Security Newsletters, Nov 4th, 2017

Posted on 2017-11-04 - 2017-11-04 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Intelligence

Summaries

Zeus Panda 뱅킹 트로이 유포를 위해 검색엔진 최적화^{(Search Engine Optimization)}를 통해 구글 검색 결과를 오염시키는 작업이 진행중이다. 공격자들이 특정 키워드에 대한 검색 결과중 뱅킹 악성코드 문서에 대한 링크를 포함하는 웹 문서를 검색결과 상위에 표시하기 위해 SEO를 조작하고 있다. SEO는 해커들이 만든 링크를 검색 결과에서 돋보이게 할 수 있다. 이번과 같은 경우에는 은행 및 금융관련 키워드 검색결과로 한정지을 수 있기 때문에, 그들이 공격하고자 하는 대상자들로 그 범위를 좁혀 효과적으로 대상자들에게서 정보를 훔쳐낼 수 있다.
미 사법부가 2016년 대선 경쟁 과정에서의 DNC^{(Democratic National Committee)} 시스템에 대한 해킹과 정보 유출에 있어서 최소 6명의 러시아 정부 구성원이 관련되 있다는 증거를 모은것으로 드러났다. DNC는 작년에 해킹당해서 개인정보를 포함하여 힐러리 클린턴 선대본부장인 존 포데스타^{(John Podesta)}의 민감한 이메일 등 수천건의 이메일을 도둑맞았다. DNC 해킹에 사용된 도구 및 기법들은 Fancy Bear 또는 APT28, Sofacy, Sednit, Pawn Storm이라고 알려진, 러시아 군사 첩보기관이 배후에 있다 믿어지는 해킹그룹과 관련되어 있다.
러시아의 Fancy Bear 해커들이 피싱을 위해 블로그스팟^(Blogspot)을 악용하고 있다. Fancy Bear 또는 Pawn Storm, APT28, Sofacy, Sednit, Strontium, Tsar Team이라고 알려진 해킹 그룹이 최근 Bellingcat을 대상으로 한 공격에서는 Gmail 비밀번호를 바꾸라거나 Dropbox 공유폴더 초대로 유도하는 가짜 이메일이 있다. 이메일에 포함된 버튼에는 임의로 생성된 블로그스팟 서브도메인의 피싱페이지로 연결되어 있다. 구글에서 제공하는 서비스의 URL 때문에 URL기반의 스팸필터에서 무사통과하기 쉽다는 것이 ThreatConnect 분석가들의 의견이다.
Bad Rabbit 공격 동안에 우크라이나가 강력하지만 아주 조용한 피싱 공격에 당했다고 발표했다. Bad Rabbit 공격이 이어지는 동안 오데사^(Odessa) 공항의 비행이 지연되고 Kiev metro의 전자지불이 안되는 등의 장애가 있었다. Serhiy Demedyuk은 이러한 공격이 벌어지는 동안 금융 및 기밀정보를 노리는 여러건의 조용하지만 강력한 공격을 반복적으로 탐지했다고 말했다. 이같은 발견은 지난 공격에서 사고들은 러시아에 있었지만 주 공격대상은 우크라이나 라는 것을 의미한다.

Detailed News list

Zeus Panda
- ^{[DarkReading]} Hackers Poison Google Search Results to Deliver Zeus Panda
- ^{[SecurityWeek]} Poisoned Google Search Results Lead to Banking Trojan
DNC Hack
- ^{[theHackerNews]} US Identifies 6 Russian Government Officials Involved In DNC Hack
- ^{[InfosecurityMagazine]} US Investigators Identify Russian State DNC Hackers
Fancy Bear & Blogspot
- ^{[SecurityWeek]} Russian ‘Fancy Bear’ Hackers Abuse Blogspot for Phishing
Bad Rabbit
- ^[Reuters] Exclusive: Ukraine hit by stealthier phishing attacks during BadRabbit strike

Deep Web/DarkNet/Onion

Summaries

토르 프로젝트^{(Tor project)}의 기반 구조에 큰 업데이트가 있었다. 토르 프로젝트가 신규버젼인 0.3.2.1-alpha를 릴리즈 하면서, 새로운 onion 서비스에 대한 지원이 포함된 것이다. 여기에는 새로운 암호화 알고리즘과 웹서비스에 대한 전반적인 인증기능 향상이 포함된다. 이번 알파 릴리즈에서는 익명성을 줄어들게 만들 수 있는, 최근 발견된 보안 이슈에 대한 해결책도 포함되었다.

Detailed News List

TOR 0.3.2.1-alpha
- ^{[theHackerNews]} The Tor Project to Beef Up Privacy with Next-Generation of Onion Services

Malwares/Exploits/Vulnerabilities

Summaries

애플 기기가 iOS의 보안업데이트 iOS 11.1을 발표한지 몇시간만에 다시 해킹되었다. Trend Micro의 모바일 Pwn2Own 2017 대회에서 최신 iOS 버젼으로 업데이트 된 iPhone 7이 해킹되었다. 이 해킹을 성공한 팀에서는 Safari 브라우저에 대한 공격도 성공했다. 물론 이 대회에서는 삼성 갤럭시 및 다른 스마트폰에 대한 해킹도 성공했다. (11월 1일, 2일 뉴스 참조) MWR Labs의 연구원들은 삼성의 플래그십 장비에서 6개의 다른 모바일 어플리케이션에 걸쳐 코드를 실행하기 위해 11개의 취약점을 사용해 공격에 성공했다.
다양한 제조사에서 사용하는 Savitech의 오디오 드라이버가 루트 인증서를 설치하는 것이 확인되었다. Savitech은 SaviAudio라는 루트 인증서를 오래된 Windows XP 운영체제 지원을 위해 설치하며, 최근 릴리즈된 드라이버에서는 인증서를 설치하지 않는다. RSA의 Kent Backman에 따르면, 자기서명된^{(self-signed)} 루트 인증서가 Savitech의 패키지에 의해서 몰래 2013년부터 2017년까지 설치되었다. Savitech의 개인키^{(Private key)}가 유출될 경우 악성코드의 서명에 사용되거나, 네트워크 트래픽의 복호화, 중간자^{(MITM, Man-in-the-Middle)}공격 등에 사용될 수 있는 취약한 부분이라는 것이 그의 설명이다. 레노보가 노트북에 자신들의 인증서를 설치해 제품을 팔았었고 개인키가 유출되는 사고가 있었다.
잘못 설정된 아마존 S3 Bucket이 MITM 공격에 영향을 받을 수 있다는 연구결과가 나왔다. Skyhigh Networks의 연구자들은 GhostWriter라는 공격에 의해 쓰기권한이 공개되어있는 잘못 설정된 아마존 S3 bucket이 악성 제 3자에 의해 MitM 공격에 영향을 받을 수 있다고 밝혔다. Skyhigh 에서는 수천개의 bucket들이 잘못 설정되어 공격 받을 수 있다고 한다.

