Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] Backdoor

Security Newsletters, 2018 Jan 14th, Lenovo Network Switch Backdoor 外

Posted on 2018-01-14 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Malwares

Summaries

  • DNS 설정을 하이재킹하는 맥OS용 악성코드 MaMi가 확인되었다. OSX/MaMi라고 명명된 이 악성코드는 Malwarebytes 포럼에 DNS 설정이 82.163.143.135, 82.163.142.137로 계속 변경된다는 리포트를 통해 발견되었다. 악성코드가 어떻게 유포되는지에 대해서는 아직 밝혀진바가 없다. 이번에 분석된 샘플은 DNS를 하이재킹하는 기능만 했지만, 스크린샷을 찍거나 마우스 이벤트의 시뮬레이션, 파일 업로드/다운로드, 명령실행 등의 기능도 갖추고 있다. (13일에서 이어짐)

Detailed News List

  • MaMi DNS Hijacker
    • [SecurityAffairs]
      New MaMi Malware targets macOS systems and changes DNS settings

 

Exploits/Vulnerabilities

Summaries

  • 인텔 AMT 취약점이 공격당하면 단 몇 초만에 컴퓨터를 장악당할 수 있다. 보안연구자들이 인텔의 Advanced Management Technology(AMT)가 악용당하면 채 1분이 안되는 물리적인 접근으로 장치가 공격당할 수 있음을 밝혀냈다. Evil Maid 공격은 코드 한줄 없이도 기업 네트워크에대한 원격 제어 능력을 내줄 수 있다. F-Secure 연구가 Harry Sintonen에 의해 발견되어 공개된 이 취약점은 2017년 발견되었던 AMT firmware 취약점이나 현재의 멜트다운/스펙터와는 무관한 취약점이다. 새로운 취약점은 매우 간단한데, 바이오스(BIOS) 비밀번호 설정이 인텔의 MEBX(Management Engine BIOS Extension) AMT BIOS 확장에 대한 접근을 막지 못한다는데 있다. AMT는 하드웨어 기반의 원격 관리 도구로, 칩 수준의 기능으로 운영체제나 소프트웨어에 의존적이지 않다. 오직 전력과 네트워크만 연결되어 있으면 된다. 공격자가 물리적으로 접근할 수 있다면, 장치를 부팅하는 동안 CTRL-P를 누르고 기본 비밀번호인 admin으로 MEBx에 로그인만 하면 된다. 기본 비밀번호를 바꾸고, 원격 접근을 활성화 한 후 사용자 확인(Opt-in)을 None으로 설정하면 된다. (13일에서 이어짐)

Detailed News List

  • Intel AMT Flaw
    • [EHackingNews]
      New Intel Security Flaw Detected

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 코네티컷(Connecticut)의 한 남성이 피싱 캠페인의 일부로 250개 넘는 아이클라우드(iCloud) 계정을 해킹한 것에 대하여 유죄를 인정했다. 이 해킹으로 유명 여성 셀럽들의 누드 사진이 인터넷에 공개되었다. 26세의 George Garofano는 이번 일로 최대 5년의 징역형을 받게되었다. (13일에서 이어짐)
  • macOS의 스파이웨어 Fruitfly 제작자가 기소되었다. 스크린샷 캡쳐와 웹캠 촬영으로 사용자들을 감시할 수 있는 기능을 가진 악명높은 악성코드가 작년에 기사화 된 일이 있었다. Digita Security의 Patrick Wardle에 의해 발견된 이 악성코드는 Fruitfly 혹은 Quimitchin이라는 이름으로 불린다. 이 악성코드는 십여년간 사람들을 감시해왔다. FBI에 의핸 수년간의 수사끝에 이 악성코드의 제작자가 기소되었다. 오하이오(Ohio) 연방 법원에서 Phillip R. Durachinsky가 Fruitfly의 제작자이며, 이 악성코드를 거의 13년간 사용해 왔다는 내용의 기소장이 제출되었다. 이 기간동안 수천대의 컴퓨터를 감염시키고 수백만장의 사진을 훔쳤다. (12일에서 이어짐)

Detailed News List

  • Celebgate
    • [TheHackerNews]
      Fourth Fappening Hacker Admits to Stealing Celebrity Pics From iCloud Accounts
  • Fruitfly
    • [GrahamCluley]
      Fruitfly malware spied on Mac users for 13 years – man charged
    • [WeLiveSecurity]
      Fruitfly malware spied on Mac users for 13 years – man charged

 

Vulnerability Patches/Software Updates

Summaries

  • 중국의 레노보(Lenovo)의 엔지니어가 네트워킹 스위치에 존재하는 백도어를 찾아냈다. 보안권고문(CVE-2017-3765)에 따르면 이 “HP backdoor”는 펌웨어에 대한 내부 보안 감사(internal security audit)을 모든 제품들에 대하여 진행하여 발견되었다. 이 백도어는 Enterpise Network Operating System(ENOS)에 영향을 미친다. 레노보는 업데이트를 릴리즈 했으며, 인증이나 인가를 우회할 수 있는 메커니즘을 절대 허용하지 않는다고 언급했다.
  • Let’s Encrypt가 얼마전 소유하지 않은 인증서를 하이재킹 할 수 있었던 취약점 때문에 중단했던 서비스의 문제점을 패치했다. Let’s Encrypt는 ISRG(Internet Security Research Group)에 의해, 웹사이트들에게 HTTPS용 무료 인증서를 프로그램 적으로 제공하기 위해 운영되는 비영리 SSL/TLS 인증기관(certificate authority)이다. TLS-SNI는 Let’s Encrypt의 자동 인증서 관리 환경(ACME, Automatic Certificate Management Environment)이 TLS 인증서에 대한 요청을 검증(validate)라는 세가지 방식 중 하나다. 다른 두 방식인 HTTP-01과 DNS-01은 이번 문제에 영향을 받지 않는다. 문제는 TLS-SNI-01과 그 뒤를 이은 TLS_SNI-02가 특정 환경에서 공격자가 소유하지 않은 사이트에 대한 HTTPS 인증서를 획득할 수 있다는 것이었다.

Detailed News List

  • Lenovo
    • [HackRead]
      Lenovo removes backdoor present in networking switches since 2004
  • Let’s Encrypt
    • [TheRegister]
      Let’s Encrypt plugs hole that let miscreants grab HTTPS web certs for strangers’ domains

 

Data Breaches/Info Leakages

Summaries

  • 누구인지 알려지지 않은 해커가 병원 서버를 장악한 뒤 몸값으로 비트코인을 요구하고 있다. 1월 11일 밤 Greenfield Indiana의 Hancock Health 병원이 정교한 사이버 공격으로 전체 네트워크가 장악 당했다. 해커는 컴퓨터 시스템에 비트코인으로 몸값을 지불할 것을 요구하는 메시지를 띄웠다. 병원에서는 해커가 감염을 확산시키는 것을 막기위해 그들의 시스템을 중단하기로 결정하고 FBI에 신고했다.

