Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] BankBot

Security Newsletters, 2017 Dec 14th, 미라이 봇넷 운영자 구속 外

Posted on 2017-12-14 - 2017-12-14 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Malwares

Summaries

  • 비밀번호를 훔치는 앱이 구글 플레이(Google Play) 스토어에서 수백만건이 다운로드 된 것이 밝혀졌다. 구글이 버그 바운티 프로그램(Bug Bounty Program)과 기타 여러 노력으로 악성 앱 등록을 막고 있지만, 수백만 다운로드를 자랑하는 앱이 비밀번호를 훔치는 사실이 발견되었다. 이번에는 보안연구가들이 구글 플레이 스토어에 등록되어 있는, 수백만건이 다운로드 된 최소 85개의 응용프로그램들이 러시아 기반의 SNS 서비스인 VK.com의 사용자 인증정보(credentials)를 훔친다는 것을 발견했다.
  • 96시간의 데드라인을 지정해농은 새로운 스파이더(Spider) 랜섬웨어가 발견되었다. 스파이더라 이름붇은 이 랜섬웨어는 발칸(Balkans)에 위치한 피해자들을 공격 대상으로 삼는다. 스파이더 랜섬웨어는 96시간의 지불 기한을 준다. 그리고 공격자들은 피해자들에게 몸값 지불과 파일 복구과정이 매우 쉽다고 안심시키는 모습을 보인다. 한발 더 나아가, 그 과정이 어떻게 진행되는지에 대한 동영상까지 제공한다.
  • 폴란드의 은행을 노리는 안드로이드 악성코드가 또 구글 플레이(Google Play)에서 발견되었다. 이 악성코드들은 구글 플레이에 “Crypto Monitor”와 같은 암호화폐 가격을 추척해주는 앱이나, “StorySaver”라는 인스타그램 내용을 다운로드 해주는 정상적인 앱으로 위장하여 등록되었다. 이 악성 앱들은 가짜 알림(fake notifications)을 화면에 표시할 수 있고, 정상 은행 어플리케이션에로 온 것으로 보이는 로그인 폼을 보여줄 수 있다. 악성 앱들은 이 폼에 입력된 인증정보를 수집하고, SMS기반의 2팩터 인증(2-factor authentication)을 우회하기 위해 문자메시지도 가로챈다. (12일에서 이어짐)

Detailed News List

  • Password Stealing Apps
    • [TheHackerNews]
      Password Stealing Apps With Over A Million Downloads Found On Google Play Store
  • Spider Ransomware
    • [InfoSecurityMagazine]
      Spider Spins a Ransomware Web
    • [SecurityWeek]
      New Spider Ransomware Emerges
  • BankBot
    • [SecurityAffairs]
      A banking Trojan targeting the Polish banks was found in Google Play

 

Exploits/Vulnerabilities

Summaries

  • 팔로 알토 네트웍스(Palo Alto Networks)의 보안 플랫폼에서 치명적인 보안 취약점이 발견되었다. 이 취약점은 관리 인터페이스(management interface)의 여러 취약점들의 조합으로, 원격으로 인증되지 않은 공격자가 방화벽에서 임의의 코드를 실행할 수 있다. PAN-OS 6.1.18, 7.0.18, 7.1.13, 8.0.5와 이전 버젼들이 영향을 받으며, 이 취약점의 번호는 CVE-2017-15944다. 또 다른 취약점은 CVE-2017-15940으로, 인증받은 공격자가 임의의 명령을 주입(inject)할 수 있다.
  • AT&T의 DirecTV 서비스가 해킹에 취약다하는 기사가 나왔다. 쉽게 공격받을 수 있는 보안 취약점이 DirecTV에 포함된 무선 비디오 브릿지에서 발견되었다. 이 무선 비디오 브릿지는 노트북이나 타블렛, 스마트폰을 지니(Genie) 디지털 비디오 레코더에 연결할 수 있게 해주는 장치다. 링크시스(Linksys)에서 제작한 이 무선 비디오 브릿지는 로그인 페이지로 보호되어있지 않아, 장치에 접근할 수 있는 사람이면 누구나 장치에 대한 민감 정보를 얻을 수 있다. 취약점을 발견한 트렌드 마이크로(Trend Micro)의 Ricky Lawshae에 따르면, 이 장비는 브릿지에 대한 진단 데이터(diagnostic data) 및 접속한 클라이언트, 실행중인 프로세스, WiFi 설정 비밀번호(WiFi Protected Setup passcode) 등을 내보이고 있다.
  • 19년 된 RSA의 TLS 암호 공격이 Facebook, PayPal과 같은 100개 상위 도메인 중 27개에 영향을 미쳤다. TLS 네트워크 보안 프로토콜에 존재하는 19년된 취약점이 최소 8개의 IT 제조사들의 소프트웨어 및 오픈소스 프로젝트에서 발견되었다. 이 취약점은 공격자가 암호화된 통신을 복호화 할 수 있게 해준다. Hanno Böck, Juraj Somorovsky of Ruhr-Universität Bochum/Hackmanit, and Craig Young of Tripwire VERT에 의해 RSA PKCS #1 v1.5 암호화에서 발견된 이 취약점은, 상위 100개 웹 도메인 중 27개에 영향을 미치며 여기에는 페이스북, 페이팔 등도 포함된다. 이 취약점은 TLS에만 국한되는 것이 아니라고 연구가들은 이야기했다. 동일한 문제가 XML 암호화, PKCS#11 인터페이스, 자바스크립트 오브젝트 사인 및 암호화(Javascript Object Signing and Encryption, JOSE), Cryptographic Message Syntax/ S/MIME에도 존재한다고 말했다. 이 취약점은 연구가들에 의해 ROBOT이라 명명되었다. Return Of Bleichenbacher’s Oracle Threat을 의미한다. (13일에서 이어짐)
  • 구글의 연구자가 iOS 11 탈옥(Jailbreak) 익스플로잇을 공개했다. 구글의 프로젝트 제로(Project Zero) 연구자 Ian Beer가 첫번째 iOS 11 탈옥으로 이어질 수 있는 개념증명(Proof-of-Concept) 익스플로잇을 공개했다. Ian Beer가 사용한 iOS 취약점은 CVE-2017-13865와 CVE-2017-13861이다. CVE-2017-13865는 커널 취약점으로 응용프로그램이 제한된 메모리를 읽을 수 있게 만든다. CVE-2017-13861은 IOSurface의 취약점으로, 커널 권한으로 임의의 코드를 실행할 수 있게 해준다. 이 두가지 보안 취약점은 애플에 의해 iOS 11.2 버젼이 릴리즈되면서 12월 초에 패치되었다. (13일에서 이어짐)
  • 하이브리드 오피스 365(Hybrid Office 365 Deployments)에서 숨겨진 관리자 계정이 발견되었다. Preempt Security에서 자동으로 생성되는 숨겨진 관리자 계정을 hybrid on-premise Azure Microsoft Office 365(O365)에서 찾아냈다. (13일에서 이어짐)
  • 30개 이상의 유명 이메일 클라이언트에 영향을 미치는 Email 스푸핑 취약점이 발견되었다. 다른 사람이 보낸 메일인 것처럼 위장할 수 있는 취약점이 발견되었다. MailSploit이라는 이름이 붙은 이 취약점은 Apple Mail(macOS, iOS, watchOS), Mozilla Thunderbird, Microsoft email clients, Yahoo Mail, ProtonMail 및 기타 메일클라이언트들에 영향을 미친다. 이 클라이언트들에 DKIM이나 DMARC와 같은 스푸핑 방지 메커니즘이 구현되어 있지만, MailSploit은 이메일 클라이언트와 웹 인터페이스가 From 헤더를 파싱하는 것을 이용한다. (6일에서 이어짐)