Detailed News List

Pwn2Own
- ^{[InfosecurityMagazine]} Apple Red-Faced After iOS 11.1 is Hacked
- ^[ThreatPost] CHAIN OF 11 BUGS TAKES DOWN GALAXY S8 AT MOBILE PWN2OWN
Savitech Audio Driver
- ^{[SecurityWeek]} Savitech Audio Drivers Caught Installing Root Certificate
- ^{[BleepingComputer]} Popular USB Audio Driver Ships With Root Certificate, Big Security No-No
GhostWriter
- ^{[eSecurityPlanet]} GhostWriter AWS Issue Impacts Thousands of Amazon S3 Buckets
- ^[Skyhigh] Skyhigh Discovers GhostWriter: MITM Exposure In Cloud Storage Services

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

트럼프의 트위터 계정이 비활성화^{(Deactivation)} 되는 일이 벌어졌다. 트위터에서의 마지막 근무일이었던 누군가가 도널드 트럼프의 개인 계정^{(realDonaldTrump)}에 접근해 계정을 비활성화 시켜 버렸다. 그래서 해당 계정 피드에 접근하면 해당 페이지를 찾을 수 없다는 메시지가 나왔으며, 계정 비활성화는 저녁 6:45에서 7시 사이에 벌어진 일인 것으로 보인다. 트위터는 이 사건에 대해 직원에 의한 인적오류^{(Human error)}로 벌어진 일이며, 11분 동안 사용불가 상태에 있었지만 복구되었다고 밝혔다.
뉴욕주의 검찰총장인 에릭 T.슈나이더맨이 최근의 Equifax 사고와 같이 8백만명의 뉴욕주 거주자들을 포함한 1억4천5백만명의 미국인들과 뉴욕시민들을 기업들의 데이터사고로부터 보호하기 위한 새로운 법안을 목요일에 소개했다. 기업친화적인 방식으로, 개인정보에 대한 보호를 강화하는 것을 목적으로 하는 법안이다. 해킹 방지 및 전자 데이터 보안 개선법^{(SHIELD, Stop Hacks and Improve Electronic Data Security Act)}로 불리는 이 법은, 슈나이더맨에 의해 계획 법안으로 소개되었고 상원의원 David Calucci와 하원의원 Brian Kavanagh의 후원을 받았다.

Detailed News List

Trump
- ^{[InfosecurityMagazine]} Trump’s Twitter Deactivation: Security Questions Arise
- ^{[Motherboard]} Someone at Twitter ‘Inadvertently’ Deactivated Donald Trump’s Account for 11 Minutes
New York SHIELD Act
- ^{[SecurityWeek]} New York State Proposes Stricter Data Protection Laws Post Equifax

Security Breaches/Info Leakages

Summaries

5만명의 호주 직원 개인정보가 유출당했다. 보고에 따르면 정부 기관, 은행, 공공시설에서 일하는 48,270명 직원의 개인정보가 아마존 S3 bucket의 설정실수로 인해 온라인에 공개되었다. 공개된 파일에는 실명, 비밀번호, 아이디, 전화번호, 이메일 주소, 신용카드 번호, 소득정보가 포함되어 있었다.
말레이시아가 전국민이 영향을 받을 수 있는 규모의 개인정보 유출에 시달리고 있다. 4,600만명의 휴대전화 가입자 정보가 다크웹에서 발견되었고, 그곳에 거주하는 외국인의 정보도 포함되었을 것으로 보인다. 대상 통신사업자는 Altel, Celcom, DiGi, Enabling Asia, Friendimobile, Maxis, MerchantTradeAsia, PLDT, RedTone, TuneTalk, Umobile, XOX다. 유출된 정보에는 사용자 이름, 주소, 전화번호, 심카드번호, IMSI번호, ID카드 번호다. 이 외에도 고용사이트인 jobstreet.com과 여러 정부 웹사이트의 데이터도 함께 발견되면서 상황은 악화되는 것으로 보인다.

Detailed News List

Australians Exposed
- ^{[InfosecurityMagazine]} 50K Australians Exposed in Server Misconfig Snafu
Malaysian Data Breach
- ^{[InfosecurityMagazine]} Malaysian Data Breach Could Affect Entire Population

Industrial/Infrastructure/Physical System/HVAC

Summaries

미 상원의원인 마틴 하인리히^{(Martin Heinrich)}와 수잔 콜린스^{(Susan Collins)}가 초당파적인 법안을 제안했다. 이 법안에서는 국토안보부^{(the Department of Homeland Security, DHS)}가 DefCon의 Voting Machine Hacking Village와 같은 대회를 후원하는데 힘을 실어주게 되어있다. 물론 이번 여름의 DefCon VMMV에서는 화이트햇 해커들이 투표기계의 소프트웨어에서 수많은 취약점을 찾아냈다.
러시아에 관련된 해커들이 터키의 주요 사회기반시설을 노리고 있다. Energetic Bear 또는 Dragonfly, Crouching Yeti라 불리는 해킹그룹은 2010년 부터 활동해왔으며, 미국과 유럽의 에너지 영역을 주 대상으로 삼아왔다. 그러나 최근 RiskIQ의 발표에 따르면, 이 그룹이 터키의 주요 사회기반시설에 관련된 사람들을 대상으로 워터링홀^{(Watering hole)} 공격을 하기 위해 터키 에너지 기업에 속한 웹사이트들에 대한 공급체인공격^{(Supply chain attack)}을 하고 있다고 한다.
ICS에서 좋은 의도를 가지고 진행한 취약점 진단이 정확한 예측과 확인없이 어떤 재앙을 불러 일으킬 수 있는지를 짧게 잘 표현한 글이 올라왔다. 변전소의 취약점 스캔을 진행하던 중 SCADA가 인지하지 못하는 상황에서 릴레이들이 오작동을 시작한 것. 수백개의 릴레이가 영향을 받았고 장비를 재부팅해야 하는 상황이 필요했다고 한다.

Detailed News List

Voting System
- ^{[NakedSecurity]} Senators act to SAVE voting machines
Russia-Turkey
- ^{[SecurityWeek]} Russia-Linked Hackers Target Turkish Critical Infrastructure
An almost catastrophic failure by good guys
- ^[Control] Are the Good Guys as Dangerous as the Bad Guys – an Almost Catastrophic Failure of the Transmission Grid

Patches/Updates

Summaries

대만에 위치한 어드벤텍^(Advantech)이 자사 제품인 WebAccess의 원격 코드 실행 취약점을 패치했다. 어드벤텍 WebAccess는 브라우저 기반의 인간-기계 인터페이스^{(Human-Machine Interface, HMI)} 및 감독관리 및 데이터수집 시스템^{(supervisory control and data acquisition system, SCADA system)}을 위한 소프트웨어 패키지다. ICS-CERT에 따르면, 8.2_20170817 이전의 WebAccess 버젼은 스택오버플로우 취약점^{(CVE-2017-14016)}과 신뢰할 수 없는 포인터 역참조^{(CVE-2017-12719)}에 영향을 받는다.

Detailed News List

Advantech
- ^{[SecurityWeek]} Advantech Patches Code Execution Flaws in SCADA Product

Technologies/Technical Documents/Reports

Summaries

2017년 한 해 동안, 해커들은 새로운 랜섬웨어 유포 방식을 만들어내 WannaCry, NotPetya 그리고 가장 최근의 Bad Rabbit과 같은 악성코드를 유포했다. Sophos가 작성한 2018년 악성코드 예측 보고서에 따르면 이러한 경향이 내년에도 계속 이어질 것으로 보인다.

