 남아 있을 정도로 악성코드 방지 시스템에 의해 지속적으로 탐지되고 있다. Conficker 웜이 처음 등장한 것은 2008년이다. 이번주에 트렌드 마이크로가 발표한 리포트에 따르면, Downad라 불리는 웜은 이번 해에만 330,000건이 탐지되고 차단되었다. 이 수치는 트렌드 마이크로가 Conficker를 2016년에는 3000,000건, 2015년에는 290,000건을 탐지하고 차단한 수치와 거의 일치한다. 2008년에 처음 등장한 Conficker 웜은 처음 등장시 전세계 약 900만대의 놀라운 숫자의 컴퓨터 시스템을 감염시켰다. (8일에서 이어짐)

Detailed News List

  • Blind(Napoleon) ransomware
    • [Malwarebytes]
      Napoleon: a new version of Blind ransomware
  • Scarab ransomware
    • [ZDNet]
      This ransomware asks victims to name their own price to get their files back
  • HiddenLotus
    • [Malwarebytes]
      Interesting disguise employed by new Mac malware HiddenLotus
  • StrongPity2
    • [WeLiveSecurity]
      StrongPity2 spyware replaces FinFisher in MitM campaign – ISP involved?
  • WordPress keylogger
    • [HackRead]
      More than 5,000 WordPress websites plagued with Keylogger
  • Conficker
    • [Cyberscoop]
      Conficker worm still spreading despite being nearly 10 years old

 

Exploits/Vulnerabilities

Summaries

  • 이번주 구글이 공격자가 대상 앱의 서명 검증 인증서에 영향을 미치지 않으면서도 앱에 악의적인 코드를 주입할 수 있는 취약점을 수정했다. 이 방법은 공격자가 신뢰하는 제작사에서 만든 것처럼 보이는 서명된 어플리케이션을 사용해 장비의 악성코드방지 기능을 우회하고 권한을 상승시킬 수 있는 취약점이다. 이 취약점은 야누스(Janus)라고 이름이 붙었으며, GuardSqure의 CTO인 Eric Lafortune에 의해 발견되었다. 이 취약점은 7월에 CVE-2017-13156 번호가 부여되었다. 구글은 이 취약점을 12월자 안드로이드 보안 패치의 일부로 수정했다.
  • 마이크로소프트 오피스(Microsoft Office)의 보안 취약점이 해킹 그룹에 의해 익스플로잇(Exploit)으로 활용되는데에 채 일주일이 걸리지 않는다는 기사가 나왔다. 파이어아이(FireEye)가 목요일에 공개한 연구 결과에 따르면, 지난달에 마이크로소프트가 오피스의 원격 코드 실행(remote code execution) 취약점(CVE-2017-11882)을 공개한지 일주일도 안되서, 이란의 해커들이 피싱 이메일을 통해 중동 정부 기관을 공격하는데 이 취약점을 사용했다.
  • 마이크로소프트(Microsoft)사의 오피스(Office)에 17년간 존재한 방정식 편집기(Equation Editor)의 취약점에 대한 기사가 계속해서 이어진 가운데, 해당 취약점에 대한 분석 보고서가 팔로알토네트웍스(Palo Alto Networks)의 Unit42에 의해 공개되었다.
  • 30개 이상의 유명 이메일 클라이언트에 영향을 미치는 Email 스푸핑 취약점이 발견되었다. 다른 사람이 보낸 메일인 것처럼 위장할 수 있는 취약점이 발견되었다. MailSploit이라는 이름이 붙은 이 취약점은 Apple Mail(macOS, iOS, watchOS), Mozilla Thunderbird, Microsoft email clients, Yahoo Mail, ProtonMail 및 기타 메일클라이언트들에 영향을 미친다. 이 클라이언트들에 DKIM이나 DMARC와 같은 스푸핑 방지 메커니즘이 구현되어 있지만, MailSploit은 이메일 클라이언트와 웹 인터페이스가 From 헤더를 파싱하는 것을 이용한다. (6일에서 이어짐)

Detailed News List

  • Android Flaw ‘Janus’
    • [ThreatPost]
      Android Flaw Poisons Signed Apps with Malicious Code
    • [TheRegister]
      Android flaw lets attack code slip into signed apps
  • Flaw into Exploit
    • [CyberScoop]
      Hacking group turns Microsoft Office flaw into an exploit in less than a week
    • [MicrosoftSecurityCenter]
      CVE-2017-11882 | Microsoft Office Memory Corruption Vulnerability
  • Office Equation Editor
    • [PaloAltoNetworks]
      Analysis of CVE-2017-11882 Exploit in the Wild
  • MailSploit
    • [InformationSecurityBuzz]
      Mailsploit Lets Attackers Send Spoofed Emails On Over 33 Email Clients