Detailed News List

  • Flaws in Palo Alto Networks Security Platform
    • [SecurityWeek]
      Critical Flaws Found in Palo Alto Networks Security Platform
  • A Security Hole in DirecTV
    • [ZDNet]
      Security researcher says DirecTV hardware can be easily hacked
    • [Forbes]
      A Huge Security Hole In ATT DirecTV Gives Hackers An Easy Route To Spy On Your Home
    • [CyberScoop]
      Researchers find zero-day exploit discovered on DirecTV hardware
  • ROBOT Attack
    • [ThreatPost]
      19-Year-Old TLS Vulnerability Weakens Modern Website Crypto
    • [SecurityAffairs]
      ROBOT Attack: RSA TLS crypto attack worked against Facebook, PayPal, and tens of 100 top domains
    • [US-CERT]
      Transport Layer Security (TLS) Vulnerability
    • [InformationSecurityBuzz]
      VERT Threat Alert: Return Of Bleichenbacher’s Oracle Threat (ROBOT)
    • [SecurityWeek]
      Old Crypto Vulnerability Hits Major Tech Firms
    • [ZDNet]
      ROBOT exploit from 1998 resurrected, leaves top websites’ crypto vulnerable
  • iOS Jailbreak
    • [EHackingNews]
      iOS exploit could allow hackers to jailbreak iPhones
  • Office 365 with Azure AD Connect
    • [HelpNetSecurity]
      Flaw in Office 365 with Azure AD Connect could result in domain compromise
  • MailSploit
    • [EHackingNews]
      Mailsploit: Email that permits sender spoofing

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • Mirai 봇넷을 운영한 혐의로 세명의 해커가 유죄를 인정했다. 이 세명은 수많은 인터넷에 연결된 장치들을 감염시켜 만든 미라이 봇넷(Mirai Botnet)을 생성, 운영, 판매한 것에 대하여 유죄를 인정했다. 이 봇넷은 작년에 호스팅 회사, 소셜미디어 플랫폼, 기타 온라인 기업들에 대하여 수많은 분산서비스거부(DDoS, Distributed Denial of Service) 공격을 실행했다.
  • 화요일에 필리핀 은행이 방글라데시의 중앙은행이 작년의 8,100만 달러의 사이버 절도를 덮어씌우려 한다고 비난했다. 작년 2월에 은행들간의 SWIFT 네트워크 해킹으로, 신원이 확인되지 않은 해커가 8100만 달러를 뉴욕에 위치한 연방준비제도이사회(US Federal Reserve in New York)의 방글라데시 중앙 은행(Bangladesh central bank)의 계정으로부터 리잘상업은행(Rizal Commercial Banking Corp, RCBC) 마닐라 지점으로 옮겼다. 이 돈은 빠르게 인출되었고 마닐라 카지노를 통해 세탁되었다. 도둑맞은 돈 중 오직 일부만이 복구되었다.
  • 싱가폴(Singapore)의 국방부(MINDEF, Ministry of Defence)가 전세계 300명의 화이트 햇 해커를 초대해 2주간의 버그 바운티 프로그램(bug bounty program)을 자신들의 인터넷에 연결된 시스템을 대상으로 진행한다. 이 버그바운티 프로그램은 2018년 1월 15일에서 2월 4일로 계획되어 있으며, HackerOne 플햇폼 기반으로 진행한다. 보상은 110 USD 에서 15,000 USD 사이가 될 것으로 보인다. 그리고 전체 보상금은 버그 리포트의 수준과 갯수에 따라 달라질 것으로 보인다.
  • Dridex 악성코드를 사용해 수백만 달러를 훔친 범인을 도운 혐으로 한 남성이 감옥에 가게되었다. 2017년 12월 12일 화요일, 바클레이즈(Barclays)은행에서 일하던 29세의  Jinal Pethad가 두명의 몰도바인(Moldovan) 사이버 범죄자들의 3백만 달러(£2.5 million) 이상의 자금을 그가 일했던 Barclays Ealing 런던 지점에서 돈세탁하는 것을 도운 죄로 6년 4개월 형에 처해졌다. 두명의 사이버 범죄자는 Ion Turcan과 Pavel Gincota로 밝혀졌으며, Dridex 뱅킹 악성코드를 사용한 것과 Pethad에게 도움을 댓가로 보수를 지불한 점으로 각각 5년 8개월과 7년형에 처해졌다.
  • 그리스 법원이 러시아 비트코인 용의자의 미국으로의 범죄인 인도를 명령했다. 그리스 대법원이 수요일에 4십억 달러를 비트코인 디지털 암호화폐를 사용해 돈세탁한 혐의를 받고잇는 러시아인을 미국으로 인도하라는 명령을 내렸다. 이제 Alexander Vinnik을 인도할지 여부에 관해 그리스의 법무부 장관의 최종 결정만이 남았다. Alexander Vinnik은 7월에 미국 법원으로부터, 신원 도용(identity theft)부터 돈세탁을 위한 마약 밀수(drug trafficking to money laundering)까지 21가지 죄목으로 기소당했다.

