Caution
This post is meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news are not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 포함하거나 함께 번역하지 않았습니다.
Newsletters
Cyber Espionage/Cyber Operation/Cyber Intelligence
Summaries
- Bad Rabbit 랜섬웨어가 계속해서 들불처럼 번지고 있다. Petya와 유사한 랜섬웨어 공격으로, 0.05 bitcoin을 몸값으로 요구한다. 이 랜섬웨어는 현재 유럽 전역에 확산되고 있으며, 이미 러시아, 우크라이나, 터키, 독일 등의 200개 이상의 기관들이 몇시간 안에 감염되었다. 카스퍼스키랩의 초기 연구에 따르면, Bad Rabbit 랜섬웨어는 어도비 플래시 플레이어 인스톨러로 위장하여 드라이브 바이 다운로드(Drive-by-download) 공격에 의해 배포된다. 익스플로잇되며 감염되는 것이 아니라, 대상자가 다운로드하여 실행해야 한다는 것이다. 뉴스나 미디어 사이트가 장악 당하여 이런 가짜 인스톨러를 배포하고 있다. 지금까지 공격 대상이 된 기관들에는 Kiev Metro payment systems, Interfax and Fontanka(러시아 뉴스기관), Odessa 국제공항, 우크라이나의 Ministry of infrastructure가 있다.
- FIN7 해킹그룹의 스피어 피싱 공격이 탐지 회피에 초점을 맞추고 있다. 다양한 소매업자들을 공격해온 FIN7 그룹은 계속적으로 다양한 피싱 기술을 사용하며, 탐지 회피를 위해 피싱 문서들을 도입하고 있는 것으로 드러났다.
- 악명높은 해킹그룹인 Lazarus가 조종하는 것으로 보이는 서버가 인도에서 발견되었다고 카스퍼스키가 밝혔다. Lazarus그룹은 최근 WannaCry 랜섬웨어를 포함해 전세계에 걸친 큰 규모의 사이버 공격 배후에 있다고 여겨지는 범죄그룹이다. 최근 밝혀진 이 서버들은 전세계적인 command & control 기반으로 활용되는 것으로 보인다. 이 서버들은 인도네시아, 인도, 방글라데시, 말레이시아, 베트남, 대한민국, 대만, 태국 등의 나라들에서 발견되고 있으며 Lazarus 그룹은 2014년 소니픽쳐스 해킹, 2016년 방글라데시 은행 절도, 최근 WannaCry 랜섬웨어의 배후로 여겨진다.
- Terror Exploit Kit으로 이어지는 사기광고 악성코드. Zscaler의 보안연구가에 따르면, 금연광고“Quit Smoking”나 20분안에 살빼기“20 Minute Fat Loss”와 같은 광고가 테러 익스플로잇 키트(Terror Exploit Kit)로 이어지는 광고를 내보냈다. 이러한 캠페인은 9월 1일에 첫 탐지되어 10월 23일까지 이어졌다. Terror EK는 취약점 CVE-2016-0189와 CVE-2014-6332를 공격하며, 랜딩페이지에서는 플래쉬 익스플로잇을 사용하는 다른 URL을 호출한다.