Detailed News List

2018년 악성코드 예측 보고서
- ^{[NakedSecurity]} 2018 Malware Forecast: learning from the long summer of ransomware

Privacy

Summaries

에스토니아가 칩 오류로 인한 신분도용을 막기 위해서, 약 760,000에게 발행된 전자ID카드를 정지시킬 것이라 발표했다. E-stonia라고도 불리는 에스토니아는 약 1,300만명에게 전자ID카드를 발행해 e-government 포털에서 공공서비스에 대한 온라인 접근을 할 수 있게 했다. 그러나 최근 보안전문가들이 이 카드에 내장된 스위스산 칩에서 취약점을 발견했다. 총리 Juri Ratas는 이에대해 e-state는 신뢰를 기반으로 기능하기 때문에 에스토니아 ID카드의 신용도용 가능성을 두고볼 수 없다며 카드 주인이 취약점 패치를 위한 업데이트를 다운로드 하기 전 까지 카드의 보안인증서를 정지시키겠다는 결정을 발표했다.

Detailed News List

Estonia Electronic ID Cards
- ^{[SecurityWeek]} Estonia Blocks Electronic ID Cards Over Identity-Theft Risk

Crypto Currencies

Summaries

CryptoShuffler 트로이가 유명 암호화폐 지갑을 훔치고 있다. 카스퍼스키랩^{(Kaspersky Lab)}에 따르면 Dash, Monero, Ethereum, Bitcoin, Zcash 등을 대상으로하는 CryptoShuffler 악성코드와 해커가 약 150,000 달러 가량의 비트코인을 훔친 것으로 보인다. 클립보드에 복사되는 지갑주소를 공격자의 것으로 바꿔치기 해 코인을 송금해야 할 대상을 공격자로 바꾸는 방식이다. 단순하지만 매우 효과적인 방법이다.

Detailed News List

CryptoShuffler
- ^[HackRead] Hackers Stole $150,000 from Cryptocurrency Wallets Using CryptoShuffler Trojan

Internet of Things

Summaries

Detailed News List

Social Engineering

Summaries

Detailed News List

Security Newsletters, Nov 2nd, 2017

Posted on 2017-11-02 - 2017-11-02 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Intelligence

Summaries

카스퍼스키랩의 연구자들이 러시아 및 말레이시아, 아르메니아 금융 부문에 대해 진행중인 사이버 공격을 탐지했다. 이 공격은 새로운 공격으로, ‘Silence’라는 이름이 붙었다. 연구자들이 공격자를 특정하진 않았지만, 공격 방법이 이전의 Carbanak 은행 공격과 유사하다고 밝혔다.
북한이 영국에 의해 WannaCry 사건의 배후로 지목된데 이어, 북한은 이러한 영국의 명예훼손에 대해 비열한 짓이라고 반박하고 나섰다. 그리고 자신들은 의료에 대한 중요도 때문에 절대 NHS를 공격하지 않을 것이라 밝혔다.
iOS 및 안드로이드 사용자를 노린 페이스북 피싱 공격이 벌어지고 있다. 페이스북이나 유튜브 계정을 탈취하기 위한 페이스북 스팸이 퍼지고 있다. 핀란드의 F-Secure에 의해 탐지된 이 공격은 10월 15일 스웨덴 사용자를 노린 공격이 처음 탐지되었다. 그리고 10월 17일에 핀란드 사용자, 10월 19일에는 독일 사용자에게서 탐지 되었다. 이 공격에 의한 전체 클릭은 약 200,000건에 달했고, 약 80%의 대상자가 독일, 스웨덴, 핀란드 사용자를 대상으로 한다. 공격자들은 유튜브 동영상으로 보이는 가짜 단축주소를 피해자들에게 보내고 있다.
우크라이나를 공격했던 NotPetya 바이러스의 배후에 있는 해커들이 역시 BadRabbit이라는 악성코드를 제작한 것으로 보인다고 우크라이나의 대통령 행정부 부국장 Dmytro Shymkiv가 말했다. 그는 NotPetya와 BadRabbit이 같은 그룹에 의해 만들어졌다고 믿고 있으며, 그 이유는 코드 형식과 접근법 때문이라고 말했다.

Detailed News list

Silence
- ^{[DarkReading]} Carbanak을 흉내내는 Silence 트로이
  ‘Silence’ Trojan Mimics Carbanak to Spy, Steal from Banks
WannaCry
- ^[ExpressUK] 북한이 영국을 위협하다. 북한의 ‘비열한’ 영국에 대한 분노로 웨스트민스터는 공포
  North Korea threat to UK: Panic in Westminster as Kim turns ire on ‘despicable’ Britain
- ^[BBC] 북한이 영국의 WannaCry에 대한 비난을 사악하다 표현
  North Korea calls UK WannaCry accusations ‘wicked’
Facebook Phishing Campaign
- ^{[BleepingComputer]} iOS 및 안드로이드 사용자를 노리는 페이스북 피싱
  Facebook Phishing Campaign Targets Android and iOS Users
Bad Rabbit
- ^[Reuters] 우크라이나, NotPetya 배후의 해커들이 Bad Rabbit 악성코드와 동일한 것으로 보인다 밝혀
  Reuters Summit: Ukraine says NotPetya hackers likely behind BadRabbit malware

Malwares/Exploits/Vulnerabilities

Summaries

아이폰7, 갤럭시S8, 기타 장비들이 Pwn2Own 대회에서 해킹됐다. 대회를 주관한 트렌드마이크로의 Zero Day Initiaitve^(ZDI)에 따르면 모바일 Pwn2Own 대회에서, 애플의 아이폰7, 삼성의 갤럭시S8, 화웨이의 Mate9 Pro가 대회 첫날에 해킹되었다. 상금 $500,000를 놓고 진행한 이틀에 걸친 대회에서 첫날에만 $350,000의 상금을 얻어갔다. SecurityWeek 리포트에 따르면, 대회기간동안 공격받은 모든 취약점은 제조사에 공개되며, ZDI가 관련 정보를 발표하기 전 90일 동안 제조사를 위한 문제해결 기간이 주어진다.
오니 랜섬웨어^{(ONI Ransomware)}가 일본 회사들을 상대로 한 장기간 공격에 사용되고 있다. Cybereason이 분석한 컴퓨터에서 ONI라는 이름의 랜섬웨어가 발견되었다. 이 랜섬웨어는 이미 발견되어 분석된 적 있지만, 피해 대상들이 어떻게 감염되는지에 대해서는 알려지지 않았었다. 이번 분석에서 감염된 피해 컴퓨터가 RAT^{(Remote Access Trojan)}을 감염시키는 스피어 피싱 공격에 대상이 되었다는 사실이 드러났다. 악성 워드 문서파일을 포함한 ZIP파일이 첨부된 메일로 위장한 메일을 사용한다. 첨부된 문서를 열고 매크로를 활성화 할 때, VBScript가 실행되면서 Ammyy Admin RAT을 다운로드 및 설치하게 된다.

Detailed News List

Pwn2Own
- ^{[DarkReading]} 아이폰7, 삼성 갤럭시S8, 화웨이 Mate9 Pro 해킹당했다
  iPhone 7, Samsung Galaxy S8, Others Hacked in Pwn2Own
- ^{[SecurityWeek]} 삼성, 애플, 화웨이 스마트폰 Mobile Pwn2Own 대회에서 해킹됐다
  Samsung, Apple, Huawei Phones Hacked at Mobile Pwn2Own
ONI Ransomware
- ^{[BleepingComputer]} 오니 랜섬웨어가 장기간에 걸친 일본회사 상대 공격에 사용되다
  ONI Ransomware Used in Month-Long Attacks Against Japanese Companies

Crypto Currencies

Summaries

D-Link의 웹사이트에 채굴 스크립트가 숨겨져있어 해킹된 것이 아닌가 하는 의심을 받고있다. D-Link의 중동 사이트인 dlinkmea.com에서 자바스크립트 기반의 암호화폐 채굴 스크립트가 iframe으로 숨겨져 삽입되어 있는것이 Seekurity 보안팀에 의해 발견되었다. 해당 사실이 D-Link에 전달된 후, 중동 D-Link사이트는 삽입된 스크립트 한 줄을 제거하는 것이 아니라 USA 사이트로 리다이렉트 되는 조치가 취해져, 해킹에 대한 의혹을 사고있다.