Detailed News List

  • Mirai Botnet Co-Authors Plead Guilty
    • [SecurityWeek]
      Three Plead Guilty in Mirai Botnet Attacks
    • [HackRead]
      Hackers behind Mirai botnet & DYN DDoS attacks plead guilty
    • [CyberScoop]
      Three men plead guilty for roles in Mirai botnet empire, court documents show
    • [TheHackerNews]
      Two Hackers Plead Guilty to Creating IoT-based Mirai DDoS Botnet
    • [KrebsOnSecurity]
      Mirai IoT Botnet Co-Authors Plead Guilty
    • [ZDNet]
      Mirai botnet attackers plead guilty for roles in 2016 internet cyberattack
  • Philippine Bank Accuses Bangladesh
    • [SecurityWeek]
      Philippine Bank Accuses Bangladesh of Heist ‘Cover-Up’
  • Singapore Bug Bounty Program
    • [SecurityWeek]
      Singapore Ministry of Defence Announces Bug Bounty Program
    • [ZDNet]
      Singapore defence ministry invites hackers to breach its systems
  • Barclays Bank & Dridex Money Launderers
    • [HackRead]
      Banker jailed for helping criminals who stole millions using Dridex malware
    • [TheRegister]
      Barclays bank bod in the cooler for aiding Dridex money launderers
  • Extradition
    • [SecurityWeek]
      Greek Court Orders Extradition of Russian Bitcoin Suspect to US

 

Vulnerability Patches/Software Updates

Summaries

  • 애플(Apple)이 AirPort Base Station의 취약점들을 수정하는 보안 업데이트를 릴리즈했다.
  • 마이크로소프트(Microsoft)가 Patch Tuesday에 공개한 패치에서 30개 이상의 취약점을 수정했다. 여기에는 인터넷 익스플로러(Internet Explorer)와 엣지(Edge) 브라우저에 영향을 미치는 19개의 취약점 패치가 포함되었다.
  • 어도비가 플래시 플레이어에 영향을 미치는 취약점 하나(CVE-2017-11305)를 수정하는 패치를 릴리즈했다.

Detailed News List

  • Apple
    • [SecurityWeek]
      Apple Patches KRACK Flaws in AirPort Base Station
    • [NakedSecurity]
      Apple plugs IoT HomeKit hole
  • Microsoft Patch Tuesday
    • [TheRegister]
      Put down the eggnog, it’s Patch Tuesday: Fix Windows boxes ASAP
    • [InfoSecurityMagazine]
      Microsoft Releases a Light Dusting of Patches for December
    • [SecurityAffairs]
      December Microsoft Patch Tuesday addresses 19 Critical browser issues
  • Adobe Flash
    • [ZDNet]
      Adobe patches Business Logic error in Flash
    • [SecurityAffairs]
      Adobe Patch Tuesday only addressed a moderate severity regression issue affecting Flash Player

 

Privacy

Summaries

  • 넷플릭스(Netflix)가 자사의 사용자들을 추적하고 있었다는 사실이 트위터를 통해 드러났다. 넷플릭스는 트위터 메시지를 통해 “A Christmas Prince를 지난 18일동안 지속적으로 시청한 53명에게(To the 53 people who’ve watched A Christmas Prince every day for the past 18 days: Who hurt you?)” 라는 메시지를 등록한 바 있다. 넷플릭스는 시청자들의 페이지뷰와 같은 메타데이터(metadata)를 유명 뉴스 웹사이드틀 처럼 분석하고 있는것이 맞다고 그 사실을 인정했다.

Detailed News List

  • Netflix
    • [NakedSecurity]
      Netflix sparks privacy row after making fun of users of Twitter

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 호주 퍼스(Perth)의 공항이 베트남 해커에 의해 해킹당해 보안 데이터가 도난당했다. 31세의 베트남 해커 Le Duc Hoang Hai가 Perth 공항의 컴퓨터 시스템에 침입해, 건물과 보안 인프라에 관련된 고도의 민감정보를 훔쳤다. 이 사건은 2016년 3월에 Hai가 공항 시스템에 접근할 수 있는 제3 하청업체(third-party contractor)의 로그인 인증정보(Login credentials)를 취득하며 일어났다. West Australian 리포트에 따르면, Hai는 건물 구조 및 공항 건물의 물리 보안 상세정보가 포함된 대량의 데이터를 훔쳤다. 그러나 이 해커는 공항의 레이더 시스템에는 접근할 수 없었고 항공기 운영도 영향을 받지 않았다. 호주 및 베트남 당국은 합동 수사를 진행하여 해커를 체포했다. Hai는 은행, 온라인 군사 뉴스, 금융 영역을 포함하는 베트남의 주요 사회기반시설(critical cyber infrastructure) 또한 공격대상으로 삼은 것으로 드러났다. Hai는 Perth 공항의 네트워크에 대한 해킹과 데이터 절도로 4년의 징역형에 처해졌다.