Detailed News List

  • Hospital Servers
    • [HackRead]
      Hacker demands ransom in Bitcoin after taking over hospital servers
    • [EHackingNews]
      Unknown Hackers demand Ransom in Bitcoin

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 주요 스카다(SCADA, Supervisory Control And Data Acquisition)시스템의 모바일 앱에서 보안 취약점이 발견되었다. 2년 전, 산업제어시스템(ICS, Industrial Control Systems)의 소프트웨어 및 하드웨어에서 취약점을 찾은바 있는데, 이번에는 스카다 모바일 앱에 대한 연구를 진행했다. IOActive와 Embedi에 소속된 이들이 34개 제조사의 SCADA 모바일 어플리케이션에 대한 조사 결과, 그들 중 대다수에서 취약점들이 발견되었다. 분석 대상 어플리케이션들은 구글 플레이에 등록되어있는 앱들 중에서 34개가 임의로 선택되었다. (12일에서 이어짐)

Detailed News List

  • Mobile App Flaws of SCADA ICS
    • [SecurityAffairs]
      Mobile App Flaws of SCADA ICS Systems Could Allow Hackers To Target Critical Infrastructe

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 시스코(Cisco)에서 암호화된 트래픽에서 악성코드를 찾아내는 툴을 새롭게 개발했다. 1월 10일에 시스코가 공식적으로 ETA(Encrypted Traffic Analytics)라는 소프트웨어 플랫폼을 릴리즈했다. 이 플랫폼은 악성 트래픽을 탐지하기 위해, 네트워크 패킷 메타데이터를 지속적으로 확인할 수 있다. 이 소프트웨어는 2017년 6월에 시작되었으나 기업(enterprises)들만이 사용할 수 있어 그 이후로는 비공개 상태였다.

Detailed News List

  • Cisco Tool
    • [SecurityAffairs]
      Cisco’s new tool will detect malware in encrypted traffic

 

Posted in Security, Security NewsTagged Backdoor, Fruitfly, ICS, Industrial Control System, MaMi, SCADA, Security BreachLeave a comment

Security Newsletters, 2017 Dec 22nd, 암호화폐 채굴 봇 Digmine 유포 外

Posted on 2017-12-22 - 2017-12-22 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 은행간 거래 네트워크 시스템인 SWIFT를 공격했던 해커들이 러시아 국영 은행을 공격했다. 5,500만 루블(약 94만 달러 가량)을 러시아 은행 Globex로부터 훔치려 했다는 뉴스가 보도되었다. SWIFT는 국제 화폐 전송(global monetary transfers)을 위해 사용되는 국가간 지불 시스템(international payments system)이다. 2016년 2월에 해커들이 방글라데시의 중앙 은행에서 8,100만 달러를 훔친바 있다.
  • 작년 미 대선기간 동안의 민주당(Democratic National Committee) 침입으로 유명한 러시아의 사이버 위협 단체인 Fancy Bear가 더 위험해 졌다는 기사가 나왔다. Sedint나 APT28, Sofacy라고도 불리는 이 그룹이 최근들어, 그들이 주로 사용하는 악성코드 툴인 Xagent를 개선해 새로운 기능등을 추가했다. 이 추가된 기능들은 탐지하거 차단하는 것을 더 어렵게 만드는 기능들이다.
  • 북한이 워너크라이(WannaCry) 공격 사건에 대해서 다시 부인했다. 이번주 워너크라이에 대해서 백악관이 북한을 비난한데 이어 다른 국가들도 여기에 동참했다. 북한의 대변인은 사이버공격에 대한 미국의 혐의 제기가 어처구니 없는 일이라며 대응했다.
  • 중국 해커들이 미국의 군사 전략 문서를 훔치기 위해 싱크탱크(think tanks)를 감시하려 했다고 CrowdStrike가 밝혔다. 수요일에 발표된 블로그 포스트에서, CrowdStrike는 10월과 11월에 6개의 각기 다른 서방 기관들에 중국 해커들이 침입을 시도했다고 밝혔다. 특히 중국 경제 정책 연구(Chinese economic policy research)와 중국 경제(Chinese economy)와 관련된 외국인 개인들을 노렸다고 밝혔다.
  • 북한 해커들이 연휴 기간에 맞춰 이제는 암호화폐에서 PoS(Point-of-Sale) 시스템으로 눈길을 돌리고 있다고 Proofpoint와 RiskIQ가 밝혔다. 이번에 Proofpoint에 의해 새로이 탐지된 악성코드 프레임워크는 PowerRatankba라는 코드명이 붙었다. PowerRatankba는 다수의 최근 스피어피싱 캠페인과 관련이 있다.
  • 비너스라커(VenusLocker) 랜섬웨어 배후의 범죄자들이 이제 암호화폐 채굴로 전환했다고 FortiGuard Labs가 밝혔다. 대한민국 사용자들의 컴퓨터를 공격 대상으로 삼았던 지난번 공격에서, 이제 이 위협 그룹이 공격대상 PC에 모네로(Monero) 암호화폐를 채굴하는 악성코드를 심고있다고 밝혔다.

Detailed News list

  • SWIFT Hackers
    • [InfoSecurityMagazine]
      SWIFT Hackers Hit Russian State Bank
  • Fancy Bear APT Group
    • [DarkReading]
      Russia’s Fancy Bear APT Group Gets More Dangerous
  • NK denies role in WannaCry
    • [SecurityWeek]
      North Korea Denies Role in WannaCry Ransomware Attack
    • [ZDNet]
      WannaCry ransomware: North Korea labels US accusation as “absurd”
  • Chineese tried to spy on U.S think tanks
    • [CyberScoop]
      Chinese hackers tried to spy on U.S. think tanks to steal military strategy documents, CrowdStrike says
  • NK begins PoS Attacks
    • [InfoSecurityMagazine]
      North Korea Begins PoS Attacks with New Malware
    • [CyberScoop]
      North Korean hackers turn focus to cryptocurrency, point-of-sale systems during holiday season
  • From Ransomware to Cryptocurrency Mining
    • [ThreatPost]
      Crooks Switch from Ransomware to Cryptocurrency Mining

 

Malwares

Summaries

  • 페이스북 메신저를 통해 moniker기반의 암호화폐 채굴 봇(cryptocurrency-mining bot)인 Digmine이 유포되고 있다. Digmine은 대한민국에서 최초 탐지되었으나, 베트남, 아제르바이잔, 우크라이나, 필리핀, 태국(Thailand), 베네수엘라 등에서도 유포중임이 확인되었다. 페이스북 메신져는 여러 플랫폼에서 제공되고 있으나, Digmine은 페이스북 메신저의 데스크탑 및 웹 브라우저(크롬) 버젼에서만 영향을 미친다.
  • Heimdal Security에 따르면 Emotet 트로이가 사용자의 민감 금융 정보를 노리고 활동을 재개했다. 지난 며칠간 Emotet 뱅킹 트로이가 첨부된 스팸 캠페인이 목격되었다.
  • 워드프레스(WordPress) 플러그인 중 캡챠(Captcha) 플러그인에 백도어가 포함된 것으로 확인되면서 워드프레스 플러그인 목록에서 제거되었다. 약 30만개의 워드프레스 사이트들이 영향을 받은 것으로 보인다. 이 플러그인은 최초 BestWebSoft에 의해 개발되었으나, 몇달 전 백도어가 추가될 당시에는 이름이 확인되지 않은 개발자로 소유권이 변경된 것으로 확인되었다. (21일에서 이어짐)

Detailed News List

  • Digmine
    • [TrendMicro]
      Digmine Cryptocurrency Miner Spreading via Facebook Messenger
  • Emotet Trojan
    • [Heimdal]
      Security Alert: Emotet Trojan Returns with New Waves of Spam Campaigns
  • WordPress
    • [HackRead]
      WordPress Captcha Plugin Contains Backdoor- 300,000 Websites at Risk