Detailed News List

D-Link
- ^{[theHackerNews]} D-Link 중동 사이트 암호화폐 채굴 스크립트 심어져, 해킹의심
  D-Link MEA Site Caught Running Cryptocurrency Mining Script—Or Was It Hacked?

Patches/Updates

Summaries

마이크로소프트 윈도우즈10의 익스플로잇 가드가 엔드포인트 보안을 향상시킨다. 이미 폴더 엑세스 제한^{(Controlled folder access)}기능으로 몇 번 기사가 나왔던 Windows 10 Fall Creators Update에 관한 설명이다. 이번 업데이트에서 제공되는 Controlled Folder Access외에 대하여 설명한다.
애플이 와이파이에 대한 KRACK 공격에 대한 자사의 제품을 패치했다. ^{CVE-2017-13080}으로 관리되는 iOS 장치에 영향이 있는 KRACK 관련 취약점은 iOS 11.1에서 수정되었다. iOS 11.1은 이 외에도 19가지의 취약점에 대한 패치를 제공한다. 같은 KRACK 관련 취약점들이 tvOS 11.1과 watchOS 4.1에서 수정되었고, macOS High Sierra 10.13.1이 KRACK과 관련된 취약점에 대한 패치를 포함한다.
워드프레스^(WordPress)에 있던 심각한 SQL Injection 취약점이 패치되었다. 이번에 릴리즈된 4.8.3에서 SQL Injection 취약점이 패치되었는데, 워드프레스의 테마 및 플러그인에서 SQL Injection을 일으킬 수 있으며 웹사이트를 장악 할 수 있는 취약점이었다.
디즈니의 유명한 아이보호 시스템인 서클 위드 디즈니^{(Circle with Disney)}에 23가지의 취약점이 패치되었다. 취약점은 메모리 오염^{(Memory corruption)}부터 서비스거부^{(Denial of service)}, SSL 검증 취약점^{(SSL validation vunerabilities)}에 까지, 네트워크에 존재하는 모든 장치에 영향을 주는 취약점들 이었다. 서클 위드 디즈니는 작년에 소개된 장치로, 디즈니 인터랙티브^{(Disney interactive)}와 서클 미디어^{(Circle Media)}의 합작품이다. 집의 WiFi를 사용하며 부모가 네트워크에 존재하는 타블렛이나 TV, 노트북 등을 관리할 수 있게 해준다.
버라이즌^(Verison)의 갤럭시 장치들이 블루본^(BlueBorne) 취약점에 대한 패치를 받을 수 있게 되었다. 버라이즌 와이어리스^{(Verison Wireless)}가 갤럭시 S7, S7 Edge, Note 5, S6 Edge Plus용 블루본 취약점 보완을 위한 소프트웨어 업데이트를 배포하기 시작했다. 블루본 취약점은 안드로이드 장치가 특정 장비와 패어링 되어 있거나 발견가능^{(discoverable)} 상태에 있을때 블루투스를 통해 악성행위를 할 수 있는 취약점이다. 장치 사용자가 특별한 행위를 할 필요 없이 블루투스가 켜 있기만 하면 공격의 대상이 된다.

Detailed News List

Microsoft Windows 10 Fall Creators Update
- ^{[SecurityWeek]} 윈도우즈10의 엔드포인트 보안 향상
  Windows 10 Exploit Guard Boosts Endpoint Defenses
Apple Update
- ^{[SecurityWeek]} 애플 KRACK WiFi 취약점 패치
  Apple Patches Dangerous KRACK Wi-Fi Vulnerabilities
- ^[ThreatPost] 애플 iOS 11.1에서 KRACK 취약점 패치
  APPLE PATCHES KRACK VULNERABILITY IN IOS 11.1
WordPress
- ^{[SecurityWeek]} 워드프레스 심각한 SQL Injection 취약점 패치
  Serious SQL Injection Flaw Patched in WordPress
Circle with Disney
- ^[ThreatPost] 서클 위드 디즈니 취약점 패치
  POPULAR ‘CIRCLE WITH DISNEY’ PARENTAL CONTROL SYSTEM RIDDLED WITH 23 VULNERABILITIES
BlueBorne
- ^{[AndroidHeadlines]} 버라이즌 갤럭시, 블루본 패치 제공
  Some Verizon Galaxy Devices Now Getting BlueBorne Patch

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

힐튼 호텔의 데이터 침해 보상금이 $700,000에 이르렀다. 힐튼호텔이 2014년과 2015년에 있었던 신용카드 정보 침해에 대하여 각각 뉴욕에 $700,000 ~ $400,000, 버몬트에 $300,000를 내고 자사 데이터 보안 개선 하는데에 합의했다. 2015년에 힐튼에 의해 알려진 이 사건에서, 적어도 약 363,000건의 신용카드 정보에 공격자가 접근했다고 밝혔다. 첫 침입은 2015년 2월 10일에 발견되었고, 두번째 침입은 2015년 7월에 발견되었다.

Detailed News List

Hilton
- ^{[SecurityWeek]} 힐튼 데이터 유출에 대한 보상금 $700,000에 합의
  Hilton Reaches $700,000 Settlement Over Data Breaches

Privacy

Summaries

보안 메시지 어플리케이션의 데스크탑 버젼이 발표되었다. Open Whisper Systems에 의해 개발되어, 이미 안드로이드나 iOS에서 수백만의 사용자들이 사용하는 Signal 이라는 단대단^(end-to-end) 암호화 메시지 기능의 어플리케이션이 Windows, MacOS, Linux 버젼을 발표했다. 서버가 사용자들의 통신내역에 접근할 수 없고, 데이터가 서버에 저장되지 않아 모든 대화를 안전하게 사용할 수 있다. 첫 데스크탑 버젼은 크롬 어플리케이션 형태로 2015년 12월에 발표되었지만, 이번에는 단독실행^(Standalone) 버젼으로 윈도우즈7, 8, 8.1, 10, 맥OS 10.9 이상, APT를 지원하는 Ubuntu나 Debian과 같은 리눅스 버젼으로 발표되었다.
파이어폭스 58에서 온라인 트래킹^{(Online tracking)} 방지를 위해 캔버스 브라우저 핑거프린팅^{(Canvas browser fingerprinting)}을 기본적으로 차단한다. 쿠키를 사용하지 않고도 온라인에서 사용자 개인을 특정할 수 있는 방법 중 하나인 Canvas fingerprinting이 파이어폭스 58버젼에서는 기본적으로 차단될 예정이다. Canvas 엘리먼트를 사용해 온라인 트래킹하는 기법은 2014년 알려진 내용이지만, 2018년 공개되는 파이어폭스 58의 기본 기능으로 탑재한다는 것이다.