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 구글이 자사의 투명성 리포트(Transparency Report) 중 National Security Letter 섹션을 확대하여, National Security Letters(NSLs)의 새로운 사례로 FBI로 부터 받은 것들을 공개하겠다고 밝혔다. 새로운 NSLs의 서브섹션은 세 컬럼으로 이루어져 있다. NSL 그 자체에 대한 링크와, NSL이 발행된 날짜, FBI가 발행한 문서에 대한 링크다. 가장 최근의 공개된 문서의 날짜는 2017년 9월 25일로 되어있다. 공개된 내용에 따르면, FBI는 NSL을 전자 통신 개인정보 보호법(Electronic Communications Privacy Act, ECPA)에 따라 비공개 요구(non-disclosure requirement)와 함께 발행했다. 이 문서는 구글이 FBI로 부터 특정 날짜에 수신한, 구글의 고객 계정에 대한 정보 요청 NSL을 공개할 수 있도록 허락했으며, 요청한 FBI 요원의 이름 및 전화번호는 삭제되었다. 구글은 또한 대상 사용자 계정도 삭제했다. 가장 오래된 NSL은 2009년의 여러 Gmail 계정에 대한 것이다. 이 문서에서는 구글에게 이름, 주소, 서비스 기간 정보를 요구하고 있다.
  • 구글이 접근성 서비스(Accessibility Services) API를 사용하는 앱에 대하여 그 기능을 제거하라고 알림을 발표하고 유예기간 이후에는 지키지 않는 앱을 마켓에서 제외시키겠다고 했던 기사가 있었다. 구글이 접근성 서비스 제거를 위해 개발자들에게 주었던 이 유예기간을 30일 더 연장했다.
  • 영국 법원에서 직원이 일으킨 대규모 데이터 유출 사건에 회사는 무고하지만, 그럼에도 불구하고 보상금(compensation)을 지불해야 한다고 밝혔다. 유럽연합에 개인정보 보호에 대해서는 상대적으로 강력한 법률이 존재한다는 것은 잘 알려진 사실이다. 이전에도 정리했던 기사에서 영국 슈퍼마켓 체인인 모리슨스(Morrisons)는 2014년에 99,998 명의 직원들이 개인정보가 담긴 파일이 파일 공유 웹사이트에 공개되는 사건이 있었다. 이 파일에는 이름, 주소, 성별, 생일, 전화번호, 은행 계좌 번호, 급여 정보가 있었다. 추후 수사를 통해 밝혀진 사실은, 이 내용들은 2013년에 있었던 징계(disciplinary) 절차에 앙심을 품은 Andrew Skelton이라는 모리슨스의 IT 수석 감사관(senior IT auditor)에 의한 것이었다.

Detailed News List

  • Google’s Transparency Report
    • [ZDNet]
      Google lifts lid on FBI data requests: Now you can read actual letters online
  • Google pauses removal of apps
    • [ZDNet]
      Google pauses removal of apps that want to use accessibility services
  • UK Court
    • [TechDirt]
      UK Court Says Company Is Innocent In Massive Data Breach Caused By Vindictive Employee, But Must Nonetheless Pay Compensation

 

Vulnerability Patches/Software Updates

Summaries

  • 애플이 홈킷(HomeKit) 장비에 영향을 미치는 취약점을 패치했다. 애플에 따르면, 스마트자물쇠(SmartLock)나 차고문 제어장치(Garage door openers)와 같은 홈킷(HomeKit) 장치들의 허가되지 않은 원격 제어를 허용할 수 있는, 홈핏 프레임워크의 미공개 취약점이 수정되었다. 이 취약점은 최초 9to5Mac이 목요일에 보도했다. 발표자료에 따르면, 이 취약점은 HomeKit 사용자의 iCloud 계정과 연결되어 있는, 최신 iOS 11.2를 사용하는 iPhone이나 iPad가 필요하다.
  • 치명적인 취약점이 마이크로소프트(Microsoft)의 악성코드 보호 엔진(MPE, Malware Protection Engine)에서 발견되어 마이크로소프트가 목요일에 이에 대한 패치를 공개했다. 이 취약점은 공격자가 공격대상 컴퓨터를 완전히 장악할 수 있게 한다. 윈도우즈10용 윈도우즈 디펜더(Windows Defender)를 포함한 다양한 마이크로소프트의 보안 제품들이 영향을 받는다. 마이크로소프트 악성코드 보호 엔진은 마이크로소프트의 모든 제품의들의 안티바이러스 및 안티스파이웨어 프로그램에 핵심 기능을 제공한다. 마이크로소프트에 따르면, 아직까지 이 취약점이 실제 공격에 사용되고 있다는 흔적은 발견되지 않았다. (8일에서 이어짐)
  • OpenSSL의 취약점 두가지가 패치되었다. OpenSSL 프로젝트가 목요일에 구글 연구가가 발견한 두가지 취약점이 패치된 OpenSSL 1.0.2n 버젼을 공개했다. 이 취약점은 구글 연구가 David Benjamin이 앞서 발표했던 OSS-Fuzz라는 퍼싱 서비스를 사용해 발견한 취약점이다. (11월 3일자 뉴스모음) 취약점 중 하나는 CVE-2017-3737이며, 다른 하나는 CVE-2017-3738이다. (8일에서 이어짐)

Detailed News List

  • Apple
    • [ThreatPost]
      Apple Fixes Flaw Impacting HomeKit Devices
    • [NakedSecurity]
      Apple fills the KRACK on iPhones – at last
  • Microsoft
    • [TheHackerNews]
      Microsoft Issues Emergency Windows Security Update For A Critical Vulnerability
    • [SecurityWeek]
      Microsoft Patches Critical Vulnerability in Malware Protection Engine
    • [DarkReading]
      Microsoft Issues Emergency Patch for ‘Critical’ Flaw in Windows Security
    • [SecurityAffairs]
      CVE-2017-11937 | Microsoft releases an emergency update to fix a flaw in Malware Protection Engine
    • [ZDNet]
      Windows 10: UK’s GCHQ found out how to hack Windows Defender to own your PC
  • OpenSSL
    • [SecurityAffairs]
      OpenSSL patches for the fourth time in 2017 its library, and it will likely be the last one