Detailed News List

  • Australian Airport
    • [SecurityBoulevard]
      Australian airport hack was “a near miss” says government’s cybersecurity expert
    • [GrahamCluley]
      Australian airport hack was ‘a near miss’ says government’s cybersecurity expert

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 돈을 내놓지 않으면 살해하겠다는 일명 살인청부(hitmen) 이메일 사기가 벌어지고 있다. Spiceworks의 Dave Lass가 NakedSecurity에 제보한 내용에 따르면, 이 이메일에는 자신이 메일 수신자에 대한 살해 명령을 받았으며 수신자를 관찰해 왔다고 적혀있다. 그러나 0.5 비트코인을 지불하면 살해하지 않겠다는 메시지와 함께 비트코인 지갑 주소가 적혀있고 몸값을 지불하면 살해를 의뢰한 의뢰인 정보와 증거들을 넘기겠다고 말하고 있다.

Detailed News List

  • Pay or Die
    • [TripWire]
      New Ransom-Based Email Scam Urges Recipients to Pay Up or Die

 

Crypto Currencies/Crypto Mining

Summaries

  • 수많은 유명 비디오 스트리밍 및 립핑 서비스가 방문자 몰래 그들의 컴퓨터 파워를 동원해 암호화폐 채굴 작전을 벌이고 있는 것으로 드러났다. 수요일에 AdGuard의 연구자들은 모네로와 같은 암호화폐를 위한 비밀 채굴작업이 점점 더 일반적이 되어가며, 대량의 트래픽를 가진 웹사이트들이 이러한 유행에 동참하려 한다고 말했다. 수십억의 방문자들이 최근 몇 달 동안에 인지하지 못한 채 이러한 작전에 영향을 받았을 수 있다.
  • 매장내(In-store) 와이파이인터넷 업체(Provider)가 스타벅스 웹사이트를 이용해 모네로(Monero) 암호화폐 코인을 채굴하려 했다는 주장이 나왔다. 12월 2일에 트위터 사용자 Noah Dinkin은 거대 커피체인인 스타벅스의 아르헨티나 리워드 사이트가 모네로(Monero) 암호화폐를 채굴하기 위한 코인하이브(CoinHive) 스크립트를 사용하는 것을 공개했다. Dinkin은 이 사건의 배후에 있는 범인이 스타벅스의 매장내 WiFi 제공업체일 수 있다고 말했다. 그러나, 지난 몇 달 동안 사이버 범죄자들은 웹사이트들을 해킹해 몰래 코인하이브의 스크립트들을 삽입해왔다. 며칠 전에는 보안연구가들이 5,000개 이상의 사이트들이 코인하이브 코드를 삽입하는 해킹을 당했다는 사실을 밝혀내기도 했다. (11일에서 이어짐)

Detailed News List

  • Free Movie but mining
    • [ZDNet]
      Almost one billion video stream users exposed to secret cryptocurrency mining
    • [CSOOnline]
      Popular streaming sites secretly mine cryptocurrency while you watch free movies
    • [TheRegister]
      Up to ‘ONE BEEELLION’ vid-stream gawpers toil in crypto-coin mines
  • Starbucks WiFi
    • [BBC]
      Starbucks Wi-Fi Makes Computers Mine Cryptocurrency

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • Sophos에서 다섯가지 랜섬웨어 서비스(Ransomware as a Service)에 대한 조사결과 블로그 포스트를 공개했다. 여기서 다룽는 랜섬웨어는 각각 Philadelphia, Stampado, Frozr Locker, Satan, RaasBerry다.

Detailed News List

  • Ransomware as a Service(RaaS)
    • [NakedSecurity]
      5 ransomware as a service (RaaS) kits – SophosLabs investigates

 

Posted in Security, Security NewsTagged BankBot, Bug Bounty Program, Crypto Currency, Cryptocurrency Mining, CVE-2017-15940, CVE-2017-15944, Dridex, Drive-by Cryptocurrency Mining, Frozr Locker, Industrial Control System, Jailbreak, MailSploit, Malware, Mirai, Patches, Philadelphia Ransomware, Privacy, RaasBerry Ransomware, ROBOT attack, Satan Ransomware, Scam, Spider Ransomware, Stampado Ransomware, SWIFT, VulnerabilityLeave a comment

Security Newsletters, 2017 Dec 13th, RSA 로봇 ROBOT 공격 外

Posted on 2017-12-13 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 패치워크(Patchwork) 사이버 스파이 그룹이 새로운 배포방식과 최근 패치된 취약점들의 익스플로잇 방법을 사용하고 있는 것이 확인되었다. Dropping Elephant 또는 Chinastrats라고도 알려진 이 그룹은 2014년부터 활동해왔다. 초기에는 동남 아시아 및 남 중국해와 연관되어 있는 정부와 관련된 기관들을 목표로 했다. 트렌드 마이크로에서 공개한 패치워크의 최근 작전들에 대한 리포트에서, 이 그룹이 공격대상 목록에 기업들을 추가하고 다양한 감염 벡터(infection vectors)와 페이로드(payloads)를 추가 한 것으로 나타났다.
  • 머니테이커(MoneyTaker) 해킹그룹이 미 은행들로부터 수백만 달러를 훔친 것으로 드러났다. Group-IB에 따르면, 이 해킹그룹이 라틴 아메리카의 은행들을 다음 공격 대상으로 노리고 있다. 러시아어를 사용하는 해킹그룹인 MoneyTaker가 미국내 20개 이상의 은행들에서 2016년 5월 부터 수백만 달러를 훔쳤으며, 라틴 아메키라의 금융 기관들에 대한 공격태세를 취하고 있다고 모스크바 기반의 Group-IB가 경고했다. 이들에 따르면, MoneyTaker라 불리는 이 해킹그룹의 작업방식(modus operandi)은 공격대상 은행의 네트워크로 침입해 들어가 ATM 인출 사기(fraudulent ATM withdrawals)를 위해 카드 처리 시스템(card processing systems)을 조작한다. 이 해킹그룹의 피해기관에는 캘리포니아, 일리노이, 플로리다를 포함한 10개 주의 은행들이다. 이 은행들은 이 공격들로 평균 50만 달러의 피해를 입었다. (12일에서 이어짐)
  • Necurs 봇넷(botnet)이 다시 상위 10위 목록안에 들었다. 체크포인트(Check Point)의 최근 리포트에 따르면, Necurs 봇넷이 미국의 추수감사절(Thanksgiving holiday) 이후로 사이버범죄자들이 새로운 랜섬웨어를 배포하는데 사용하면서 그 세력이 증가했다. 추수감사절을 지나면서, 해커들이 세계에서 가장 큰 스팸 봇넷으로 추정되는 Necurs를 새로운 Scarab 랜섬웨어를 배포하는데 사용하는 것이 확인되었다. Necurs 봇넷은 이 휴일 아침에만 1,200만 건의 이메일을 보내면서 Scarab 랜섬웨어의 대량 살포를 시작했다. (12일에서 이어짐)