Detailed News List

Signal
- ^{[SecurityWeek]} Signal 데스크톱 메시지 앱 발표
  Standalone Signal Desktop Messaging App Released
Firefox & Canvas fingerprinting
- ^[ThreatPost] 파이어폭스 개인정보보호 강화, Canvas Fingerprinting 제한한다
  FIREFOX BOLSTERS PRIVACY, PULLS PLUG ON BROWSER CANVAS FINGERPRINTING

Security Breaches/Info Leakages

Summaries

Detailed News List

Technologies/Technical Documents/Reports

Summaries

Detailed News List

Deep Web/DarkNet/Onion

Summaries

Detailed News List

Industrial/Infrastructure/Physical System/HVAC

Summaries

Detailed News List

Internet of Things

Summaries

Detailed News List

Social Engineering

Summaries

Detailed News List

Security Newsletters, 29, Oct, 2017

Posted on 2017-10-29 - 2017-10-29 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 포함하거나 함께 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operation/Cyber Intelligence

Summaries

영국 정부가 의료시스템을 망가뜨렸던 WannaCry 공격에 대해 북한을 지목해 비난했다. BBC 라디오를 통해 안보 보좌관인 Ben Wallace는, 북한이 이 전세계적인 공격의 배후라고 믿고있다고 말했다. WannaCry는 전세계 150개 국가의 300,000대의 컴퓨터들을 감염시켰으며, 여기에는 영국의 NHS^{(National Health Service)}와 미국의 물류회사인 FedEx, 자동차 제조사인 Honda도 포함되었다. NHS는 잉글랜드 전역에 걸쳐, 81개의 병원의 236개 컴퓨터들이 감염되었고, 이에따라 19,500건의 의료계획이 취소되는 등의 심각한 영향이 있었다.

Detailed News list

WannaCry
- ^{[SecurityAffairs]} 영국정부, NHS에 심각한 장애를 일으킨 WannaCry 공격과 북한을 연관
  UK Government links the WannaCry attack that crippled NHS to North Korea

Deep Web/DarkNet/Onion

Summaries

중동 및 북아프리카의 사이버범죄 지하마켓에 대한 리포트. Trend Micro의 보안전문가에 의한 중동 및 북아프리카의 사이버범죄 마켓에 대한 리포트가 발표되었다. 마켓에 가입하고 들어가는데만도 꽤 긴 과정을 거쳐야 하고, 언어장벽으로 인한 접근의 어려움이 있었다고 한다. 이 마켓에서도 역시 악성코드의 판매가 이루어지고 있었으며, 타국의 개인 금융정보나 계정정보도 거래 대상이었다.

Detailed News List

Middle East & North African Underground Market
- ^{[SecurityAffirs]} 중동 및 북아프리카 사이버범죄 지하시장을 파헤치다
  Digging the Middle East and North African cybercrime underground market

Security Breach/Info Leakage

Summaries

언더그라운드 해킹 포럼인 Basetools가 해킹당해 $50,000 몸값을 요구당했다. 관리자가 5만 달러의 몸값을 지불하지 않으면 수사기관에게 관리자의 신상 및 훔친 데이터를 공유하겠다고 협박하고 있다. Basetools.ws는 회원들간에 훔친 카드정보, 해킹툴, 훔친 계정정보 등을 포함하는 불법적인 제품들과 서비스를 거래해왔다. 이 포럼의 사용자 수는 약 150,000명 이며, 20,000개 이상의 툴이 있다. 해커는 훔친 데이터 일부를 온라인에 공개하며 포럼의 운영자들에게 몸값을 요구했다.

Detailed News List

Basetools
- ^{[SecurityAffairs]} Basetools 포럼 해킹, 5만달러의 몸값 요구당해
  Basetools underground hacking forum breached, hacker demands $50K ransom

Crypto Currency

Summaries

Detailed News List

Malware/Exploit/Vulnerability

Summaries

일부 가능성이지만 Bad Rabbit 랜섬웨어에 의해 암화된 파일을 몸값을 지불하지 않고 복구할 수 있는 가능성에 대한 기사가 나왔다. Bad Rabbit은 사용자 파일을 암호화 하기 위해 공개된 DiskCryptor 오픈소스 라이브러리를 사용한다. 악성코드 분석가들의 분석결과에 따르면, 파일을 암호화 한 뒤에 암호키가 메모리에서 지워지지 않아 메모리에 복구를 위한 비밀번호 키가 남아있을 가능성이 있다. 그리고 Bad Rabbit 랜섬웨어가 섀도우 복사본을 지우지 않아, 윈도우즈의 백업 기능을 통해 파일을 복구할 수 있는 방법도 있다. 감염되기 전 윈도우즈의 백업 기능이 활성화 되어 있었고 디스크 전체가 암호화되지 않았다면, 윈도우즈의 백업 기능이나 제3의 유틸리티를 사용해 복구할 수 있다는 것이다.

Detailed News List

Bad Rabbit
- ^{[SecurityAffairs]} Bad Rabbit 악성코드에 의해 암호화된 파일을 몸값을 지불하지 않고도 복구할 가능성 있다
  Documents encrypted by Bad Rabbit ransomware could be recovered without paying ransom
- ^{[SecurityAffairs]} Bad Rabbit, 네트워크 내 전염을 위해 NSA 익스플로잇인 EternalRomance 사용
  Bad Rabbit Ransomware leverages the NSA Exploit for lateral movements

Patch/Update

Summaries

구글이 크롬 데스크탑 브라우저의 취약점을 수정했다. 이 취약점은 스택 버퍼오버플로우 취약점으로, 구글에 따르면 인텔 아키텍쳐 32bit(i386), ARM, MIPS 프로세서를 사용하는 Windows 7 혹은 이후, MacOS 10.5 혹은 이후, Linux 시스템의 크롬 브라우져 V8 자바스크립트 엔진과 관련이 있다. 구글은 목요일 발표에서 윈도우즈, 맥, 리눅스에서 안전한 브라우저 버젼은 62.0.3202.75라고 밝혔다.
KRACK 공격에 대한 Rockwell Automation의 무선 AP 패치가 나왔다. Stratix 무선 엑세스 포인트 제품의 패치를 내놓았고, 다수의 제조사들이 패치를 배포하고 있다.
마이크로소프트가 아무런 사용자 상호작용 없이도 윈도우즈 NTLM 비밀번호 해시를 훔칠 수 있는 취약점을 수정했다. 이 패치는 최신버젼의 윈도우즈를 대상으로 한 것으로 윈도우즈10과 서버2016이 해당한다. 취약점에 대한 공격은 공격자가 특정한 쉘 명령 파일^{(SCF, Shell Command File)}을 공개된 윈도우즈 폴더 안에 넣기만 하면 된다. 이렇게 파일을 위치시키기만 하면, 보안 이슈로인해 파일이 자동 실행되고 해당 시스템의 NTLM 비밀번호 해시를 수집해 공격자 서버로 전송하게 된다.
아파치 소프트웨어 재단^{(The Apache Software Foundation)}이 오픈오피스^{(Apache OpenOffice suite)} 취약점 수정을 위한 패치 4가지를 업데이트했다. 워드프로세서와 그래픽 어플리케이션을 위한 패치로, 4가지 취약점 모두 중간등급의 위험도에 해당한다. 3가지 취약점은 경계위반^{(out-of-bound)} 취약점으로, 이를 통해 임의의 코드 실행이 가능하다. 취약점 번호는 CVE-2017-9806, CVE-2017-12607, CVE-2017-12608이다. 네번째 취약점은 CVE-2017-3157로 워드프로세서 어플리케이션 취약점이며 금요일에 함께 패치되었다. 이 취약점들은 모두 아파치 오픈오피스^{(Apache OpenOffice)} 4.1.4 버젼에서는 패치되었다.