 

Exploits/Vulnerabilities

Summaries

  • 구글이 더블클릭(DoubleClick) 고객들에게 XSS 취약점에 대해서 경고했다. 자사의 광고 플랫폼을 통해 제공되는 파일 중, 제3자 제공사들의 파일 일부에 크로스 사이트 스크립팅(XSS, Cross-site scripting) 취약점이 있다고 경고했다. 더블클릭은 이러한 XSS 공격에 취약한 몇몇 광고 회사들의 목록을 공개했으며, 웹사이트 소유자들 및 관리자들은 해당 파일들이 서버에 남아있는지 확인하라고 알렸다. 문제가 되는 제공사들은 더블클릭에 의해 비활성화되었다.
  • 아이폰 페이스아이디(FaceID)에 이어서 윈도우즈10의 얼굴인식(Facial recognition) 기능이 프린트한 사진으로 우회할 수 있음이 알려졌다. 헬로(Hello)라고 알려진 윈도우즈10의 얼굴인식 보안 기능이 해당 사용자의 사진만으로 통과될 수 있음이 알려졌다. (21일에서 이어짐)

Detailed News List

  • DoubleClick XSS
    • [SecurityWeek]
      Google Warns DoubleClick Customers of XSS Flaws
  • Windows10 Ficial recognition
    • [SecurityWeek]
      Windows Hello Face Recognition Tricked by Photo
    • [GrahamCluley]
      Fooling Windows 10 facial authentication with a photo

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • Keeper가 Ars Technica및 리포터 Dan Goodin을 구글 프로젝트 제로(Project Zero)의 한 보안연구가가 발견한 자사의 비밀번호 관리자(Password manager)의 취약점에 대해 공개한 기사에 대해 고소했다. Keeper Security는 24시간내에 패치를 릴리즈했다. 이들은 취약점이 브라우저 확장(browser extension)에만 영향이 있는 것이며, 데스크톱 버젼의 Keeper 응용프로그램은 영향을 받지 않았다고 명확히 했다. 또 Keeper는 이에대한 보도 기사가 의도적(was intended)으로 작성되었으며, “잘못되고 오해하게 만드는 문구들(false and misleading statements)로” 회사에 악영향을 끼쳤다며 주장했다. 재판을 요청한 Keeper는 Ars와 편집자 Dan Goodin에 대해서 기사를 삭제하는 것 뿐만 아니라, 손해보상과 법적 비용을 보상하라고 요구했다.
  • 두명의 루마니아인이 워싱턴DC의 65%의 감시카메라(Surveillance Camera) 컴퓨터들을 해킹한 혐의로 기소당했다. 12월 11일 두명의 용의자 Mihai Alexandru Isvanca와 Eveline Cismaru가 의도적으로 보호된 컴퓨터에 인증없이 접근한 등의 혐의로 고소당했다. USSS(United States Secret Service)가 포렌식으로 수집한 증거에 따르면, 이 두 루마니아인 용의자들은 콤럼비아 특별구 경찰청(Metropolitan Police Department of the District of Columbia, MPDC)이 운영하는 187개의 감시카메라 중 123의 운영을 돕는 컴퓨터들을 침해한 것으로 드러났다.
  • 영국 십대가 다수의 분산서비스거부(DDoS, Distributed Denial of Service) 공격으로 체포되었으나 감방신세는 면했다. 이번주 19살 학생인 Jack Chappell이 2015년과 2016년에 미국 및 영국의 대형 브랜드 웹사이트에 대해 진행되었던 대규모 DDoS 공격의 연루에 대한 징역형은 면하게 되었다. 이전에 보도된 vDoS 서비스의 관리자중 하나였다. Chappell은 2016년 4월, 수사관이 그의 IP주소를 추적해 체포되었다. (21일에서 이어짐)
  • 랜섬웨어를 유포하던 사이버 범죄자들 다섯명이 루마니아(Romania)에서 체포되었다. 루마니아 국적의 용의자 다섯명이 국제 사이버범죄 소탕작전으로 지난주 체포되었다. 이들 중 세명은 CTB-Locker(Curve-Tor-Bitcoin Locker) 랜섬웨어 유포 용의자들 이며, 다른 두명은 미국과 유로폴의 랜섬웨어 수사과정에서 함께 체포되었다. Bakovia 체포작전은 루마니아 경찰, 루마니아 및 네덜란드 검찰청, 네덜란드 경찰, 영국 국가범죄기관, 유로폴의 유럽사이버범죄센터의 지원을 받은 미 FBI, 합동 사이버범죄 대응 태스크포스에 의해 진행되었다. (21일에서 이어짐)

Detailed News List

  • Keeper
    • [SecurityWeek]
      Keeper Sues Ars Technica Over Reporting on Critical Flaw
  • DC Surveillance Camera Computers
    • [TheRegister]
      US capital’s surveillance cam network allegedly hijacked by Romanian ransomware suspects
    • [TripWire]
      Two Romanians Charged with Hacking 65% of DC Surveillance Camera Computers
  • UK Teen
    • [KrebsOnSecurity]
      U.K. Man Avoids Jail Time in vDOS Case
  • Five Ransomware Suspects in Romania
    • [NakedSecurity]
      5 Romanian ransomware distributors arrested after police raid
    • [SecurityAffairs]
      Operation Bakovia – Romanian authorities arrest 5 individuals for Spreading CTB Locker and Cerber Ransomware
    • [TheRegister]
      Euro ransomware probe: Five Romanians cuffed

 

Vulnerability Patches/Software Updates

Summaries

  • VMWare 제품들에 존재하던 코드실행(code execution) 취약점이 패치되었다. 어제(20일자) 뉴스기사 정리에서 VMWare 제품들에 존재하는 VNC 구현 오류로 인한 코드실행 취약점이 패치되었다. VMWare가 ESXi와 vCenter Server Appliance, Workstation, Fusion 제품에 4개의 취약점을 수정하는 패치를 공개했다. (21일에서 이어짐)

Detailed News List

  • VMWare
    • [SecurityAffairs]
      VMWare addressed severe Code Execution vulnerabilities in several products

 

Cyber Intelligence/Open Source Intelligence

Summaries

  • 거대 기술 기업들이 뭉쳐 라자러스(Lazarus) 그룹에 대응하기 위한 움직임을 보이고 있다. 마이크로소프트와 페이스북은 각각 이번주에 자신들이 사이버범죄 그룹에 대응하기 위해 취한 조치들에 대해 설명을 발표했다. 페이스북은 해당 그룹의 활동을 어렵게 만들기 위해서, ZINC로도 알려진 그룹과 관계된 것으로 확인된 계정들을 삭제했다고 밝혔다. 마이크로소프트가 지난주 취한 조치들은 조금 더 악성코드에 집중한 것으로 보인다. 이 그룹이 의존하고 있는 악성코드를 방해하기 위해 감염된 고객들의 컴퓨터를 치료하고, 사이버공격에 사용되는 것으로 보이는 계정들을 비활성화 했으며, 재 감염을 막기위해 보안을 강화하는 조처들을 했다고 설명했다.