Detailed News list

  • Patchwork Cyberspies
    • [SecurityWeek]
      Patchwork Cyberspies Adopt New Exploit Techniques
    • [TrendMicro]
      Untangling the Patchwork Cyber Espionage Group (PDF)
  • MoneyTaker Group
    • [CyberScoop]
      Meet Money Taker, the latest hacking group tied to Russian cybercrime
    • [EHackingNews]
      Hacking group steals £7.5m from US, UK, Russian banks
    • [InsuranceJournal]
      Russian-Speaking Hackers Steal $10M from US, Russia Banks: Cyber Security Firm
    • [HackRead]
      Sophisticated ‘MoneyTaker’ group stole millions from Russian & US banks
    • [ZDNet]
      MoneyTaker hacking group steals millions from US, UK, Russian banks
    • [InfoSecurityMagazine]
      MoneyTaker Group Stole $10m from US and Russian Banks
  • Necurs botnet
    • [HelpNetSecurity]
      Return of Necurs botnet brings new ransomware threat

 

Malwares

Summaries

  • Golduck 악성코드가 고전 안드로이드 게임들을 감염시키고 있다. 구글 플레이에 등록된 여러 고전게임들이 몰래 악성 APK 파일을 다운로드 받아 안드로이드 장치에 설치하고 있다. 이 악성코드는 Java reflection이라는 기법을 사용해 Golduck 서버로부터 다운로드되에 장치에 설치된다. 이 악성코드는 쉘 명령어를 실행하거나 SMS 메시지를 발송하기도 한다. 보안연구가들에 따르면, Golduck 악성코드는 root를 사용가능 할 경우, 공격자가 감염된 장치를 완전히 장악하도록 만든다.
  • 96시간의 데드라인을 지정해농은 새로운 스파이더(Spider) 랜섬웨어가 발견되었다. 스파이더라 이름붇은 이 랜섬웨어는 발칸(Balkans)에 위치한 피해자들을 공격 대상으로 삼는다. 스파이더 랜섬웨어는 96시간의 지불 기한을 준다. 그리고 공격자들은 피해자들에게 몸값 지불과 파일 복구과정이 매우 쉽다고 안심시키는 모습을 보인다. 한발 더 나아가, 그 과정이 어떻게 진행되는지에 대한 동영상까지 제공한다.
  • MacOS 백도어인 OceanLotus가 유니코드 트릭을 사용하는 것이 발견되었다. Malwarebytes의 연구자들이 OceanLotus 백도어가 탐지회피에 기발한 기법들을 사용하고 있다고 경고했다. 영어 알파벳처럼 보이는 유니코드를 사용해 사용자들이 악성 웹사이트에 접근하도록 하는 것은 몇년전 등장한 방법이다. 이번에는 사이버 범죄자들이 비슷한 방식으로 애플 컴퓨터를 속이는 방법을 발견해냈다.
    • (9일자 기사 모음 중) 11월 30일에 애플이 조용히 macOS XProtect 악성코드 방지 시스템에 OSX.HiddenLotus.A.라 불리는 것에 대한 시그니처를 추가한 일이 있었다. 히든로터스(HiddenLotus)가 무엇인가에 대해서는 의문으로 남았으나, 같은날 Arnaud Abbati가 샘플을 찾아서 트위터에서 공유하며 정체가 밝혀졌다. 히든로터스는 드로퍼(dropper)로 Lê Thu Hà (HAEDC).pdf라는 파일이름을 사용했다. 이 파일은 이전에 문서파일 형태로 위장한 악성코드들 처럼 특별할 것 없어 보이지만, 실제로는 pdf 확장자를 사용한다. 하지만 인식되기로는 응용프로그램으로 인식되는데, 여기에는 pdf의 d 문자가 영어 알파벳 d가 아닌 로마 숫자 500을 의미하는 D의 소문자를 사용했다.
  • 폴란드의 은행을 노리는 안드로이드 악성코드가 또 구글 플레이(Google Play)에서 발견되었다. 이 악성코드들은 구글 플레이에 “Crypto Monitor”와 같은 암호화폐 가격을 추척해주는 앱이나, “StorySaver”라는 인스타그램 내용을 다운로드 해주는 정상적인 앱으로 위장하여 등록되었다. 이 악성 앱들은 가짜 알림(fake notifications)을 화면에 표시할 수 있고, 정상 은행 어플리케이션에로 온 것으로 보이는 로그인 폼을 보여줄 수 있다. 악성 앱들은 이 폼에 입력된 인증정보를 수집하고, SMS기반의 2팩터 인증(2-factor authentication)을 우회하기 위해 문자메시지도 가로챈다. (12일에서 이어짐)