Detailed News List

Google
- ^[ThreatPost] 구글, 크롬 데스크탑 브라우저의 심각한 보안취약점 수정
  GOOGLE PATCHES ‘HIGH SEVERITY’ BROWSER BUG
KRACK
- ^[ThreatPost] Rockwell Automation, KRACK대응 무선AP 취약점 패치
  ROCKWELL AUTOMATION PATCHES WIRELESS ACCESS POINT AGAINST KRACK
Windows NTLM vuln
- ^{[SecurityAffairs]} 미스터리한 해킹방법으로 사용자 상호작용없이 윈도우즈의 로그인 인증정보를 훔칠 수 있다
  Mysterious hack allows attackers stealing Windows login credentials without user interaction
Apache OpenOffice
- ^[ThreatPost] 아파치 오픈오피스, 취약점 4가지 수정
  APACHE OPENOFFICE UPDATE PATCHES FOUR VULNERABILITIES

Legislation/Politics/Policy/Regulation/Law Enforcement

Summaries

Detailed News List

Internet of Things

Summaries

Detailed News List

Industrial/Infrastructure/Physical System/HVAC

Summaries

Detailed News List

Technology/Technical Document/Report

Summaries

마이크로소프트가 오픈소스로 스캐닝 도구 소나^(SONAR)를 공개한다. 마이크로소프트 엣지 팀에 의해 개발된 이 툴은 린팅^(Linting)과 웹사이트 스캐닝 기능을 제공한다. 소나는 소스코드의 코딩 오류, 성능, 접근성, 보안, Progressive Web Apps, 상호운용성^{(interoperability)} 등 넓은 영역에 걸쳐 문제점을 점검해준다. 소나는 명령행 방식이나 온라인으로 사용할 수 있다.

Detailed News List

Microsoft SONAR
- ^{[SecurityAffairs]} 마이크로소프트, 오픈소스 스캐닝 도구 소나 공개
  Microsoft releases the open-source scanning tool Sonar
- ^[GitHub] 마이크로소프트 소나
  Microsoft SONAR on GitHub

Social Engineering

Summaries

Detailed News List

Privacy

Summaries

아이폰 앱이 카메라에 접근하여 몰래 사진을 찍거나 비디오를 녹화할 수 있다. 최근 구글 엔지니어인 Felix Krause가 발견한 내용에 따르면, 어떠한 어플리케이션이든 아이폰의 카메라를 사용하여 사용자를 몰래 염탐할 수 있는 것으로 나타났다. 전/후방 카메라 모두 이에 해당하며, Felix Krause가 증명을 위해 제작한 어플리케이션은 사용자에게 어떠한 권한요청이나 알림없이 일정 시간 간격마다 사진을 찍고 사이트에 등록하도록 할 수 있었다. 아이폰에서는 어플리케이션이 카메라를 사용하는데 사용자 권한 승인이 필요하고 사진 촬영이 끝나면 권한이 회수되게 되어있다. 그러나 Felix Krause는 일단 한번 카메라에 대한 접근권한이 승인되면 어플리케이션의 권한이 회수되더라도 어플리케이션이 실행되고 있는한 계속적인 촬영이 가능한 취약점을 찾아냈다.

Detailed News List

iPhone
- ^[HackRead] 아이폰 앱이 카메라에 접근하여 몰래 사진을 찍거나 비디오를 녹화할 수 있다
  iPhone apps can access cameras to secretly take photos and record videos

Security Newsletters, 28, Oct, 2017

Posted on 2017-10-28 - 2017-10-28 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operation/Cyber Intelligence

Summaries

빠르고 무지막지했던 Bad Rabbit 랜섬웨어가 도둑맞은 NSA 익스플로잇을 사용했다고 DarkReading이 전했다. 연구자들의 초기 분석결과는 Bad Rabbit 랜섬웨어가 Petya나 NotPetya의 수정된 코드를 사용한 반면에, 확산을 위해서는 WannaCry같은 익스플로잇을 사용하지 않았다는 것이었다. 시스코 시스템즈의 탈로스^(Talos) 그룹은 이 랜섬웨어가 확산을 위해 EternalRomance라고 부르는 익스플로잇을 사용했다고 말했다. 이 익스플로잇은 도난당해 유출된 NSA 도구 중 일부로, 이번 여름 피해대상기관 내부에 유포하기 위해 사용된 Nyetya (또는 Petwrap, Goldeneye) 랜섬웨어 공격 도구였다. 최근 밝혀진 내용에 따르면, Bad Rabbit은 웜 처럼 확산하기 위해서 SMB 로컬 네트워크를 사용한다. 분석가들은 하드코딩된 자격증명^(credential) 목록과 Mimikatz의 비밀번호 추출 방법을 확인했다. EternalRomance는 NSA의 Equation Group이라 부르는 해킹팀의 것으로 여겨지는 많은 해킹도구중 하나이며, Shadow Brokers라 부르는 해킹팀에 의해 유출되었다. EternalRomance는 원격 코드 실행 익스플로잇으로 마이크로소프트의 SMB^{(Server Message Block)} 취약점인 CVE-2017-0145를 공격한다.
어나니머스^(Anonymous)가 카탈로니아 독립에 대한 논쟁에서 스페인 정부의 웹사이트를 공격했다. 어나니머스 해커들이 스페인의 공공근로 및 교통부^{(Ministry of Public Works and Transport)}가 운영하는 웹사이트를 카탈로니아 독립운동을 지지하며 공격했다. 공격대상 사이트들이 DDoS 공격에 시달리는 동안, 일부 사이트는 “Free Catalonia” 문구로 디페이스^(deface) 되었다.
오클라호마의 공공시설위원회, 사이버 공격 감지. 오클라호마의 공공시설물위원회에 이루어진 사이버공격이 정보시스템에 영향을 입혔다고 밝혔다. 웹사이트 및 이메일 서비스, 기타 네트워크의 운영이 월요일 일찍 해킹 공격이 일어난 이후 중단되었다.

Detailed News list

Bad Rabbit
- ^{[DarkReading]} Bad Rabbit, 도둑맞은 NSA 익스플로잇 사용
  Bad Rabbit Used Pilfered NSA Exploit
- ^{[theHackerNews]} Bad Rabbit, 유출된 NSA의 EternalRomance 익스플로잇을 확산을 위해 사용
  Bad Rabbit Ransomware Uses Leaked ‘EternalRomance’ NSA Exploit to Spread
- ^[HackRead] NSA의 EternalRomance 익스플로잇, Bad Rabbit 랜섬웨어 대혼란에서 사용
  EternalRomance NSA Exploit a Key Player in Bad Rabbit Ransomware Mayhem
- ^[ThreatPost] EternalRomance 익스플로잇, Bad Rabbit 랜섬웨어에서 발견
  ETERNALROMANCE EXPLOIT FOUND IN BAD RABBIT RANSOMWARE
Anonymous & Catalonia
- ^[SCMagazine] 어나니머스, 카탈로니아 독립 논쟁에서 스페인 정부 웹사이트 공격
  Anonymous targets Spanish government sites in Catalan independence controversy
Oklahoma
- ^{[TheSacramentoBee]} 오클라호마 공공시설위원회 사이버공격 감지
  Oklahoma’s public utilities commission detects cyberattack

Deep Web/DarkNet/Onion

Summaries

범죄자들에 국제 RDP 서비스 제공하는 다크넷 마켓. 다크넷 마켓들이 장악한 RDP 서버들에 대한 접근권한을 사이버범죄 생태계에 돈을받고 파는 일이 지난 몇년간 계속 증가하고 있다. UAS^{(Ultimate Anonymous Services)}라는 마켓은 유명한 RDP 마켓으로, 2016년 2월 16일부터 온라인으로 활동을 해 왔다. UAS는 SOCKs 프록시 및 35,000개의 브루트포스^(Bruteforce)한 RDP 정보를 제공한다. 이 RDP들은 중국, 브라질, 인도, 스페인, 콜롬비아 등 전 세계에 걸쳐 존재한다.