Detailed News List

  • Tech Giants Take Steps
    • [InfoSecurityMagazine]
      Tech Giants Take Steps to Disrupt Lazarus Group

 

Data Breaches/Info Leakages

Summaries

  • 미국 1억 2,300만 가정의 민감 데이터가 Alteryx의 아마존 S3로 부터 유출되는 사고가 발생했다. 이번에도 잘못 설정된(misconfigured) 아마존 웹서비스 S3 클라우드 스토리지 버킷이 이유였다. UpGuard의 블로그 포스트에 따르면, 노출된 데이터는 미 인구 통계국(US Census Bureau)와 Alteryx의 것으로 보인다. 연구자들은 이 데이터가 Alteryx가 Experian으로부터 구매한 데이터로 보고있다. (21일에서 이어짐)

Detailed News List

  • Households exposed
    • [DarkReading]
      Census Records Leaked in Marketing Firm’s Exposure of 123 Million Households
    • [DarkReading]
      US Census Bureau: Data Exposed in Alteryx Leak Already Public

 

Crypto Currencies/Crypto Mining

Summaries

  • 안드로이드 플레이 마켓에서 가짜 비트코인 지갑(Wallet) 앱이 여럿 발견되었다. 구글플레이 스토어에서 Lookout의 보안연구원들에 의해 세가지 가짜 비트코인 지갑 앱이 발견되었다. 사용자의 비트코인 관련 데이터를 훔치려는 목적으로 작성된 앱이었다.
  • 코인베이스(CoinBase)가 비트코인캐시(Bitcoin Cash) 가격 폭등 이후 내부자 거래(insider trading)에 대해서 조사에 나섰다. 샌프란시스코에 위치한 디지털 통화 거래소인 코인베이스(CoinBase)가 비트코인 캐시 거래 가능 내용을 발표하기 직전 비트코인캐시 가격이 폭등했던 사건 이후로, 해당 문제에 대한 조사를 진행한다고 발표했다.
  • 이더델타(EtherDelta) 암호화폐 거래소의 가짜 웹사이트 사기 사건이 벌어졌다. 리포트에 따르면, 유명 암호화폐 거래소인 이더델타(EtherDelta)가 해킹당해서 사용자들이 토큰을 해커들에게 보낸 것으로 추정된다. 지금까지 약 308ETH(26만달러 가량)가 도난당했다. 이더델타가 관리하는 Smart contracts은 안전한 것으로 알려졌으며, 해커들은 이더델타의 DNS 서버를 장악해 사용자들에게 가짜 웹사이트를 서비스했다.
  • 사이버 범죄 조직이 암호화폐 채굴에 사용할 새로운 봇넷 구성을 위해 데이터베이스 서비스들을 노리고있다. GuardiCore Labs의 연구자들에 의해 탐지된 이 공격은 Hex-Men 공격이라 이름 붙었다. 이 공격은 지난 3월부터 점차적으로 확대되어왔다. 이 공격엔 크게 3가지 변형이 있는데 각각 Hex, Hanako, Tayler 라 부른다. 각각은 서로 다른 SQL 서버를 노리며, 고유의 특정 목적, 규모, 목표 서버들을 가진다. 수집된 정보에 따르면, 공격자들은 중국에 기반하여 활동하며 중국 외에도 태국, 미국, 일본 및 기타 전세계 국가들을 공격 대상으로 하고있다. (20일에서 이어짐)

Detailed News List

  • Fake Bitcoin Wallet Apps
    • [HackRead]
      Fake Bitcoin Wallet Apps Found on Google Play Store
    • [ThreatPost]
      Google Play Boots 3 Fake Bitcoin Wallet Apps
    • [SecurityWeek]
      Fake Bitcoin Wallet Apps Removed from Google Play
  • CoinBase
    • [NakedSecurity]
      Coinbase investigates insider trading after Bitcoin Cash price spike
  • EtherDelta
    • [HackRead]
      EtherDelta cryptocurrency exchange hacked in fake website scam
  • Database botnet
    • [SecurityAffairs]
      Chinese crime group targets database servers for mining cryptocurrency
    • [TheHackerNews]
      Hackers Targeting Servers Running Database Services for Mining Cryptocurrency

 

Posted in Security, Security NewsTagged Backdoor, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, Cyber Espionage, Data Breach, DDoS, Digmine, Distributed Denial of Service, Emotet, Fancy Bear, Information Leakage, Infrastructure, Lazarus, Malware, Patches, POS, Ransomware, SWIFT, Vulnerability, XSSLeave a comment

Security Newsletters, 2017 Dec 21th, 워드프레스 캡챠 플러그인 백도어 外

Posted on 2017-12-21 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 영국에 이어 미국 정부가 워너크라이(WannaCry) 랜섬웨어 공격에 대해 북한을 공식적으로 비난했다. 워너크라이 공격에 대해 “부주의하고 무모한(careless and reckless)” 공격이라고 백악관 국토안보 보좌관(Homeland Security Adviser) Tom Bossert가 백악관 기자 브리핑에서 말했다. (20일에서 이어짐)
  • 질럿 캠페인(Zealot Campaign)이 NSA의 익스플로잇을 사용해 모네로(Monero) 채굴기를 윈도우즈 및 리눅스 서버에 유포하고 있다. F5 Networks의 보안연구가들이 정교한 악성코드 캠페인을 탐지해냈다. Zealot 캠페인으로 명명된 이 공격은 공격대상 서버에 드랍되는 zealot.zip 파일이름을 따라 지어졌다. 이 공격은 리눅스와 윈도우즈 서버를 공격 대상으로 하며, 모네로(Monero) 암호화폐 채굴기를 설치한다. 이 공격자들은 인터넷에 패치되지 않은 서버들을 스캔하며, 이 서버들을 두가지 익스플로잇을 사용해 해킹한다. 하나는 아파치 스트러츠(CVE-2017-5638) 취약점이며, 하나는 NotNetNuke ASP.NET CMS(CVE-2017-9822)취약점이다. (18일에서 이어짐)

Detailed News list

  • North Korea
    • [DarkReading]
      Attack Attribution Tricky Say Some as US Blames North Korea for WannaCry
    • [TechDirt]
      Homeland Security Adviser Pins Wannacry Attack On North Korea In Wall Street Journal Op-Ed
    • [TheHackerNews]
      Greedy North Korean Hackers Targeting Cryptocurrencies and Point-of-Sale Terminals
    • [SecurityWeek]
      Australia, Canada, Others Blame North Korea for WannaCry Attack
    • [InformationSecurityBuzz]
      WannaCry Attributed To North Korea
    • [EHackingNews]
      White House blame North Korea for WannaCry
  • Zealot Campaign
    • [InformationSecurityBuzz]
      New Apache Struts Campaign Mining Monero Uses EternalBlue And EternalSynergy
    • [CyberScoop]
      Newly uncovered ‘Zealot’ malware could double as 2017 buzzword bingo

 