 

Data Breaches/Info Leakages

Summaries

  • 자전거 공유(bicycle-sharing) 플랫폼인 oBike의 싱가폴 및 전세계 13개국 사용자들의 개인정보 데이터가 유출됐다. 회사 대변인에 따르면, 데이터 유출은 친구를 oBike 플랫폼으로 초대하는 어플리케이션 프로그래밍 인터페이스(application programming interface)의 문제(gap)로 인해 발생했다. 초대 코드를 친구에게 보내고 자전거 사용 정보를 소셜네트워크에서 공유하는 기능을 사용하는 과정에서, 사용자가 인지하지 못한 상태로 개인정보에 대한 접근권한을 허용한 것이다. 이 사고는 최소 2주간 지속되었다.
  • 가상 키보드(virtual keyboard) 어플리케이션인 ai.type 앱의 개인정보 수집 데이터 유출에 대한 기사가 이어지고 있는 가운데, Have I Been Pwned 사이트를 통해 숫자가 공개되었다. 총 2천만건의 정보가 유출되었다. 유출된 정보는 주소록의 연락처 정보, 장치에 설치된 어플리케이션 목록, 통신사 이름, 생일, 장치정보, 이메일 주소, 성별, 위치정보, IMEI(International Mobile Equipment Identity) 번호, IMSI(International Mobile Subscriber Identity) 번호, IP주소, 이름, 전화번호, 프로필 사진, 소셜미디어 프로필 이다. (6일에서 이어짐)

Detailed News List

  • oBike
    • [TripWire]
      Security Breach Exposed oBike Users’ Personal Information
  • ai.type keyboard app
    • [HaveIBeenPwned]
      ai.type – 20,580,060 breached accounts
    • [InformationSecurityBuzz]
      More Than 31 Million Hit By Keyboard App Breach

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • ICS-CERT에 따르면 Rockwell Automation이 FactoryTalk 제품에서 높은 등급의 서비스거부(DoS, Denial of Service) 취약점을 패치했다. 이 취약점은 2.90이나 그 이전버젼의 FactoryTalk Alarms and Events(FTAE)에 영향을 미친다. 이 FactoryTalk Services Platform 컴포넌트는 Studio 5000 Logix Designer PLC 프로그래밍 및 설정 도구(programming and configuration tool)와 FactoryTalk View SE HMI(Human Machine Interface) software에 의해 설치된다. FTAE는 View SE HMI 시스템을 통해 알람과 이벤트의 일관된 뷰를 제공한다. 이 제품은 전세계 주요 산업기반시설, 엔터테인먼트, 자동차, 식품, 음료, 식수, 상하수도과 같은 분야에서 사용된다. 보안 취약점은 이름이 알려지지 않은 회사에 의해 Rockwell Automation에게 제보되었고, 취약점 번호 CVE-2017-14022가 부여되었다. 이 취약점은 인증받지 않은 사용자가 원격으로 조작된 패킷을 TCP 403포트로 보내 이 제품의 이력 보관 서비스(history archiver service)가 멈추게(stall) 하거나 종료되게(terminate) 할 수 있다.

Detailed News List

  • Rockwell Automation
    • [SecurityWeek]
      Rockwell Automation Patches Serious Flaw in FactoryTalk Product

 

Crypto Currencies/Crypto Mining

Summaries

  • 비트코인 가격이 계속적으로 치솟음에 따라, 점점 더 많은 사이버 범죄자들이 유명 암호화폐를 거리해는 사람들을 대상으로 눈길을 돌리고 있다. 가장 최근의 비트코인 사용자 그룹을 특정한 악성코드 배포 방식이 Fortinet 연구가들에 의해 밝혀졌다. 이메일을 통해, Gunthy가 개발한 새로운 비트코인 거래 봇인 Gunbot을 무료로 사용해 보라는 홍보내용이 전달된다. 이 이메일은 VB 스크립트를 첨부하고 있는데, 이 스크립트는 실행되면 JPEG 이미지처럼 보이는 파일을 다운로드 한다. 이 파일은 실제로는 PE 바이너리로, 최종적으로는 수많은 실행파일들을 내려받아 시스템에 설치한다. 이 파일들 중 하나는 악성코드가 시스템이 리부팅 되어도 실행될 수 있게 하며, 다른 하나는 Orcus RAT 서버가 설치된다.
  • 가장 큰 암호화폐 채굴 시장인 나이스해시(NiceHash)가 해킹사실을 인정했다. 나이스캐시는 다른사람의 컴퓨팅 파워를 구매하거나, 유사 비트코인들(altcoins)을 채굴하고 비트코인으로 지불받을 수 있는 암호화폐 채굴 시장이다. 나이스해시(NiceHash)는 해킹으로 전체 비트코인 지갑을 잃게 되었다고 발표했다. 나이스해시는 수요일 정오에 성명을 발표했는데 NiceHash 웹 사이트에 보안 침해가 있었으며, 지불 시스템이 완전히 침해당해 나이스해시의 비트코인 지갑을 도둑맞았다고 발표했다. 나이스해시가 정확한 금액을 밝히지는 않았지만, 추정되는 금액은 약 6천만 달러에 달할 것으로 보인다. (8일에서 이어짐)