Detailed News List

Ultimate Anonymity Services
- ^[Flashpoint] 범죄자들에게 RDP 서비스 제공하는 다크넷 마켓 UAS
  “Ultimate Anonymity Services” Shop Offers Cybercriminals International RDPs

Security Breach/Info Leakage

Summaries

가장 유명한 자바스크립트 라이브러리인 jQuery의 공식 블로그가 해킹당했다. 그러나 아직 jQuery에서 호스팅하는 jQuery 라이브러리 파일들이 공격받았다는 증거는 없다. 해킹당했다는 블로그 포스트를 올린 Leah Silber의 계정이 해킹당했거나, 아직 알려지지 않은 워드프레스의 취약점을 사용한 것으로 추정된다. jQuery 블로그에 등록되었던 해킹 포스트는 삭제되었고 아직 공식 발표는 없다.

Detailed News List

jQuery
- ^{[theHackerNews]} jQuery 공식 블로그 해킹당해
  jQuery Official Blog Hacked — Stay Calm, Library is Safe!
- ^[HackRead] jQuery 블로그 해킹 당했다
  jQuery Blog Gets Hacked – Hackers Compromise CoinHive’s DNS

Crypto Currency

Summaries

실제 이더리움^(Ethereum) 지갑 서비스인 MyEtherWallet.com에서 보낸 것 처럼 위장한 피싱메일이 다가오는 하드포크^{(hard fork)}에 대해 언급하면서 메일에 포함된 링크를 클릭하여 사용자 계정에 대한 잠금을 해제하고 계좌 잔액을 확인하라고 사용자들을 속였다. 유니코드를 사용해 실제 사이트처럼 꾸민 피싱사이트에서 사용자들이 속아 비밀번호를 입력하면 그 비밀번호를 이용해 이더리움 잔액을 공격자의 지갑으로 이체했고, 짧은 2시간 동안 공격자들은 약 15,000 달러의 이더리움^(52.56ETH)을 훔쳐냈다.
코인하이브^(Coinhive)의 사고가 오래된 비밀번호의 재사용으로 인해 일어났다고 밝혔다. 코인하이브는 최근 침해사고에서 DNS 서비스 제공사인 CloudFlare의 계정을 탈취당해 공격자에 의해 변경된 자바스크립트를 배포했다. 이 Cloudflare 계정은 이전 Kickstarter 사고에서 유출된 계정의 비밀번호를 동일하게 사용하고 있었다.

Detailed News List

Ethereum Phishing
- ^{[BleepingComputer]} 이더리움 피싱 공격, 두시간반에 범죄자들에게 1.5만의 순수익 안겨
  Ethereum Phishing Attack Nets Criminals 15K in Two Hours
CoinHive
- ^{[HelpNetSecurity]} 코인하이브, 오래되고 재사용한 비밀번호 때문에 해킹당했다
  Coinhive breached due to old, reused password

Malware/Exploit/Vulnerability

Summaries

지난달 스팸 메일로 악성코드를 유포하기 시작한 온라인 작전의 배후에있는 해커들이 일본을 우선순위로 삼고 공격하고 있다. 몇년간 Ursnif^(Gozi)는 일본 및 북미, 유럽, 호주를 대상으로 해왔다. 그러나 최근 IBM X-Force 분석가에 따르면, 일본에서의 작전이 새로운 대상과 회피기술로 한 단계 더 발전했다. 최근 탐지된 Ursnif 악성코드 변종들의 샘플을 분석한 결과 더이상 은행 및 은행 자격증명^(Credential)정보만을 노리는 것이 아니라 일본의 웹메일, 클라우드 저장소, 암호화폐 거래 플랫폼, e커머스 사이트의 사용자 인증정보^(Credential)를 노리고 있다.
클라우드 기반 통신 플랫폼인 슬랙이 SAML 사용자 인증에 있던 심각한 취약점을 패치했다.

Detailed News List

URSNIF
- ^[ThreatPost] Ursnif 뱅킹 트로이가 일본에서 확산중
  URSNIF BANKING TROJAN SPREADING IN JAPAN
SLACK
- ^[ThreatPost] SLACK, SAML 사용자 인증에 심각한 취약점 패치
  SLACK PLUGS ‘SEVERE’ SAML USER AUTHENTICATION HOLE

Legislation/Politics/Policy/Regulation/Law Enforcement

Summaries

Detailed News List

Internet of Things

Summaries

Reaper IoT 봇넷이 DDoS 서비스를 위한 도구인 것으로 보인다. 최근 10,000 ~ 20,000개의 명령 장치와, 봇넷 노드로 보이는 추가적인 2백만개의 호스트가 식별되었다. 2백만개의 호스트가 왜 봇넷에 흡수되지 않았는지는 아직까지 확실치 않지만, Arbot Network의 ASERT^{(Arbor’s Security Engineering & Response Team)}는 중국 내부의 DDoS서비스 시장에서 사용될 것으로 추측했다.
체크포인트(Check Point)의 보안연구가의 연구결과에 따르면, LG SmartThinQ 스마트 홈디바이스에서 취약점을 발견했다. 이 취약점은 LG에서 생산된 냉장고, 오븐, 식기세척기, 에어컨, 드라이어, 세탁기 등의 인터넷 연결을 가로챌 수 있게 한다. 그리고 원격으로 LG의 홈봇이나 카메라가 내장된 로봇청소기를 조종할 수 있고 비디오 영상을 실시간으로 확인 할 수 있었다.