Detailed News list
- Bad Rabbit
- [ThreatPost] Bad Rabbit Expetr/NotPetya 공격과 연관
BAD RABBIT LINKED TO EXPETR/NOT PETYA ATTACKS - [theHackerNews] Bad Rabbit, 새로운 랜섬웨어 공격이 유럽전역에 급격히 확산
Bad Rabbit: New Ransomware Attack Rapidly Spreading Across Europe - [HackRead] Bad Rabbit 랜섬웨어가 들불처럼 번지고 있으나, 벗어날 길이 있다
Bad Rabbit ransomware spreading like wildfire but there is a way out - [NakedSecurity] Bad Rabbit 랜섬웨어 발생
Bad Rabbit ransomware outbreak - [Reuters] 새로운 사이버 공격이 러시아와 다른 국가를 휩쓸다
New wave of cyber attacks hits Russia, other nations - [CSOOnline] Bad Rabbit 랜섬웨어, 다수 미디어 공격
BadRabbit ransomware attacks multiple media outlets - [MotherBoard] 새로운 랜섬웨어인 Bad Rabbit이 러시아와 우크라이나에 빠르게 확산중
New Ransomware ‘Bad Rabbit’ Spreading Quickly Through Russia and Ukraine - [CRN] 새로운 악성코드 Bad Rabbit이 러시아와 다른 국가들 강타
New malware ‘BadRabbit’ strain attacks hit Russia, other nations - [SCMagazine] Bad Rabbit 랜섬웨어가 러시아 및 우크라이나에서 퍼시고 있다. 예방법 발표
BadRabbit ransomware spreading in Russia and the Ukraine, vaccine posted - [Wired] NotPetya 연관된 새로운 랜섬웨어가 러시아와 우크라이나를 휩쓸다
NEW RANSOMWARE LINKED TO NOTPETYA SWEEPS RUSSIA AND UKRAINE
- [ThreatPost] Bad Rabbit Expetr/NotPetya 공격과 연관
- FIN7
- [HackRead] FIN7의 스피어 피싱 공격이 이제는 탐지 회피에 초점을 맞추다
FIN7 Spear Phishing Attacks Now Aim At Avoiding Detection
- [HackRead] FIN7의 스피어 피싱 공격이 이제는 탐지 회피에 초점을 맞추다
- Lazarus
- [EconomicTimes] 카스퍼스키, Lazarus가 조종하는 서버들 인도에서 찾았다
Kaspersky detects Lazarus-controlled servers in India
- [EconomicTimes] 카스퍼스키, Lazarus가 조종하는 서버들 인도에서 찾았다
- Terror EK
- [ThreatPost] Terror EK로 이어지는 사기광고 악성코드
MALVERTISING CAMPAIGN REDIRECTS BROWSERS TO TERROR EXPLOIT KIT
- [ThreatPost] Terror EK로 이어지는 사기광고 악성코드
Deep Web/DarkNet/Onion
Summaries
- 다크웹에서 Zcash, Monero, Ether등의 암호화폐가 거래에 사용되면서 인기를 끌고 있다고 유로폴이 최근 발행한 보고서에서 밝혔다.
- 미 정부가 오랜시간이 지나고서야 2013년에 실크로드를 폐쇄하면서 압류한 비트코인의 판매로 벌어들인 수익이 약 4800만 달러에 이른다고 밝혔다. 실크로드 수사가 성공하면서 정부는 144,336 비트코인을 압류했고, 2014년과 2015년에 이를 경매에 부쳤다. 그리고 최근 실크로드는 Silk Road 3.1로 다시 운영을 재개했다.
Detailed News List
- 다크웹의 암호화폐
- [DarkWebNews] Zcash, Monero 등 다크웹에서 인기
Zcash, Monero and Ether Becoming Popular on the Dark Web
- [DarkWebNews] Zcash, Monero 등 다크웹에서 인기
- Silk Road
- [SilkRoadDrugs] 미 정부 실크로드의 비트코인 판매로 4,800만 달러 순수익
U.S. Government Nets $48M from Sale of Seized Silk Road Bitcoins - [SilkRoadDrugs] SilkRoad 3.0에 접속하는 법
Guide on How to Access the Silk Road 3.0
- [SilkRoadDrugs] 미 정부 실크로드의 비트코인 판매로 4,800만 달러 순수익
Security Breach/Info Leakage
Summaries
- 영국 런던에 위치한 성형외과 the London Bridge Plastic Surgery & Aesthetic Clinic (LBPS)가 해킹당해 환자 정보가 유출되었다. 이번 뉴스에는 병원으로부터 유출된 데이터에 대하여 확인이 되었다. 남여 환자의 생식기 수술 사진이 유출 데이터에 일부로 포함이 되어있으며, 또다른 데이터로는 얼굴이 함께 촬영된 환자들의 수술 후 사진이 있다고 한다.
- 델(Dell)이 악성코드나 기타 원인으로부터 사용자들을 복구하는데 사용하는 사용자지원 사이트인 DellBackupandRecoveryCloudStorage.com에 대한 관리권한을 뺏겼다. 여름에 이 도메인은 약 한달동안 관리권한을 탈취당한 것으로 보이며, 델의 관리업체가 이 권한을 다시 회수하기까지 악성코드를 유포한 것으로 보이는 징후도 발견되었다.