Detailed News List

  • Fake trading bot
    • [HelpNetSecurity]
      Bitcoin traders beware: Fake trading bot offer delivers RAT
    • [SecurityWeek]
      Orcus RAT Campaign Targets Bitcoin Investors
  • NiceHash
    • [HackersOnlineClub]
      Bitcoin Mining Company Confirms Approx 70 Million Dollar Hack

 

Posted in Security, Security NewsTagged #OpIsrael, #OpUSA, Accessibility Service, Anonymous, Blind Ransomware, Conficker, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, CVE-2017-11882, CVE-2017-13156, CVE-2017-14022, CVE-2017-3737, CVE-2017-3738, Cyber Espionage, Data Breach, Denial of Service, DoS, HiddenLotus, HMI, Human Machine Interface, ICS, Industrial Control System, Information Leakage, Infrastructure, Internet of Things, IoT, Keylogger, MailSploit, Napoleon Ransomware, OpenSSL, Orcus RAT, Patches, Scarab Ransomware, StrongPity, StrongPity2, VulnerabilityLeave a comment

Security Newsletters, 2017 Dec 3rd, Reverse Brute Force Attack 外

Posted on 2017-12-03 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Malwares/Exploits/Vulnerabilities

Summaries

  • Lantronix의 시리얼-이더넷(Serial-to-Ethernet) 장치가 텔넷 비밀번호를 유출시킨다는 사실이 발견되었다. NewSky Security의 Ankit Anubhav 보안연구가에 의해서 온라인에 접속된 수천개의 Serial-to-Ethernet 장치가 텔넷 비밀번호를 유출시킨다는 사실이 밝혀졌다. Serial-to-Ethernet “장치 서버”는 시리얼 인터페이스밖에 존재하지 않는 원격장치에 접속하기 위해 사용된다. 취약한 장치는 미국의 Lantronix 제조사에 의해 제조된 장치들이다. UDS와 xDirect 장비들은 LAN이나 WAN 접속을 통해 장비를 쉽게 관리할 수 있게 해준다.

Detailed News List

  • Lantronix Serial-To-Ethernet devices
    • [SecurityAffairs]
      At least six thousand Lantronix Serial-To-Ethernet devices are leaking Telnet passwords

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 뉴저지(New Jersey) Bergen의 Tenafly 고등학교 학생이 자신이 다니는 학교의 컴퓨터 시스템을 성적을 조작해 아이비 리그 대학의 입학승인을 받으려 한 혐의로 기소당했다. NorthJersey.com에 따르면, 기소당한 16세의 학생은 컴퓨터 시스템에 해킹해 들어가 등급과 전체 평점(GPA, Grade Point Average)을 조작했다. 이 학생은 대학 지원서와 함께 조작된 성적을 보내기까지 했다. 그러나 이 사기가 밝혀지면서 행정처에서는 지원서를 모두 회수했다.
  • 재미있는 기사가 나왔다. 튜링(Turing) 제약회사가 Daraprim이라는 약에대한 권리를 사들여, 에이즈 및 암환자들이 의존하는 약 가격을 13.5달러에서 750달러로 올린 사건이 있었다. 그리고 그 회사의 젊은 CEO인 마틴 슈크렐리(Martin Shkreli)가 스스로를 악당이라 칭하며 “뭐 어쩌라고” 식의 반응을 했었다. 그리고 2014년에 유명 그룹인 우탱클랜(Wu Tang Clan)은 자신들의 최신 앨범인 ‘Once Upon a Time in Shaolin’을 단 한 장만 판매하겠다는 특이한 마케팅을 했었는데, 이를 마틴 슈크렐리가 2백만 달러에 구입한 것이다. 그리고 2015년 말에 마틴 슈크렐리는 약 가격문제가 아닌, 증권 사기로 체포되었다. 그리고 그는 올해 유죄 판결을 받고 감옥에 가 있다. 그러는 와중에 정부가 이 단 한 장 밖에 없는 앨범을 포함한 슈크렐리의 재산에 대해 범죄 자산에 대한 몰수(forfeiture) 고소장을 낸 것이다.
  • (2일에서 이어짐) 미 국가안보국(NSA, National Security Agency) 전 직원 Nghia H. Pho(67)가 기밀정보를 집으로 가져간 것에 대하여 유죄를 인정했다. 검찰은 이에대해 징역 8년을 구형했다. Pho는 NSA의 해킹 공격 조직인 TAO(Tailored Access Operations)에 근무했으며, 2010년과 2015년 사이 불법적으로 집으로 가져간 비밀문서들은 이후 러시아 첩보기관에 의해 도난당했다. 이 사건은 지난 2년간 NSA 직원이 기밀정보의 잘못된 취급으로 기소당한 세번째 사례다.

Detailed News List

  • Student hacks school’s computer system to alter grades
    • [HackRead]
      Student hacks school’s computer system to alter grades and overall GPA
  • Wu Tang Clan ‘Once Upon a Time in Shaolin’
    • [TechDirt]
      What Happens If The DOJ Ends Up With Martin Shkreli’s Sole Copy Of The Wu Tang Clan Album?
  • Former NSA employee pleads guilty
    • [KrebOnSecurity]
      Former NSA Employee Pleads Guilty to Taking Classified Data
    • [SecurityAffairs]
      Kaspersky case – Now we know who is the NSA hacker who kept Agency’s cyber weapons at home
    • [TheHackerNews]
      Here’s the NSA Employee Who Kept Top Secret Documents at Home
    • [SecurityWeek]
      Elite U.S. Government Hacker Charged With Taking Secret Information
    • [TheRegister]
      Guilty: NSA bloke who took home exploits at the heart of Kaspersky antivirus slurp row