Detailed News List

  • Golduck Malware
    • [SecurityWeek]
      Golduck Malware Infects Classic Android Games
  • Spider Ransomware
    • [ThreatPost]
      New Spider Ransomware Comes With 96-Hour Deadline
    • [ZDNet]
      New Spider ransomware threatens to delete your files if you don’t pay within 96 hours
  • OceanLotus & HiddenLotus
    • [SecurityAffairs]
      The OceanLotus MacOS Backdoor Transforms into HiddenLotus with a Slick UNICODE Trick
  • BankBot targets Polish Banks
    • [InfoSecIsland]
      BankBot Targets Polish Banks via Google Play

 

Exploits/Vulnerabilities

Summaries

  • 하이브리드 오피스 365(Hybrid Office 365 Deployments)에서 숨겨진 관리자 계정이 발견되었다. Preempt Security에서 자동으로 생성되는 숨겨진 관리자 계정을 hybrid on-premise Azure Microsoft Office 365(O365)에서 찾아냈다.
  • 보안연구가 Ian Carroll이 EV인증서(Extended Validation certificates)가 얼마나 속이기 쉬운지를 공개했다. 이 인증서는 사용자가 정상 사이트에 방문중이라는 것을 확인하기 위해, HTTPS 웹사이트의 소유권을 확인해주기 위한 용도다. 크롬이나 파이어폭스 등의 브라우저는 회사명과 함께 초록색 주소창을 보여준다. 문제는, 다른 회사와 동일한 이름으로 인증서를 발급받을 수 있다는 것이다. 보안연구가 Carroll은 켄터키에 Stripe, Inc라는 회사를 설립하고, 델라웨어에 위치한 수백만 달러짜리 결제 서비스 회사인 Stripe, Inc와 동일한 이름으로 인증서를 발급받았다.
  • 19년 된 RSA의 TLS 암호 공격이 Facebook, PayPal과 같은 100개 상위 도메인 중 27개에 영향을 미쳤다. TLS 네트워크 보안 프로토콜에 존재하는 19년된 취약점이 최소 8개의 IT 제조사들의 소프트웨어 및 오픈소스 프로젝트에서 발견되었다. 이 취약점은 공격자가 암호화된 통신을 복호화 할 수 있게 해준다. Hanno Böck, Juraj Somorovsky of Ruhr-Universität Bochum/Hackmanit, and Craig Young of Tripwire VERT에 의해 RSA PKCS #1 v1.5 암호화에서 발견된 이 취약점은, 상위 100개 웹 도메인 중 27개에 영향을 미치며 여기에는 페이스북, 페이팔 등도 포함된다. 이 취약점은 TLS에만 국한되는 것이 아니라고 연구가들은 이야기했다. 동일한 문제가 XML 암호화, PKCS#11 인터페이스, 자바스크립트 오브젝트 사인 및 암호화(Javascript Object Signing and Encryption, JOSE), Cryptographic Message Syntax/ S/MIME에도 존재한다고 말했다. 이 취약점은 연구가들에 의해 ROBOT이라 명명되었다. Return Of Bleichenbacher’s Oracle Threat을 의미한다.
  • 구글의 연구자가 iOS 11 탈옥(Jailbreak) 익스플로잇을 공개했다. 구글의 프로젝트 제로(Project Zero) 연구자 Ian Beer가 첫번째 iOS 11 탈옥으로 이어질 수 있는 개념증명(Proof-of-Concept) 익스플로잇을 공개했다. Ian Beer가 사용한 iOS 취약점은 CVE-2017-13865와 CVE-2017-13861이다. CVE-2017-13865는 커널 취약점으로 응용프로그램이 제한된 메모리를 읽을 수 있게 만든다. CVE-2017-13861은 IOSurface의 취약점으로, 커널 권한으로 임의의 코드를 실행할 수 있게 해준다. 이 두가지 보안 취약점은 애플에 의해 iOS 11.2 버젼이 릴리즈되면서 12월 초에 패치되었다.

Detailed News List

  • Stealthy Admin Accounts in Hybrid Office 365
    • [SecurityWeek]
      Stealthy Admin Accounts Found in Hybrid Office 365 Deployments
    • [DarkReading]
      Microsoft Azure AD Connect Flaw Elevates Employee Privilege
  • fake Extended Validation certificates
    • [CyberScoop]
      It’s easy to fake Extended Validation certificates, research shows
  • 19-year-old ROBOT vulnerability (Return Of Bleichenbacher’s Oracle Threat)
    • [TheRegister]
      I, Robot? Aiiiee, ROBOT! RSA TLS crypto attack pwns Facebook, PayPal, 27 of 100 top domains
    • [CyberScoop]
      Facebook patches security flaw based on 19-year-old bug; other sites may still be vulnerable
    • [Forbes]
      ‘ROBOT Attack’ Hacked Facebook With 19-Year-Old Bug — Massive Websites Still Vulnerable 
    • [TheHackerNews]
      ROBOT Attack: 19-Year-Old Bleichenbacher Attack On Encrypted Web Reintroduced
  • Google Researcher Releases iOS 11 Jailbreak Exploit
    • [HackersOnlineClub]
      Google Releases Apple iOS Jailbreak Exploit
    • [NakedSecurity]
      iOS jailbreak exploit published by Google
    • [MotherBoard]
      Google Releases Tool To Help iPhone Hackers
    • [ZDNet]
      Google Project Zero ‘tpf0’ exploit whets appetite for iOS 11 jailbreak
    • [SecurityAffairs]
      Google Project Zero white hacker reveals Apple jailbreak exploit
    • [SecurityWeek]
      Google Researcher Releases iOS 11 Jailbreak Exploit
    • [TheHackerNews]
      Google Researcher Releases iOS Exploit—Could Enable iOS 11 Jailbreak
    • [TheRegister]
      Google’s Project Zero reveals Apple jailbreak exploit