Malwares

Summaries

  • 워드프레스(WordPress) 플러그인 중 캡챠(Captcha) 플러그인에 백도어가 포함된 것으로 확인되면서 워드프레스 플러그인 목록에서 제거되었다. 약 30만개의 워드프레스 사이트들이 영향을 받은 것으로 보인다. 이 플러그인은 최초 BestWebSoft에 의해 개발되었으나, 몇달 전 백도어가 추가될 당시에는 이름이 확인되지 않은 개발자로 소유권이 변경된 것으로 확인되었다.
  • Loapi 악성코드가 안드로이드 스마트폰을 공격하고 있다. 이 Loapi 트로이를 광고를 클릭하거나 가짜 AV나 성인 콘텐츠 앱을 다운로드하며 설치하게 된다. 설치 후, Loapi는 관리자 권한을 끊임없이 요구한다. 사용자가 관리자 권한을 박탈하려 하면, 이 트로이는 화면을 잠가버리고 설정 윈도우를 닫아버린다. 그리고 사용자가 장치 보호를 위한 안티바이러스 앱과 같은 응용프로그램을 다운로드하려 하면 Loapi는 이 프로그램을 악성이라 분류하고 삭제할 것을 요구한다. 이러한 알림 팝업이 끊임없이 반복된다. (19일에서 이어짐)
  • 사이버 스파이 작전 스핑크스(Sphinx)가 AnubisSpy를 이용하여 모바일로 전환했다. 트렌드마이크로(TrendMicro)에 따르면 이 AnubisSpy 악성코드가 Sphinx 캠페인(APT-C-15)와 관련된 것으로 보인다. AnubisSpy의 조종자가 Sphinx의 조종자와 같을 가능성도 있다고 밝혔다. AnubisSpy는 문자메시지를 훔치거나, 사진, 동영상, 연락처, 이메일 계정, 달력 일정, 브라우저 기록 등을 훔칠 수 있다. 그리고 피해자를 장치에 설치된 앱을 통해 감시할 수 있다. (20일에서 이어짐)
  • 최근 발견된 원격 제어 트로이(RAT, Remote Access Trojan)가 2017년 11월에 패치된 마이크로소프트 오피스의 17년된 취약점을 사용해 유포되고 있다고 Netskope가 경고했다. 텔레그램RAT(TelegramRAT)이라 명명된 이 악성코드는, 텔레그램 메신저 응용프로그램을 사용해 명령 및 제어(C&C, Command and Control) 용도로 사용한다. 그리고 클라우드 저장소 플랫폼(Cloud storage platform)을 악용하여 페이로드를 저장한다. 이 접근법으로 일부 전통적인 보안 스캐너들을 우회할 수 있다. (20일에서 이어짐)
  • 마이크로소프트 오피스(Microsoft Office) 문서를 사용해 Loki 악성코드가 배포중이다. Loki 악성코드는 인증정보(Credential)을 훔치는 기능을 가지고 있으며, 마이크로소프트 엑셀이나 기타 오피스 응용프로그램을 사용해 탐지를 회피하며 유포되고 있다. (20일에서 이어짐)

Detailed News List

  • Backdoored Captcha WordPress Plugin
    • [SecurityWeek]
      Backdoored Captcha Plugin Hits 300,000 WordPress Sites
    • [SecurityAffairs]
      Backdoor in Captcha Plugin poses serious risks to 300K WordPress sites
    • [TheHackerNews]
      Hidden Backdoor Found In WordPress Captcha Plugin Affects Over 300,000 Sites
    • [TheRegister]
      WordPress captcha plugin on 300,000 sites had a sneaky backdoor
  • Loapi
    • [MalwarebytesLabs]
      Lo lo lo Loapi Trojan could break your Android
    • [SecurityAffairs]
      Loapi Android malware can destroy your battery mining Monero
    • [InformationSecurityBuzz]
      From Crypto Currency Mining To DDos Attacks: The New Multi-Featured Mobile Trojan Loapi Discovered
  • Anubis
    • [HackRead]
      AnubisSpy Malware: Stealing photos, videos & spying on Android users
  • TelegramRAT
    • [InfoSecurityMagazine]
      TelegramRAT Scurries Around Defenses Via the Cloud
  • Loki
    • [TrendMicro]
      CVE-2017-11882 Exploited to Deliver a Cracked Version of the Loki Infostealer

 

Exploits/Vulnerabilities

Summaries

  • 아이폰 페이스아이디(FaceID)에 이어서 윈도우즈10의 얼굴인식(Facial recognition) 기능이 프린트한 사진으로 우회할 수 있음이 알려졌다. 헬로(Hello)라고 알려진 윈도우즈10의 얼굴인식 보안 기능이 해당 사용자의 사진만으로 통과될 수 있음이 알려졌다.

Detailed News List

  • Windows10 facial recognition
    • [InformationSecurityBuzz]
      Huge Security Flaw Discovered In Windows 10 That Could Allow Hackers To Steal Passwords
    • [SecurityAffairs]
      Windows 10 Hello facial recognition feature can be spoofed with photos
    • [NakedSecurity]
      Windows 10 password manager bug is hiding good news
    • [ZDNet]
      ​Windows 10 face unlock can be tricked using printed headshot
    • [TheRegister]
      Windows 10 Hello face recognition can be fooled with photos

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 영국 십대가 다수의 분산서비스거부(DDoS, Distributed Denial of Service) 공격으로 체포되었으나 감방신세는 면했다. 이번주 19살 학생인 Jack Chappell이 2015년과 2016년에 미국 및 영국의 대형 브랜드 웹사이트에 대해 진행되었던 대규모 DDoS 공격의 연루에 대한 징역형은 면하게 되었다. 이전에 보도된 vDoS 서비스의 관리자중 하나였다. Chappell은 2016년 4월, 수사관이 그의 IP주소를 추적해 체포되었다.
  • 랜섬웨어를 유포하던 사이버 범죄자들 다섯명이 루마니아(Romania)에서 체포되었다. 루마니아 국적의 용의자 다섯명이 국제 사이버범죄 소탕작전으로 지난주 체포되었다. 이들 중 세명은 CTB-Locker(Curve-Tor-Bitcoin Locker) 랜섬웨어 유포 용의자들 이며, 다른 두명은 미국과 유로폴의 랜섬웨어 수사과정에서 함께 체포되었다. Bakovia 체포작전은 루마니아 경찰, 루마니아 및 네덜란드 검찰청, 네덜란드 경찰, 영국 국가범죄기관, 유로폴의 유럽사이버범죄센터의 지원을 받은 미 FBI, 합동 사이버범죄 대응 태스크포스에 의해 진행되었다.
  • 결국 카스퍼스키랩(KasperskyLab)이 연방 기관들에서 자사 소프트웨어 사용이 금지당한 것에 대하여 미 국토안전부(DHS, Department of Homeland Security)를 고소했다. 카스퍼스키랩은 이 고소장에서 연방 기관들의 이러한 금지 조치가 상당수 루머와 정체를 알 수 없는 출처에 기반한 미디어 리포트에 기반하고 있다고 주장했다. (19일에서 이어짐)

Detailed News List

  • UK Teen
    • [NakedSecurity]
      Teen sentenced for vDOS rampage
    • [TheRegister]
      UK teen dodges jail time for role in DDoSes on Natwest, Amazon and more
    • [BankInfoSecurity]
      Teen Hacker Avoids Jail Over On-Demand DDoS Attacks
  • Five Ransomware Suspects in Romania
    • [InfoSecurityMagazine]
      Five Arrested in Joint Europol-FBI Ransomware Sting
    • [BankInfoSecurity]
      Police Bust Five Ransomware Suspects in Romania
    • [SecurityWeek]
      Authorities Dismantle Ransomware Cybergang
    • [TheHackerNews]
      Romanian Police Arrest 5 People for Spreading CTB Locker and Cerber Ransomware
    • [DarkReading]
      Five Arrested for Cerber, CTB-Locker Ransomware Spread
    • [CyberScoop]
      European police take down criminals behind two big ransomware strains
    • [McAfeeLabs]
      McAfee Labs Advanced Threat Research Aids Arrest of Suspected Cybercrime Gang Linked to Top Malware CTB Locker
  • KasperskyLab
    • [InfoSecurityMagazine]
      Kaspersky Lab Takes DHS Fight to the Courts