 

Data Breaches/Info Leakages

Summaries

  • 어나니머스(Anonymous)가 브라질의 부패한 공공 부문 주체에 대한 데이터 유출을 시작했다. 유출된 데이터는 법 집행기관 및 지역 지방자치단체에 이르는 공공 부문의 IP 주소가 포함되어있다. 유출된 정보에는 라우터, 방화벽, 기타 오픈 서비스들을 포함한 주요 인프라 서비스들의 네트워크 토폴로지가 어떻게 구성되어 있는지 아주 상세하게 드러나있다. 공개 신원 및 공공 안전과 관련된 서버들을 포함해 상파울루 군대와 경찰 아이피 범위가 모두 노출되었다는 점이 아주 중요하다. 또한 모든 경찰관 신원 뿐만 아니라, 전체 공공 보안 사무실 정보도 노출되었다.

Detailed News List

  • Anonymous Brazilian
    • [SecurityAffairs]
      Anonymous launch Brazilian Corrupt Public Sector Entities Data Leak

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 색다른 Brute force 공격 도구인 Spray 툴에 대한 소개가 올라왔다. Trustwave의 Jacob Wikin이 등록한 블로그 포스트에 따르면, 이 툴은 기존의 윈도우 계정에 대한 무작위 대입 공격을 새로운 각도에서 접근한다. 하나의 계정에 대해서 여러가지 비밀번호를 대입해보는 기존의 브루트포스 방식이 윈도우의 계정잠금(Lockout) 기능 때문에 성공하기 어렵기 때문에, SMB Null session이나 Net user 명령, LinkedInt, Prowl, Raven과 같은 OSINT 툴 등으로 다양한 방식으로 수집할 수 있는 여러 계정들에 대해서 리버스 브루트포스 공격(reverse brute force attack) 혹은 패스워드 스프레잉(Password Spraying)이라 불리는 방식인 몇개의 비밀번호만 시도해 보는 것이다. 이 툴은 배시(Bash) 기반으로 작성되어 Mac이나 Linux에서 사용할 수 있으며, 계정 잠김 우회를 위해 기다리는 시간을 정할 수 있다.

Detailed News List

  • Password Spraying
    • [TrustwaveSpiderLab]
      Simplifying Password Spraying

 

Posted in Security, Security NewsTagged Anonymous, Data Breach, Information Leakage, Password Spraying, Reverse Bruteforce Attack, VulnerabilityLeave a comment

Security Newsletters, 28, Oct, 2017

Posted on 2017-10-28 - 2017-10-28 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 포함하거나 함께 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operation/Cyber Intelligence

Summaries

  • 빠르고 무지막지했던 Bad Rabbit 랜섬웨어가 도둑맞은 NSA 익스플로잇을 사용했다고 DarkReading이 전했다. 연구자들의 초기 분석결과는 Bad Rabbit 랜섬웨어가 Petya나 NotPetya의 수정된 코드를 사용한 반면에, 확산을 위해서는 WannaCry같은 익스플로잇을 사용하지 않았다는 것이었다. 시스코 시스템즈의 탈로스(Talos) 그룹은 이 랜섬웨어가 확산을 위해 EternalRomance라고 부르는 익스플로잇을 사용했다고 말했다. 이 익스플로잇은 도난당해 유출된 NSA 도구 중 일부로, 이번 여름 피해대상기관 내부에 유포하기 위해 사용된 Nyetya (또는 Petwrap, Goldeneye) 랜섬웨어 공격 도구였다. 최근 밝혀진 내용에 따르면, Bad Rabbit은 웜 처럼 확산하기 위해서 SMB 로컬 네트워크를 사용한다. 분석가들은 하드코딩된 자격증명(credential) 목록과 Mimikatz의 비밀번호 추출 방법을 확인했다. EternalRomance는 NSA의 Equation Group이라 부르는 해킹팀의 것으로 여겨지는 많은 해킹도구중 하나이며, Shadow Brokers라 부르는 해킹팀에 의해 유출되었다. EternalRomance는 원격 코드 실행 익스플로잇으로 마이크로소프트의 SMB(Server Message Block) 취약점인 CVE-2017-0145를 공격한다.
  • 어나니머스(Anonymous)가 카탈로니아 독립에 대한 논쟁에서 스페인 정부의 웹사이트를 공격했다. 어나니머스 해커들이 스페인의 공공근로 및 교통부(Ministry of Public Works and Transport)가 운영하는 웹사이트를 카탈로니아 독립운동을 지지하며 공격했다. 공격대상 사이트들이 DDoS 공격에 시달리는 동안, 일부 사이트는 “Free Catalonia” 문구로 디페이스(deface) 되었다.
  • 오클라호마의 공공시설위원회, 사이버 공격 감지. 오클라호마의 공공시설물위원회에 이루어진 사이버공격이 정보시스템에 영향을 입혔다고 밝혔다. 웹사이트 및 이메일 서비스, 기타 네트워크의 운영이 월요일 일찍 해킹 공격이 일어난 이후 중단되었다.