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 독일 첩보기관 BfV가 중국의 LinkedIn 스파이 행위(espionage)에 대해 경고했다. 독일의 첩보기관에 따르면, 중국이 링크드인(LinkedIn)에서 최소 만명의 사람들을 대상으로 스파이 행위를 벌이고 있다. 중국은 가짜 LinkedIn 계정을 만들어 독일 공무원 및 정치인들의 정보를 모으고 있다고 독일 첩보기관인 BfV가 말했다. 중국 첩보기관이 링크드인을 사용해 최소 만명의 독일인들을 노리고 있으며, 이들을 정보원(informants)으로 사용하려 할 수 있다고 주장했다. 그리고 이들은 이러한 목적으로 사용된 일부 가짜 프로필들을 공개했다. (12일에서 이어짐)
  • 구글이 지난 9월 기사에서 공개했던 NSL에 이어, 자사의 투명성 리포트(Transparency Report)에서 또다른 NSL(National Security Letters)들을 대량 공개했다.
    • (9일 기사 정리 내용 중) 구글이 자사의 투명성 리포트(Transparency Report) 중 National Security Letter 섹션을 확대하여, National Security Letters(NSLs)의 새로운 사례로 FBI로 부터 받은 것들을 공개하겠다고 밝혔다. 새로운 NSLs의 서브섹션은 세 컬럼으로 이루어져 있다. NSL 그 자체에 대한 링크와, NSL이 발행된 날짜, FBI가 발행한 문서에 대한 링크다. 가장 최근의 공개된 문서의 날짜는 2017년 9월 25일로 되어있다. 공개된 내용에 따르면, FBI는 NSL을 전자 통신 개인정보 보호법(Electronic Communications Privacy Act, ECPA)에 따라 비공개 요구(non-disclosure requirement)와 함께 발행했다. 이 문서는 구글이 FBI로 부터 특정 날짜에 수신한, 구글의 고객 계정에 대한 정보 요청 NSL을 공개할 수 있도록 허락했으며, 요청한 FBI 요원의 이름 및 전화번호는 삭제되었다. 구글은 또한 대상 사용자 계정도 삭제했다. 가장 오래된 NSL은 2009년의 여러 Gmail 계정에 대한 것이다. 이 문서에서는 구글에게 이름, 주소, 서비스 기간 정보를 요구하고 있다.

Detailed News List

  • fake Chinese LinkedIn profiles
    • [Anomali]
      WTB: German Spy Agency Warns of Chinese LinkedIn Espionage
    • [NakedSecurity]
      Spies are watching… on LinkedIn
  • Google’s Transparency Report
    • [TechDirt]
      Google Publishes Another Batch Of National Security Letters, Updates Its Transparency Report

 

Vulnerability Patches/Software Updates

Summaries

  • 애플(Apple)이 AirPort Base Station의 취약점들을 수정하는 보안 업데이트를 릴리즈했다.
  • 마이크로소프트(Microsoft)가 Patch Tuesday에 공개한 패치에서 30개 이상의 취약점을 수정했다. 여기에는 인터넷 익스플로러(Internet Explorer)와 엣지(Edge) 브라우저에 영향을 미치는 19개의 취약점 패치가 포함되었다.
  • 어도비가 플래시 플레이어에 영향을 미치는 취약점 하나(CVE-2017-11305)를 수정하는 패치를 릴리즈했다.

Detailed News List

  • Apple
    • [US-CERT]
      Apple Releases Security Updates
  •  Microsoft
    • [SpiderLab]
      Microsoft Patch Tuesday, December 2017
    • [TalosIntelligence]
      Microsoft Patch Tuesday – December 2017
    • [SANS]
      December Microsoft Patch Tuesday Summary, (Tue, Dec 12th)
    • [Cisco]
      Microsoft Patch Tuesday – December 2017
    • [GrahamCluley]
      It’s time to patch your Microsoft and Adobe software again against vulnerabilities
    • [WeLiveSecurity]
      It’s time to patch your Microsoft and Adobe software again against vulnerabilities
    • [ThreatPost]
      Microsoft December Patch Tuesday Update Fixes 34 Bugs
    • [VERT]
      VERT Threat Alert: December 2017 Patch Tuesday Analysis
    • [KrebsOnSecurity]
      Patch Tuesday, December 2017 Edition
    • [US-CERT]
      Microsoft Releases December 2017 Security Updates
    • [SecurityWeek]
      Microsoft Patches 19 Critical Browser Vulnerabilities
  • Adobe Flash Player
    • [GrahamCluley]
      It’s time to patch your Microsoft and Adobe software again against vulnerabilities
    • [WeLiveSecurity]
      It’s time to patch your Microsoft and Adobe software again against vulnerabilities
    • [SecurityWeek]
      Adobe Patches ‘Business Logic Error’ in Flash Player

 

Privacy

Summaries

  • 넷플릭스(Netflix)가 자사의 사용자들을 추적하고 있었다는 사실이 트위터를 통해 드러났다. 넷플릭스는 트위터 메시지를 통해 “A Christmas Prince를 지난 18일동안 지속적으로 시청한 53명에게(To the 53 people who’ve watched A Christmas Prince every day for the past 18 days: Who hurt you?)” 라는 메시지를 등록한 바 있다. 넷플릭스는 시청자들의 페이지뷰와 같은 메타데이터(metadata)를 유명 뉴스 웹사이드틀 처럼 분석하고 있는것이 맞다고 그 사실을 인정했다.
  • 피젯 스피너(Fidget Spinner) 앱이 다른 앱의 데이터를 중국 서버로 보내는 것이 확인되었다. 블루투스 기능이 있는 피젯 스피너가 얼마전 등장한 바 있었다. 이번에는 이 스피너 앱이 사용자들의 프라이버시를 위협하고 데이터를 훔친다는 사실이 밝혀졌다. 인도의 Payatu Technologies의 IT보안 연구가에 따르면, 플레이스토어의 AiTURE 피젯 스피너 앱이 설치된 다른 앱들의 데이터를 수집해 사용자 동의없이 몰래 중국에 위치한 서버로 전송한다.