 

Vulnerability Patches/Software Updates

Summaries

  • VMWare 제품들에 존재하던 코드실행(code execution) 취약점이 패치되었다. 어제(20일자) 뉴스기사 정리에서 VMWare 제품들에 존재하는 VNC 구현 오류로 인한 코드실행 취약점이 패치되었다. VMWare가 ESXi와 vCenter Server Appliance, Workstation, Fusion 제품에 4개의 취약점을 수정하는 패치를 공개했다.
  • vBulletin이 최근 공개된 취약점 두가지를 패치했다. 온라인 포럼을 만들 수 있는 vBulletin에서 원격으로 코드를 실행시킬 수 있는 취약점이 발견되었다는 기사 보도를 19일자에 정리한 바 있다. vBulletin의 개발자들이 화요일에 해당 취약점들을 패치했다고 공개했다.

Detailed News List

  • VMWare
    • [SecurityWeek]
      Code Execution Flaws Patched in Several VMware Products
  • vBulletin
    • [SecurityWeek]
      vBulletin Patches Disclosed Vulnerabilities

 

Privacy

Summaries

  • 프랑스의 개인정보 규제기관인 National Commission of Computing and Freedoms(CNIL)에서 WhatsApp에 대한 공식적인 성명을 내놓았다. 이 성명에서는 Feckbook에게 법적 근거를 마련하지 않는 한, 개인정보를 미국에 위치한 모회사(parent company)로의 전송을 중단하라고 요구했다. WhatsApp에 대해서는, 그러한 데이터를 수집하거나 전송하기 위해서는 사용자 동의(user consent)를 반드시 구해야 한다고 특정했다.

Detailed News List

  • Facebook & WhatsApp
    • [SecurityWeek]
      Facebook, WhatsApp Both Put Under Notice by Europe
    • [EHackingNews]
      France’s data protection authority CNIL gives a sharp warning to WhatsApp ;issues a formal notice
    • [NakedSecurity]
      WhatsApp and Facebook told to stop sharing data
    • [InfoSecurityMagazine]
      Facebook Government Data Requests Hit All-Time-High

 

Data Breaches/Info Leakages

Summaries

  • 미국 1억 2,300만 가정의 민감 데이터가 Alteryx의 아마존 S3로 부터 유출되는 사고가 발생했다. 이번에도 잘못 설정된(misconfigured) 아마존 웹서비스 S3 클라우드 스토리지 버킷이 이유였다. UpGuard의 블로그 포스트에 따르면, 노출된 데이터는 미 인구 통계국(US Census Bureau)와 Alteryx의 것으로 보인다. 연구자들은 이 데이터가 Alteryx가 Experian으로부터 구매한 데이터로 보고있다.

Detailed News List

  • Households Exposed
    • [HackRead]
      Sensitive Data of 123 Million American Households Exposed​
    • [DarkReading]
      Census Records Leaked in Marketing Firm’s Exposure of 123 Million Households
    • [InformationSecurityBuzz]
      Massive Leak Hits Over 120 Million American Households
    • [ZDNet]
      Alteryx S3 leak leaves 123m American households exposed

 

Crypto Currencies/Crypto Mining

Summaries

  • 암호화폐 거래소인 유빗(구 야피존)이 일년새 두번 연속 해킹을 당하면서 결국 파산을 선언했다. 유빗이 이변 년도에만 두번째 해킹을 당하면서 결국 운영을 중단했다. 유빗은 화요일에 파산을 선언했다. 유빗은 지난번 해킹 공격에서 17퍼센트의 자산을 잃었다고 밝혔다. 대한민국 내 암호화폐 거래소가 파산한 첫번째 사건이다. 8개월 전, 해커가 유빗 전체 자산의 거의 40퍼센트에 해당하는 4,000 비트코인을 훔친 바 있다. (20일에서 이어짐)

Detailed News List

  • New miner with NSA exploits
    • [HackRead]
      New Cryptocurrency Mining Scheme Uses NSA Exploits EternalBlue & EternalSynergy
  • Youbit
    • [InfoSecurityMagazine]
      Bitcoin Exchange Shuts After Second Cyber-Theft
    • [HackRead]
      Youbit Bitcoin exchange quits operation after 2 hacks in 8 months

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 최악의 비밀번호 목록에 대한 통계가 발표되었다. 역시나 이번년도에도 변함없이 123456과 같은 너무나 뻔한 비밀번호들이 상위를 차지하고 있다.

Detailed News List

  • Bad Passwords
    • [NYTimes]
      ‘Password,’ ‘Monkey’ and the Other Terrible Passwords We Choose

 

Posted in Security, Security NewsTagged Anubis, Backdoor, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, Cyber Espionage, Data Breach, DDoS, Distributed Denial of Service, GDPR, Information Leakage, Loapi, Loki, Malware, Patches, Privacy, TelegramRAT, Vulnerability, Zealot CampaignLeave a comment

Security Newsletters, 2017 Dec 6th, 이메일 스푸핑 MailSploit 外

Posted on 2017-12-06 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats

Summaries

  • 키릴(Cyril)문자를 사용한 도메인으로 RIG Exploit Kit으로 이끄는 Seamless 캠페인이 진행되고 있다. Seamless 캠페인은 RIG Exploit Kit과 Ramnit Trojan을 유포하는 가장 많은 체인 중 하나다. Seamless의 탐지는 고정 문자열과 IP URL을 사용해 탐지가 쉬웠으나, 최근 탐지된 병행되는 캠페인에서는 특수문자를 사용하고 있다. IP 주소를 사용하는 대신, 키릴문자 기반의 도메인명을 사용한다.

Detailed News list

  • New Seamless Campaign
    • [MalwarebytesLabs]
      Seamless campaign serves RIG EK via Punycode

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 30개 이상의 유명 이메일 클라이언트에 영향을 미치는 Email 스푸핑 취약점이 발견되었다. 다른 사람이 보낸 메일인 것처럼 위장할 수 있는 취약점이 발견되었다. MailSploit이라는 이름이 붙은 이 취약점은 Apple Mail(macOS, iOS, watchOS), Mozilla Thunderbird, Microsoft email clients, Yahoo Mail, ProtonMail 및 기타 메일클라이언트들에 영향을 미친다. 이 클라이언트들에 DKIM이나 DMARC와 같은 스푸핑 방지 메커니즘이 구현되어 있지만, MailSploit은 이메일 클라이언트와 웹 인터페이스가 From 헤더를 파싱하는 것을 이용한다.
  • 안드로이드 응용프로그램 개발자 도구에서 취약점이 발견되었다. 안드로이드 스튜디오, 이클립스, IntelliJ-IDEA에 취약점이 존재한다고 체크포인트 보안연구가들이 밝혔다. 안드로이드 어플리케이션 패키지 툴(APKTool), 쿠쿠드로이드(Cuckoo-Droid) 서비스, 기타 안드로이드 어플리케이션 리버스 엔지니어링(reverse-engineering) 도구들 역시 취약점이 존재한다. APKTools의 XML External Entity(XXE) 취약점은 전체 OS 파일 시스템을 사용자에게 노출시킬 수 있다. 공격자는 악의적인 AndroidManifest.xml 파일을 사용해 XXE 취약점을 공격할 수 있다.