Detailed News list

  • Bad Rabbit
    • [DarkReading] Bad Rabbit, 도둑맞은 NSA 익스플로잇 사용
      Bad Rabbit Used Pilfered NSA Exploit
    • [theHackerNews] Bad Rabbit, 유출된 NSA의 EternalRomance 익스플로잇을 확산을 위해 사용
      Bad Rabbit Ransomware Uses Leaked ‘EternalRomance’ NSA Exploit to Spread
    • [HackRead] NSA의 EternalRomance 익스플로잇, Bad Rabbit 랜섬웨어 대혼란에서 사용
      EternalRomance NSA Exploit a Key Player in Bad Rabbit Ransomware Mayhem
    • [ThreatPost] EternalRomance 익스플로잇, Bad Rabbit 랜섬웨어에서 발견
      ETERNALROMANCE EXPLOIT FOUND IN BAD RABBIT RANSOMWARE
  • Anonymous & Catalonia
    • [SCMagazine] 어나니머스, 카탈로니아 독립 논쟁에서 스페인 정부 웹사이트 공격
      Anonymous targets Spanish government sites in Catalan independence controversy
  • Oklahoma
    • [TheSacramentoBee] 오클라호마 공공시설위원회 사이버공격 감지
      Oklahoma’s public utilities commission detects cyberattack

 

Deep Web/DarkNet/Onion

Summaries

  • 범죄자들에 국제 RDP 서비스 제공하는 다크넷 마켓. 다크넷 마켓들이 장악한 RDP 서버들에 대한 접근권한을 사이버범죄 생태계에 돈을받고 파는 일이 지난 몇년간 계속 증가하고 있다. UAS(Ultimate Anonymous Services)라는 마켓은 유명한 RDP 마켓으로, 2016년 2월 16일부터 온라인으로 활동을 해 왔다. UAS는 SOCKs 프록시 및 35,000개의 브루트포스(Bruteforce)한 RDP 정보를 제공한다. 이 RDP들은 중국, 브라질, 인도, 스페인, 콜롬비아 등 전 세계에 걸쳐 존재한다.

Detailed News List

  • Ultimate Anonymity Services
    • [Flashpoint] 범죄자들에게 RDP 서비스 제공하는 다크넷 마켓 UAS
      “Ultimate Anonymity Services” Shop Offers Cybercriminals International RDPs

 

Security Breach/Info Leakage

Summaries

  • 가장 유명한 자바스크립트 라이브러리인 jQuery의 공식 블로그가 해킹당했다. 그러나 아직 jQuery에서 호스팅하는 jQuery 라이브러리 파일들이 공격받았다는 증거는 없다. 해킹당했다는 블로그 포스트를 올린 Leah Silber의 계정이 해킹당했거나, 아직 알려지지 않은 워드프레스의 취약점을 사용한 것으로 추정된다. jQuery 블로그에 등록되었던 해킹 포스트는 삭제되었고 아직 공식 발표는 없다.

Detailed News List

  • jQuery
    • [theHackerNews] jQuery 공식 블로그 해킹당해
      jQuery Official Blog Hacked — Stay Calm, Library is Safe!
    • [HackRead] jQuery 블로그 해킹 당했다
      jQuery Blog Gets Hacked – Hackers Compromise CoinHive’s DNS

 

Crypto Currency

Summaries

  • 실제 이더리움(Ethereum) 지갑 서비스인 MyEtherWallet.com에서 보낸 것 처럼 위장한 피싱메일이 다가오는 하드포크(hard fork)에 대해 언급하면서 메일에 포함된 링크를 클릭하여 사용자 계정에 대한 잠금을 해제하고 계좌 잔액을 확인하라고 사용자들을 속였다. 유니코드를 사용해 실제 사이트처럼 꾸민 피싱사이트에서 사용자들이 속아 비밀번호를 입력하면 그 비밀번호를 이용해 이더리움 잔액을 공격자의 지갑으로 이체했고, 짧은 2시간 동안 공격자들은 약 15,000 달러의 이더리움(52.56ETH)을 훔쳐냈다.
  • 코인하이브(Coinhive)의 사고가 오래된 비밀번호의 재사용으로 인해 일어났다고 밝혔다. 코인하이브는 최근 침해사고에서 DNS 서비스 제공사인 CloudFlare의 계정을 탈취당해 공격자에 의해 변경된 자바스크립트를 배포했다. 이 Cloudflare 계정은 이전 Kickstarter 사고에서 유출된 계정의 비밀번호를 동일하게 사용하고 있었다.

Detailed News List

  • Ethereum Phishing
    • [BleepingComputer] 이더리움 피싱 공격, 두시간반에 범죄자들에게 1.5만의 순수익 안겨
      Ethereum Phishing Attack Nets Criminals 15K in Two Hours
  • CoinHive
    • [HelpNetSecurity] 코인하이브, 오래되고 재사용한 비밀번호 때문에 해킹당했다
      Coinhive breached due to old, reused password

 

Malware/Exploit/Vulnerability

Summaries

  • 지난달 스팸 메일로 악성코드를 유포하기 시작한 온라인 작전의 배후에있는 해커들이 일본을 우선순위로 삼고 공격하고 있다. 몇년간 Ursnif(Gozi)는 일본 및 북미, 유럽, 호주를 대상으로 해왔다. 그러나 최근 IBM X-Force 분석가에 따르면, 일본에서의 작전이 새로운 대상과 회피기술로 한 단계 더 발전했다. 최근 탐지된 Ursnif 악성코드 변종들의 샘플을 분석한 결과 더이상 은행 및 은행 자격증명(Credential)정보만을 노리는 것이 아니라 일본의 웹메일, 클라우드 저장소, 암호화폐 거래 플랫폼, e커머스 사이트의 사용자 인증정보(Credential)를 노리고 있다.
  • 클라우드 기반 통신 플랫폼인 슬랙이 SAML 사용자 인증에 있던 심각한 취약점을 패치했다.