- 6월달에 유출된 아시아 태평양 네트워크 정보 센터(APNIC, The Asia-Pacific Network Information Centre)의 후이즈 데이터베이스의 비밀번호 해시 유출에 대한 보도가 추가되었다.
- 버뮤다의 Appleby 역외로펌에서 지난해 심각한 데이터 유출이 있었던 것과 고객들의 재정정보에 대한 즉각적인 노출이 있을 수 있다고 인정했다. Appleby는 역외법률서비스를 제공하는 세계에서 가장 큰 로펌 중 하나이다.
- 회장품 기업인 Tarte Cosmetics의 약 2백만명에 달하는 고객 개인정보가 유출됐다. 보안이 되어있지 않은 데이터베이스로 인해, 온라인에 공개되어 접근이 가능했으며 사용자의 이름, 이메일주소, 우편 주소, 신용카드번호의 마지막 네 자리가 노출됐다.
Detailed News List
- LBPS
- [NakedSecurity] 해커 성형외과에서 사진 데이터 훔쳐
Hackers steal compromising photos from plastic surgery clinic
- [NakedSecurity] 해커 성형외과에서 사진 데이터 훔쳐
- Dell Inc.
- [KrebsOnSecurity] 델, 주요 사용자지원 도메인을 한달간 탈취당해
Dell Lost Control of Key Customer Support Domain for a Month in 2017
- [KrebsOnSecurity] 델, 주요 사용자지원 도메인을 한달간 탈취당해
- APNIC
- [BleepingComputer] APNIC 후이즈 데이터베이스 비밀번호 해시가 다운로드 가능했다
APNIC Whois Database Password Hashes Were Available for Download
- [BleepingComputer] APNIC 후이즈 데이터베이스 비밀번호 해시가 다운로드 가능했다
- Appleby
- [InfosecurityMagazine] 역외로펌 데이터 도난
Offshore Law Firm Braces for Publicity Bombshell After Data Theft
- [InfosecurityMagazine] 역외로펌 데이터 도난
- Tarte Cosmetics
- [Gizmodo] Tarte 약 200만명 고객의 개인정보 유출
Cosmetics Brand Tarte Exposed Personal Information About Nearly 2 Million Customers
- [Gizmodo] Tarte 약 200만명 고객의 개인정보 유출
Crypto Currency
Summaries
- 코인하이브(Coinhive)가 해킹당했다. 정체가 알려지지 않은 해커에 의해 해킹당한 코인하이브는, 방문하는 사람들의 CPU를 동원해 모네로(Monero) 암호화폐를 채굴했다. 이 해커는 코인하이브의 CloudFlare 계정을 가로채 DNS 서버를 변경했고, 코인하이브의 공식 Javascript 코드를 조작한 버젼으로 교체해 수천개의 웹사이트를 채굴하는데 동원했다. 해커는 2014년 Kickstarter 데이터 유출건에서의 비밀번호를 찾아내 코인하이브의 CloudFlare 계정에 접근한 것으로 보인다.
- 푸틴이 2018년 암호화폐 채굴업자들을 정부에 등록제로 운영할 것이라는 계획을 밝혔다.
Detailed News List
- CoinHive
- [theHackerNews] 코인하이브의 DNS를 가로채 수천의 웹사이트가 암호화폐를 채굴하게 만든 해커
Hacker Hijacks CoinHive’s DNS to Mine Cryptocurrency Using Thousands of Websites
- [theHackerNews] 코인하이브의 DNS를 가로채 수천의 웹사이트가 암호화폐를 채굴하게 만든 해커
- Putin
- [MotherBoard] 푸틴, 2018년에 암호화폐 채굴업자 정부에 등록하도록 한다
Putin Will Require Cryptocurrency Miners to Register With the Government in 2018
- [MotherBoard] 푸틴, 2018년에 암호화폐 채굴업자 정부에 등록하도록 한다
Malware/Exploit/Vulnerability
Summaries
- PRNG(Pseudo-Random Number Generator)에서 고정된 시드값을 사용하면서, 암호화 키 값을 추측할 수 있게 되는 DUHK(Don’t Use Hard-coded Keys) 공격에 대한 기사도 이어지고 있다.