Detailed News List

  • MailSploit
    • [InfoSecInstitute]
      Mailsploit: The Undetectable Spoofing Attack
    • [TheHackerNews]
      MailSploit — Email Spoofing Flaw Affects Over 30 Popular Email Clients
  • Android Application Developer Tools
    • [ThreatPost]
      Developers Targets in ‘ParseDroid’ PoC Attack
    • [DarkReading]
      Android Developer Tools Contain Vulnerabilities
    • [CyberScoop]
      Android developer apps suffered from multiple severe vulnerabilities

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 독일 정부가 하드웨어 제조사들에게 제품내 백도어(Backdoor)를 집어넣게 강제 하고, 역으로 해킹공격(hack back)을 할 수 있게하는 법안을 준비중이다. 이 법안은 법 집행기관이 그들의 수사중에는 백도어를 사용해 정보를 수집할 수 있게 하는데에 목표를 두고 있다. 이 법은 통신, 차량, IoT 제품 등을 포함한 어떠한 산업의 장치든 대상으로 할 수 있다. RedaktionsNetzwerk Deutschland(RND) 지역 뉴스에 따르면, 이번주에 제안을 제출할 것으로 예상된다.
  • (5일에서 이어짐) 유출된 인증정보에 대한 유료 서비스를 제공했던 LeakBase가 주말을 지나며 서비스를 종료했다. 이 서비스는 작년 9월 서비스를 시작했고, 주요 해킹사건에서 유출된 20억건의 계정정보를 제공한다고 주장했다. 이 서비스는 2017년 1월에 LeakdSource가 중단되면서 주목을 받았었다. LeakBase는 트위터를 통해 유료서비스에 대한 환불을 진행할 것이라 밝혔다. 서비스를 중단하는 이유는 아직 확실히 밝혀진 것이 없지만, 브라이언 크렙스(Brian Krebs)는 LeakBase 소유자중 한명이 다크웹 마켓 Hansa와 관련이 있을 것으로 보고있다.
  • (5일에서 이어짐) 역사상 가장 오래되고 널리 퍼진 봇넷 중 하나였던 안드로메다(Andromeda) 봇넷이 지난주 FBI가 이끈 국제적인 법 집행 작전에 의해 운영이 종료되었다. 유로폴에 따르면, 안드로메다 봇넷의 악성코드 기반구조는 해체되었고, 신원이 확인되지 않은 한명의 용의자가 벨라루스에서 체포되었다. 2011년에 처음 등장한 안드로메다는 마이크로소프트에 따르면, 지난 6개월간 매달 평균 100만개의 장치들에서 발견되었다. 이 악성코드는 2016년 최고 스팸 캠페인들중 하나의 배후이며, 침해당한 웹사이트나 광고 네트워크에서 자주 발견되는 악성코드 최대 80 종(families)과 관련이 있는 봇넷이다.
  • (5일에서 이어짐) 친구를 조기석방 시키려던 미시건 주의 남성이 체포되어 감옥신세를 지게 됐다. Konrads Voits라는 27세의 남성은 Washtenaw Country 정부 컴퓨터 시스템에 친구를 조기석방 시키려는 목적으로 악성코드를 설치한 혐의에 대해 유죄를 인정했다. 시도는 성공하지 못했고 그는 경찰에 의해 체포되었다. 법원 문서에 따르면, Voits는 1월에 Washtenaw와 유사한 피싱 도메인 ewashtenavv.org w대신 v두개를 사용해 만들었다. 그리고 피싱 이메일과 소셜 엔지니어링으로 악성코드를 설치하게 했다. 계속적인 공격으로 죄수를 감시하는 Xjail 컴퓨터 시스템을 포함해 직원 1,600여명의 로그인 정보를 획득했으나, 이러한 시도들이 탐지되어 결국 체포되었다.
  • (5일에서 이어짐) 여러 영국 하원(MP, Member of Parliament)의원들이 자신들의 해이한 보안의식을 드러내면서 정부의 사이버보안 규정에 대한 의문이 일고있다. Mid Bedfordshire의 하원의원인 Nadine Dorries는 지난 주말 여러 트윗을 통해 그녀의 직원이 자신의 비밀번호를 사용해 자신의 의회 사무실 컴퓨터에 로그인 한 것을 드러냈다. 그리고 “교환 프로그램의 인턴까지” 포함해 그녀의 직원들이 그녀 인증정보를 사용해 Nadine의 이름으로 이메일을 보내기도 한다고 덧붙였다.
  • (4일에서 이어짐) 드론제조사 DJI가 중국을 위해 스파이 활동을 했다고 혐의를 추궁하는 국토안보부의 메모가 유출되었다. 지난 주 유출된 메모는 로스엔젤레스 출입국 및 세관 집행국 사무실(Immigration and Customs Enforcement bureau, ICE)에서 8월에 작성되었다. 이 메모에서 로스엔젤레스 SIP는 “중국 기반 회사인 DJI Science and Technology가 미 주요 국가기반시설(infrastructure) 및 법 집행 정보를 중국 정부에 제공하고 있음을 어느정도 확신(moderate confidence)”한다고 주장하고 있다. 그리고 DJI가 이 분야의 정부 및 사설 객체들을 민감한 미국 정보의 수집 및 악용(collect and exploit)하는 자신들의 능력을 확장하는데 선택적으로 타게팅하고 있음을 매우 확신한다(High confidence)라고 기록했다.
  • (3일에서 이어짐) 뉴저지(New Jersey) Bergen의 Tenafly 고등학교 학생이 자신이 다니는 학교의 컴퓨터 시스템을 성적을 조작해 아이비 리그 대학의 입학승인을 받으려 한 혐의로 기소당했다. NorthJersey.com에 따르면, 기소당한 16세의 학생은 컴퓨터 시스템에 해킹해 들어가 등급과 전체 평점(GPA, Grade Point Average)을 조작했다. 이 학생은 대학 지원서와 함께 조작된 성적을 보내기까지 했다. 그러나 이 사기가 밝혀지면서 행정처에서는 지원서를 모두 회수했다.