Detailed News List

  • URSNIF
    • [ThreatPost] Ursnif 뱅킹 트로이가 일본에서 확산중
      URSNIF BANKING TROJAN SPREADING IN JAPAN
  • SLACK
    • [ThreatPost] SLACK, SAML 사용자 인증에 심각한 취약점 패치
      SLACK PLUGS ‘SEVERE’ SAML USER AUTHENTICATION HOLE

 

Legislation/Politics/Policy/Regulation/Law Enforcement

Summaries

  • –

Detailed News List

  • –

 

Internet of Things

Summaries

  • Reaper IoT 봇넷이 DDoS 서비스를 위한 도구인 것으로 보인다. 최근 10,000 ~ 20,000개의 명령 장치와, 봇넷 노드로 보이는 추가적인 2백만개의 호스트가 식별되었다. 2백만개의 호스트가 왜 봇넷에 흡수되지 않았는지는 아직까지 확실치 않지만, Arbot Network의 ASERT(Arbor’s Security Engineering & Response Team)는 중국 내부의 DDoS서비스 시장에서 사용될 것으로 추측했다.
  • 체크포인트(Check Point)의 보안연구가의 연구결과에 따르면, LG SmartThinQ 스마트 홈디바이스에서 취약점을 발견했다. 이 취약점은 LG에서 생산된 냉장고, 오븐, 식기세척기, 에어컨, 드라이어, 세탁기 등의 인터넷 연결을 가로챌 수 있게 한다. 그리고 원격으로 LG의 홈봇이나 카메라가 내장된 로봇청소기를 조종할 수 있고 비디오 영상을 실시간으로 확인 할 수 있었다.

Detailed News List

  • Reaper Botnet
    • [DarkReading] Reaper 봇넷, 유료 DDoS 서비스 도구로 보여
      ‘Reaper’ IoT Botnet Likely a DDoS-for-Hire Tool
    • [360NetLab] IoT Reaper
      IoT_reaper: A Few Updates
  • LG Smart Appliances
    • [theHackerNews] 해커에 의해 LG 스마트 기기가 원격조종되는 스파이 로봇이 될 수 있다
      Hackers Could Turn LG Smart Appliances Into Remote-Controlled Spy Robot
    • [HackRead] 보안연구가, 청소기를 해킹해 스파이 도구로 만들다
      Researchers hack vacuum cleaner; turn it into perfect spying device
    • [Phys.org] 보안취약점으로 해커가 스마트 오븐을 켤 수 있다
      Security flaw could have let hackers turn on smart ovens

 

Industrial/Infrastructure/Physical System/HVAC

Summaries

  • 활동가들에 의해 소가 제기된지 며칠 후에 선거서버가 지워졌다. 조지아 선거 메인서버가 7월에 지워졌고, 두개의 백업은 8월에 세번이나 자기소거(degaussing) 됐다. 현재 조지아 선거 관리 공무원들에 대하여 제기된 연방 소송의 핵심으로 여겨지는 서버와 백업들이 완전히 지워진 것으로 알려졌다. 한 보안연구가에 의해 투표시스템의 심각한 문제가 발견된 이후, 조지아는 아주 엄격한 정밀조사 과정에 있었다. 그후 소송이 이어졌고, 법원에는 6월 20일 의회 특별선거 결과의 취소에 대한 요청 및 컴퓨터기반의 투표시스템이 다시 사용되는 것을 막아달라는 요청이 있었다. 이 사건은 7월 3일 Fulton County Superior Court에 접수되었다. 그러나 지난 목요일 APNews 소식에 따르면, 데이터는 7월 7일 Kennesaw State University의 the Center for Elections Systems에 의해 파괴되었다. 그리고 이메일로 확인된 내용에 따르면 두개의 백업 서버는 세 차례 자기소거(degaussing)된 것으로 확인됐다. 이에 대해서는 Kennesaw State University의 Tammy Demel 대변인은 다음과 같이 답변을 했다. 2017년 3월에 데이터 침해에 연관된 것으로 여겨지는 서버들이 연방수사국(FBI)에 제출되었고, 데이터는 수사과정에서 포렌식 이미지와 모든데이터의 복사본으로 만들어져 수사국에 보관되었다는 것이다. 그리고 그 이후 연방수사국으로부터 어떤 데이터도 침해당하지 않았다는 연락을 받았으며 수사는 종료되었다고 한다. 수사 종료 후에는, 해당 장비의 재활용을 위해 일상적인 업무절차를 거쳐 드라이브의 소거작업 등이 진행되었다고 밝혔다.
  • 선박의 AmosConnect 8 웹 플랫폼의 두가지 취약점에 대한 보고서가 발표되었다. 이 플랫폼은 IT 및 네비게이션시스템에 대한 모니터링 및 선원들을 위한 메시징, 이메일, 웹브라우징 등의 기능을 제공하는 플랫폼이다. 보고서에서는 이 취약점이 공격받을 경우 선원들의 개인정보 및 광범위한 운영데이터의 노출, 고립되어 운영되어야 하는 선박의 주요 시스템들의 손상이 발생 할 수 있다고 밝혔다.
  • NATO 사무총장이 동맹국들이 러시아의 전화네트워크 마비(Jamming) 기술에 대한 우려가 높아지고 있다고 밝혔다. 나토의 사무총장인 Jens Stoltenberg가 2017년 10월 26일 브뤼셀의 나토 본부에서 열린 나토-러시아 협의 회의(Nato-Russia Council)에서, 지난달 군사훈련간 사용된 전자전 종류의 무기에 의한 일부 전화 네트워크의 장애에 대하여 동맹국들의 우려가 커지고 있다고 밝혔다. 최소한 두 동맹국이 그런사실을 알려왔다고 말했으며, 러시아가 워게임에 대하여 더욱 투명하게 대처할 필요가 있다고 강조했다. 지난 9월 14에서 20일까지 러시아가 벨라루스와 함께 진행했던 Zapad 훈련 진행중에 라트비아, 노르웨이, 스웨덴의 Oeland 섬의 전화 서비스가 몇 시간 동안 중단되었다. 이 장애는 발틱해(Baltic Sea)에 있던 러시아의 통신선에 의해 발생한 것으로 추측된다.