Detailed News List

Reaper Botnet
- ^{[DarkReading]} Reaper 봇넷, 유료 DDoS 서비스 도구로 보여
  ‘Reaper’ IoT Botnet Likely a DDoS-for-Hire Tool
- ^[360NetLab] IoT Reaper
  IoT_reaper: A Few Updates
LG Smart Appliances
- ^{[theHackerNews]} 해커에 의해 LG 스마트 기기가 원격조종되는 스파이 로봇이 될 수 있다
  Hackers Could Turn LG Smart Appliances Into Remote-Controlled Spy Robot
- ^[HackRead] 보안연구가, 청소기를 해킹해 스파이 도구로 만들다
  Researchers hack vacuum cleaner; turn it into perfect spying device
- ^[Phys.org] 보안취약점으로 해커가 스마트 오븐을 켤 수 있다
  Security flaw could have let hackers turn on smart ovens

Industrial/Infrastructure/Physical System/HVAC

Summaries

활동가들에 의해 소가 제기된지 며칠 후에 선거서버가 지워졌다. 조지아 선거 메인서버가 7월에 지워졌고, 두개의 백업은 8월에 세번이나 자기소거^(degaussing) 됐다. 현재 조지아 선거 관리 공무원들에 대하여 제기된 연방 소송의 핵심으로 여겨지는 서버와 백업들이 완전히 지워진 것으로 알려졌다. 한 보안연구가에 의해 투표시스템의 심각한 문제가 발견된 이후, 조지아는 아주 엄격한 정밀조사 과정에 있었다. 그후 소송이 이어졌고, 법원에는 6월 20일 의회 특별선거 결과의 취소에 대한 요청 및 컴퓨터기반의 투표시스템이 다시 사용되는 것을 막아달라는 요청이 있었다. 이 사건은 7월 3일 Fulton County Superior Court에 접수되었다. 그러나 지난 목요일 APNews 소식에 따르면, 데이터는 7월 7일 Kennesaw State University의 the Center for Elections Systems에 의해 파괴되었다. 그리고 이메일로 확인된 내용에 따르면 두개의 백업 서버는 세 차례 자기소거^(degaussing)된 것으로 확인됐다. 이에 대해서는 Kennesaw State University의 Tammy Demel 대변인은 다음과 같이 답변을 했다. 2017년 3월에 데이터 침해에 연관된 것으로 여겨지는 서버들이 연방수사국^(FBI)에 제출되었고, 데이터는 수사과정에서 포렌식 이미지와 모든데이터의 복사본으로 만들어져 수사국에 보관되었다는 것이다. 그리고 그 이후 연방수사국으로부터 어떤 데이터도 침해당하지 않았다는 연락을 받았으며 수사는 종료되었다고 한다. 수사 종료 후에는, 해당 장비의 재활용을 위해 일상적인 업무절차를 거쳐 드라이브의 소거작업 등이 진행되었다고 밝혔다.
선박의 AmosConnect 8 웹 플랫폼의 두가지 취약점에 대한 보고서가 발표되었다. 이 플랫폼은 IT 및 네비게이션시스템에 대한 모니터링 및 선원들을 위한 메시징, 이메일, 웹브라우징 등의 기능을 제공하는 플랫폼이다. 보고서에서는 이 취약점이 공격받을 경우 선원들의 개인정보 및 광범위한 운영데이터의 노출, 고립되어 운영되어야 하는 선박의 주요 시스템들의 손상이 발생 할 수 있다고 밝혔다.
NATO 사무총장이 동맹국들이 러시아의 전화네트워크 마비^(Jamming) 기술에 대한 우려가 높아지고 있다고 밝혔다. 나토의 사무총장인 Jens Stoltenberg가 2017년 10월 26일 브뤼셀의 나토 본부에서 열린 나토-러시아 협의 회의^{(Nato-Russia Council)}에서, 지난달 군사훈련간 사용된 전자전 종류의 무기에 의한 일부 전화 네트워크의 장애에 대하여 동맹국들의 우려가 커지고 있다고 밝혔다. 최소한 두 동맹국이 그런사실을 알려왔다고 말했으며, 러시아가 워게임에 대하여 더욱 투명하게 대처할 필요가 있다고 강조했다. 지난 9월 14에서 20일까지 러시아가 벨라루스와 함께 진행했던 Zapad 훈련 진행중에 라트비아, 노르웨이, 스웨덴의 Oeland 섬의 전화 서비스가 몇 시간 동안 중단되었다. 이 장애는 발틱해^{(Baltic Sea)}에 있던 러시아의 통신선에 의해 발생한 것으로 추측된다.

Detailed News List

조지아 선거 서버 삭제
- ^{[arsTechnica]} 소송제기 며칠 뒤, 조지아 선거서버 지워져
  Days after activists sued, Georgia’s election server was wiped clean
- ^{[TheRegister]} 미 투표서버 의문스러운 삭제
  US voting server in election security probe is mysteriously wiped
- ^[APNews] 조지아 선거 서버, 소송 제기후 삭제
  APNewsBreak: Georgia election server wiped after suit filed
해상 통신 시스템 취약점
- ^[Wired] 유명 해상통신 플랫폼의 버그로 선박 노출
  A BUG IN A POPULAR MARITIME PLATFORM LEFT SHIPS EXPOSED
- ^[ThreatPost] Inmarsat의 위성통신 시스템의 치명적인 두가지 버그 발견
  TWO CRITICAL VULNERABILITIES FOUND IN INMARSAT’S SATCOM SYSTEMS
- ^{[TheRegister]} 해상 통신시스템 취약점 발견
  Maritime comms flaws exposed: It’s OK cuz we canned it, says vendor
- ^[ZDNet] 내장백도어로 인해 해상 선박 데이터에 해커가 접근 가능
  Hackers can gain access to maritime ship data through a built-in backdoor
- ^{[CMU CERT]} Inmarsat AmosConnec8 메일 클라이언트 SQL Injection 및 백도어계정 취약점
  Inmarsat AmosConnect8 Mail Client Vulnerable to SQL Injection and Backdoor Account
Zapad & Phone Jamming
- ^[C4ISRNet] 나토 사무총장, 동맹국들의 러시아 전화 마비공격에 대한 우려 언급
  NATO chief says allies concerned about Russian phone jamming

Technology/Technical Document/Report

Summaries

구글이 HTTPS와 같은 일을 DNS 쿼리에서도 하려는 중이다. 2015년 IEFE^{(Internet Engineering Task Force)}에 제출된, DNS 질의를 암호화하는 DNS-over-TLS에 대한 내용이 AOSP^{(Android Open Source Project)}에 등록되었다. 일반 DNS 질의는 인터넷에 평문 평태로 전송되기 때문에 중간자공격^{(MitM, Man-in-the-Middle Attack)}에 의해 추적되거나 변경될 수 있다. 그래서 방문하는 모든 사이트들의 정보가 ISP나 VPN 제공사에 의해 기록될 수 있다.

Detailed News List

DNS
- ^{[NakedSecurity]} 암호화되지 않은 DNS를 노리는 안드로이드
  Android takes aim at ISP surveillance with DNS privacy

Social Engineering

Summaries

Detailed News List

Privacy

Summaries

사생활 침해로 이어질 수 있는 iOS의 기능이 이슈다. 앱이 카메라에 접근할 권한을 허용하기만 하면, 실제 사용자가 알지 못하는 순간에 LED 노출이나 불빛등의 특징 없이도 전/후방 카메라로 스냅사진을 찍어 그 데이터가 인터넷에 업로드되고 안면인식 등의 분석이 이루어질 수 있다는 것이다. 거기에는 애플의 iOS11에서 소개한 새로운 기능인 CoreML이라는 신경망에 의한 사생활 침해 가능성이 큰 논란이 되고 있는데, CoreML 권한을 사용하는 앱에서 사용자의 마이크, 달력등의 데이터 스트림에 접근하여 안면인식, 자연어처리, 대상인식 등 신경망과 의사결정트리 등 온갖 머신러닝 도구들을 사용할 수 있는 것이다.

Detailed News List

iOS privacy
- ^{[NakedSecurity]} iOS의 사생활 침해
  The iOS privacy loophole that’s staring you right in the face
- ^[Wired] 애플의 머신러닝엔진이 당신 아이폰에 들어있는 비밀을 들춰낼지 모른다
  APPLE’S MACHINE LEARNING ENGINE COULD SURFACE YOUR IPHONE’S SECRETS