Detailed News List

  • German Goverment prepares Law for backdoors and hacking back
    • [SlashDot]
      Germany Preparing Law for Backdoors in Any Type of Modern Device
    • [SecurityAffairs]
      German Government prepares Law for backdoors and hacking back
    • [TechDirt]
      German Government Official Wants Backdoors In Every Device Connected To The Internet
  • LeakBase goes dark
    • [InfoSecurityMagazine]
      Breached Password-Trading Site Leakbase Goes Dark
    • [SecurityAffairs]
      Hacked password service Leakbase shuts down, someone suspects it was associated to the Hansa seizure
    • [TheRegister]
      Turns out Leakbase can keep a secret: It has shut down with zero info
  • Andromeda(Gamarue) Botnet Take Down
    • [TheInquirer]
      Andromeda botnet busted by a bunch of spooks and cyber security boffins
    • [CyberScoop]
      Andromeda botnet mastermind arrested in Belarus, identified by his ICQ number
    • [ZDNet]
      A giant botnet behind one million malware attacks a month just got shut down
    • [InfoSecurityMagazine]
      Global Police Dismantle Andromeda Botnet
    • [DarkReading]
      FBI, Europol, Microsoft, ESET Team Up, Dismantle One of World’s Largest Malware Operations
    • [TheRegister]
      International team takes down virus-spewing Andromeda botnet
  • Facing Jail for Hacking Jail
    • [TheRegister]
      Prison Hacker Who Tried To Free Friend Now Likely To Join Him Inside
    • [HelpNetSecurity]
      Hacker who tried to spring friend from jail will end up in prison himself
    • [GrahamCluley]
      How a hack almost sprung a prisoner out of jail
    • [TripWire]
      How a hack almost sprung a prisoner out of jail
    • [TheHackerNews]
      Young Hacker, Who Took Over Jail Network to Get Friend Released Early, Faces Prison
    • [HackRead]
      Man hacks prison computers; alter records for pal’s early release
  • MPs’ lax cybersecurity practices
    • [NakedSecurity]
      Politicians boast about sharing passwords, bask in blissful ignorance
    • [SecurityWeek]
      UK Members of Parliament Share Passwords with Staff
  • DJI Drone
    • [CSOOnline]
      Leaked DHS memo accuses drone maker DJI of spying for China
    • [SecurityAffairs]
      DJI drones may be sending data about U.S. critical infrastructure and law enforcement to China
    • [GrahamClueley]
      DJI drones likely spying for China, claims leaked intelligence bulletin
  • Student hacks school’s computer system to alter grades
    • [NakedSecurity]
      High schooler hacks his way to a higher GPA
    • [GrahamCluley]
      Modern-day ‘Ferris Bueller’ hacks school, changes grades, applies to Ivy League colleges

 

Vulnerability Patches/Software Updates

Summaries

  • 구글이 12월 패치에서 다수의 픽셀(Pixel)과 넥서스(Nexus) 취약점 수정했다. 2017-12-01 보안 패치레벨은 6개의 Critical 취약점과 13개의 High 등급 취약점을 수정한다. 프레임워크(3개의 High 등급 권한상승버그), 미디어 프레임워크(5개의 Critical 원격 코드 실행, 2개의 High 권한상승, 4개의 High 서비스거부 버그), 시스템 컴포넌트(1개의 원격코드실행, 1개의 High 권한상승, 3개의 High 정보노출)다. 2017-12-05 보안 패치레벨은 4개의 Critical 취약점과 24개의 High 등급 취약점을 수정한다. 취약점은 커널 컴포넌트(4개의 High 권한상승), MediaTek 컴포넌트(3개의 High 권한상승), NVIDIA 컴포넌트(3개의 High 권한상승), Qualcomm 컴포넌트(3개의 Critical 원격코드실행, 6개의 High 권한상승), Qualcomm 비공개소스 컴포넌트(1개의 Critical, 8개의 High 비공개 취약점)다.

Detailed News List

  • Google Android December Patches
    • [ZDNet]
      ​Android security: Google details Pixel and Nexus vulnerabilities in December bulletin
    • [SecurityWeek]
      Android’s December 2017 Patches Resolve Critical Flaws
    • [ZDNet]
      Android security alert: Google’s latest bulletin warns of 47 bugs, 10 critical
    • [TheRegister]
      Google prepares 47 Android bug fixes, ten of them rated Critical

 

Data Breaches/Info Leakages

Summaries

  • 유명 키보드 앱이 3100만명의 사용자 개인정보를 수집하고 이 정보를 유출시키는 사고가 있었다. 문제는 앱 제조사의 데이터베이스가 비밀번호로 보호되고 있지 않았기 때문이었다. 서버는 전세계 4000만명 이상의 사용자가 사용하는 개인화 가능한 온스크린(on-screen) 키보드 앱인 AI.type의 공동설립자 Eitan Fitusi의 소유다. 서버가 비밀번호로 보호되어있지 않아서 누구나 사용자 레코드에 접근이 가능했고, 데이터베이스에는 577기가바이트 이상의 민감 정보가 존재했다. 해당 내용을 발견한 Kromtech Security Center에서 연락을 취한 후 보안설정이 되었으나, Fitusi는 이에대한 답변을 하지 않았다. 노출된 데이터는 사용자 이름, 이메일 주소, 앱 설치기간 이었고, 사용자의 도시와 국가와 같은 위치정보도 포함되어 있었다. 무료버젼을 사용하는 사용자 정보는 더 자세한 정보도 존재했다. 장치의 IMSI와 IMEI 번호, 장치의 제조번호 및 모델정보, 화면 해상도, 안드로이드 정보와 같은 중요 정보들도 존재했다.

Detailed News List

  • Keyboard App
    • [TheHackerNews]
      Massive Breach Exposes Keyboard App that Collects Personal Data On Its 31 Million Users
    • [ZDNet]
      A popular virtual keyboard app leaks 31 million users’ personal data

 

Industrial/Infrastructure/Physical System/HVAC/SCADA

Summaries

  • 독일에 기반을 둔 WAGO의 PLC(Programmable Login Controller)에서 취약점이 발견되었다. SEC Consult의 보안연구가에 의해 발견된 이 취약점은, 리눅스 기반의 WAGO PFC200 PLC 시리즈에 영향을 미친다. 보안 취약점은 CODESYS 런타임 툴킷 2.4.7.0 버젼 때문인데, 이 임베디드 소프트웨어는 3S(Smart Software Solutions)에 의해 개발되었고 기타 산업 컨트롤러와 수백개의 PLC들을 제조하는 여러 제조사에서 사용한다.

Detailed News List

  • WAGO PLCs
    • [SecurityWeek]
      Critical Flaw in WAGO PLC Exposes Organizations to Attacks

 

Internet of Things

Summaries

  • 라우터(Router)의 제로데이에 기반한 봇넷 공격이 임박했다고 하는 기사가 나왔다. 새로운 Mirai 변종이 공격준비가 끝났다는 것이다. 14개월 전 소스코드가 공개된 이후, 봇넷 운영자들은 새로운 버젼을 계속적으로 릴리즈해 왔다. 가장 최근의 변종에서는 근래에 발견된 가정 및 소규모 사무실용으로 많이 사용되는 라우터를 취약점을 공격하는 기능이 들어가있다. 이 취약점은 강력한 암호를 설정해 놓고너 원격 관리기능(remote administration)을 꺼 놓아도 공격가능하다. 영향을 받는 화웨이(Huawei) 장치 중 하나는 EchoLife Home Gateway이고 다른 하나는 Huawei Home Gateway다. 약 90,000에서 100,000대의 새로 감염된 장치들이 두 화웨이 라우터 모델 중 하나다. 새로운 악성코드는 다른 장치들을 대상으로 공격하기 위한 65,000개의 사용자 이름 및 비밀번호 사전을 갖추고있다.

Detailed News List

  • New Mirai Strain
    • [ARSTechnica]
      100,000 Strong Botnet Built On Router 0-Day Could Strike At Any Time

 

Posted in Security, Security NewsTagged Backdoor, Data Breach, Email Spoofing, Exploit Kit, Hacking back, Industrial Control System, Information Leakage, Internet of Things, IoT, MailSploit, Mirai, Patches, Ramnit Trojan, RIG Exploit Kit, Seamless Campaign, Vulnerability, XML External Entity, XXELeave a comment

글 내비게이션

이전 글

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.