Detailed News List

  • 조지아 선거 서버 삭제
    • [arsTechnica] 소송제기 며칠 뒤, 조지아 선거서버 지워져
      Days after activists sued, Georgia’s election server was wiped clean
    • [TheRegister] 미 투표서버 의문스러운 삭제
      US voting server in election security probe is mysteriously wiped
    • [APNews] 조지아 선거 서버, 소송 제기후 삭제
      APNewsBreak: Georgia election server wiped after suit filed
  • 해상 통신 시스템 취약점
    • [Wired] 유명 해상통신 플랫폼의 버그로 선박 노출
      A BUG IN A POPULAR MARITIME PLATFORM LEFT SHIPS EXPOSED
    • [ThreatPost] Inmarsat의 위성통신 시스템의 치명적인 두가지 버그 발견
      TWO CRITICAL VULNERABILITIES FOUND IN INMARSAT’S SATCOM SYSTEMS
    • [TheRegister] 해상 통신시스템 취약점 발견
      Maritime comms flaws exposed: It’s OK cuz we canned it, says vendor
    • [ZDNet] 내장백도어로 인해 해상 선박 데이터에 해커가 접근 가능
      Hackers can gain access to maritime ship data through a built-in backdoor
    • [CMU CERT] Inmarsat AmosConnec8 메일 클라이언트 SQL Injection 및 백도어계정 취약점
      Inmarsat AmosConnect8 Mail Client Vulnerable to SQL Injection and Backdoor Account
  • Zapad & Phone Jamming
    • [C4ISRNet] 나토 사무총장, 동맹국들의 러시아 전화 마비공격에 대한 우려 언급
      NATO chief says allies concerned about Russian phone jamming

 

Technology/Technical Document/Report

Summaries

  • 구글이 HTTPS와 같은 일을 DNS 쿼리에서도 하려는 중이다. 2015년 IEFE(Internet Engineering Task Force)에 제출된, DNS 질의를 암호화하는 DNS-over-TLS에 대한 내용이 AOSP(Android Open Source Project)에 등록되었다. 일반 DNS 질의는 인터넷에 평문 평태로 전송되기 때문에 중간자공격(MitM, Man-in-the-Middle Attack)에 의해 추적되거나 변경될 수 있다. 그래서 방문하는 모든 사이트들의 정보가 ISP나 VPN 제공사에 의해 기록될 수 있다.

Detailed News List

  • DNS
    • [NakedSecurity] 암호화되지 않은 DNS를 노리는 안드로이드
      Android takes aim at ISP surveillance with DNS privacy

 

Social Engineering

Summaries

  • –

Detailed News List

  • –

 

Privacy

Summaries

  • 사생활 침해로 이어질 수 있는 iOS의 기능이 이슈다. 앱이 카메라에 접근할 권한을 허용하기만 하면, 실제 사용자가 알지 못하는 순간에 LED 노출이나 불빛등의 특징 없이도 전/후방 카메라로 스냅사진을 찍어 그 데이터가 인터넷에 업로드되고 안면인식 등의 분석이 이루어질 수 있다는 것이다. 거기에는 애플의 iOS11에서 소개한 새로운 기능인 CoreML이라는 신경망에 의한 사생활 침해 가능성이 큰 논란이 되고 있는데, CoreML 권한을 사용하는 앱에서 사용자의 마이크, 달력등의 데이터 스트림에 접근하여 안면인식, 자연어처리, 대상인식 등 신경망과 의사결정트리 등 온갖 머신러닝 도구들을 사용할 수 있는 것이다.

Detailed News List

  • iOS privacy
    • [NakedSecurity] iOS의 사생활 침해
      The iOS privacy loophole that’s staring you right in the face
    • [Wired] 애플의 머신러닝엔진이 당신 아이폰에 들어있는 비밀을 들춰낼지 모른다
      APPLE’S MACHINE LEARNING ENGINE COULD SURFACE YOUR IPHONE’S SECRETS
Posted in Security, Security NewsTagged Anonymous, Bad Rabbit, Crypto Currency, CVE-2017-0145, Cyber Espionage, DarkNet, Data Breach, Deep web, Equation Group, EternalRomance, Ethereum, Exploit, Gozi, Hacking, ICS, Industrial Control System, IoT, IOTroop, jQuery, Machine Learning, Malware, Maritime platform, Mimikatz, Phone jamming, Reaper, Security, UAS, Ursnif, VulnerabilityLeave a comment

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.