- 마이크로소프트의 어플리케이션간에 데이터 공유를 가능하게 해주는 동적 데이터 교환 프로토콜(DDE Protocol, Dynamic Data Exchange Protocol)을 악용하는 공격에 대해서도 기사가 이어지고 있다. 익스플로잇이 이 DDE기능을 어떤 오피스 어플리케이션에서든 사용할 수 있으며, 매크로를 사용하지 않고 RATs(Remote access trojans)를 배포에 사용할 수 있다.
- BadRabbit 랜섬웨어에 대한 기술 분석 보고서
Detailed News List
- DUHK Attack
- [ITNews] DUHK 공격, 포티넷 장비에서 비밀키를 알아낼 수 있게 한다
DUHK attack recovers secret keys from Fortinet devices - [SANS ICS InfoSec Forums] DUHK 공격
DUHK attack, continuing a week of named issues
- [ITNews] DUHK 공격, 포티넷 장비에서 비밀키를 알아낼 수 있게 한다
- DDE Protocol
- [TechRepublic] 거의 탐지불가능한 마이크로소프트 오피스 익스플로잇
Nearly undetectable Microsoft Office exploit installs malware without an email attachment
- [TechRepublic] 거의 탐지불가능한 마이크로소프트 오피스 익스플로잇
- BadRabbit
- [EndGame] 기술 분석 보고서
BadRabbit Technical Analysis
- [EndGame] 기술 분석 보고서
Legislation/Politics/Policy/Regulation/Law Enforcement
Summaries
- 32세의 Emilio Herrera가 2014년 유명인사들의 iCloud와 Gmail 계정 비밀번호를 피싱으로 가로채 누드 사진을 훔친 것에 대하여 자신의 죄를 시인했다. Herrera가 유죄협상에 동의한 것은 한 건 이지만, 그는 다수 건에 대한 혐의를 받고 있다. FBI는 Herrera의 아이피가 iCloud 계정 572개에 접근했다고 주장하고 있다.
Detailed News List
- 누드사진 해킹
- [NakedSecurity] 유명인사 누드사진 해킹에 대하여 유죄협상에 사인했다
Creep signs plea deal for celebrity nudes hack
- [NakedSecurity] 유명인사 누드사진 해킹에 대하여 유죄협상에 사인했다
Internet of Things
Summaries
- 미라이(Mirai)를 능가할 것으로 보이는 봇넷 Reaper(IOTroop)이 계속 확산중이다. 보안 연구자들에게 탐지된지 약 한달 조금 넘은 봇넷인 Reaper가 약 200만의 웹캠, 보안 카메라, 디지털 비디오 레코더 등의 인터넷에 접속된 IoT 장비들을 감염시킨 것으로 보이며, 최근 탐지된 봇넷들 중에서 가장 큰 규모인 것으로 보인다. 규모면에서 Mirai를 훨씬 능가하여 전체 인터넷을 무너뜨릴 수 있을 것이라는 예측에 계속적인 뉴스들이 생산중이다. 봇넷의 확산에 이어, 한단계 더 나아가 full-scale의 DDoS 공격을 준비중인 것으로 보인다.
Detailed News List
- Reaper botnet
- [ZDNet] 수백만 장비들을 몰래 감염시킨 Reaper, Mirai보다 더 악성일 것
After quietly infecting a million devices, Reaper botnet set to be worse than Mirai - [eSentire] Reaper IoT 봇넷
Reaper IoT Botnet - [ThreatPost] 해커들 IOTroop 봇넷에 익스플로잇 준비중
HACKERS PREPPING IOTROOP BOTNET WITH EXPLOITS
- [ZDNet] 수백만 장비들을 몰래 감염시킨 Reaper, Mirai보다 더 악성일 것
Industrial/Infrastructure/Physical System/HVAC
Summaries
- –
Detailed News List
- –
Technology/Technical Document/Report
Summaries
- –
Detailed News List
- –
Social Engineering
Summaries
- –
Detailed News List
- –