Detailed News List

  • Netflix
    • [ZDNet]
      Netflix is watching you. We’re all watching you
    • [ZDnet]
      Yes, that Netflix tweet is creepy — and raises serious privacy questions
  • Fidget Spinner App
    • [HackRead]
      This Fidget spinner app is sending other apps data to Chinese server

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • 다크웹에서 14억개의 평문 인증정보(credentials)를 담고있는 파일이 발견되었다. 최근 다크웹을 모니터링하는 4iQ에서 41기가바이트의 거대한 파일을 발견했다. 이 파일은 14억개의 로그인 인증정보를 담고 있는데, 그 내용은 이메일과 비밀번호가 평문(cleartext)으로 기록되어있다. 연구자들은 이 파일이 지금까지 다크 웹에서 발견된 것들 중 가장 큰 종합 데이터베이스라 보고있다. 4iQ의 블로그 포스트에서 밝힌 바에 따르면, 이 덤프는 이전의 252개의 침해사고를 하나로 모은 것으로 보인다. 이 파일은 다크웹에서 2017년 12월 5일에 발견되었고, 총 데이터 량은 1,400,553,869개의 사용자이름, 이메일, 평문 비밀번호다. (11일에서 이어짐)

Detailed News List

  • 1,400,000,000 Clear Text Credentials File
    • [InformationSecurityBuzz]
      Largest-Ever Database Of 1.4 Billion Credentials Found On Dark Web
    • [TheRegister]
      Archive Of 1.4 Billion Creds Found On Dark Web
    • [HelpNetSecurity]
      1.4 billion unencrypted credentials found in interactive database on the dark web
    • [SecurityAffairs]
      A collection of 1.4 Billion Plain-Text leaked credentials is available online
    • [InfoSecurityMagazine]
      Researchers Find Trove of 1.4 Billion Breached Credentials
    • [TheHackerNews]
      Collection of 1.4 Billion Plain-Text Leaked Passwords Found Circulating Online

 

Service Outage

Summaries

  • 비트피넥스(Bitfinex) 암호화폐 거래소(Cryptocurrency exchange)가 분산서비스거부(DDoS, Distributed Denial of Service)공격을 받았다. 비트피넥스(Bitfinex)는 세계 최대의 암호화폐 거래소 중 하나다. 비트피넥스는 지난 화요일인 12월 12일에 끊임없는 DDoS 공격을 받은 끝에 운영을 중단해야 했다. 홍콩에 위치한 비트피넥스는 트워터를 통해 고객들에게 상황을 공지했다. 다행이 DDoS 공격이 사용자들의 자금에는 영향을 미치지 못했다.

Detailed News List

  • Bitfinex DDoS
    • [HackRead]
      Bitfinex cryptocurrency exchange hit by massive DDoS attacks​

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • Pen Test Partners의 보안연구가들이 많은 학교들의 난방 제어기의 웹 인터페이스가 공공 인터넷에서 접근가능하며, 안전하지 않다는 사실을 발견했다. 이러한 취약한 시스템과 설정들이 비단 학교뿐만 아니라, 정부 사무실, 대학교, 소방서, 레스토랑에도 존재한다. 조사를 진행했던 Pen Test Partners에서는 이미 몇몇시스템들이 해킹당했다는 사실을 발견했다. 이러한 문제의 대부분은 HVAC(Heating, Ventilation and Air Conditioning)과 빌딩 관리 시스템(Building management system) 설치업자들에 의해 일어난다. 장치들이 고립 네트워크에 존재하며 외부로 노출되지 않아야 하는데 지켜지지 않는것이다.

Detailed News List

  • Building Control Systems of Schools, Offices, …
    • [TheRegister]
      Brrr! It’s a snow day and someone has pwned the chuffin’ school heating

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 돈을 내놓지 않으면 살해하겠다는 일명 살인청부(hitmen) 이메일 사기가 벌어지고 있다. Spiceworks의 Dave Lass가 NakedSecurity에 제보한 내용에 따르면, 이 이메일에는 자신이 메일 수신자에 대한 살해 명령을 받았으며 수신자를 관찰해 왔다고 적혀있다. 그러나 0.5 비트코인을 지불하면 살해하지 않겠다는 메시지와 함께 비트코인 지갑 주소가 적혀있고 몸값을 지불하면 살해를 의뢰한 의뢰인 정보와 증거들을 넘기겠다고 말하고 있다.

Detailed News List

  • Ransom email scam
    • [NakedSecurity]
      Ransom email scam from ‘hitman’ demands: pay up or die

 

Crypto Currencies/Crypto Mining

Summaries

  • GitHub 저장소에 등록되어 있는 암호화폐 채굴 스크립트가 발견되었다. 이 암호화폐 채굴 스크립트는 만들어진지 세 달 된 GitHub 저장소에 등록되어 있었고 wpupdates라는 이름으로 등록되어 있었다.
  • 매장내(In-store) 와이파이인터넷 업체(Provider)가 스타벅스 웹사이트를 이용해 모네로(Monero) 암호화폐 코인을 채굴하려 했다는 주장이 나왔다. 12월 2일에 트위터 사용자 Noah Dinkin은 거대 커피체인인 스타벅스의 아르헨티나 리워드 사이트가 모네로(Monero) 암호화폐를 채굴하기 위한 코인하이브(CoinHive) 스크립트를 사용하는 것을 공개했다. Dinkin은 이 사건의 배후에 있는 범인이 스타벅스의 매장내 WiFi 제공업체일 수 있다고 말했다. 그러나, 지난 몇 달 동안 사이버 범죄자들은 웹사이트들을 해킹해 몰래 코인하이브의 스크립트들을 삽입해왔다. 며칠 전에는 보안연구가들이 5,000개 이상의 사이트들이 코인하이브 코드를 삽입하는 해킹을 당했다는 사실을 밝혀내기도 했다. (11일에서 이어짐)
  • 가장 큰 암호화폐 채굴 시장인 나이스해시(NiceHash)가 해킹사실을 인정했다. 나이스캐시는 다른사람의 컴퓨팅 파워를 구매하거나, 유사 비트코인들(altcoins)을 채굴하고 비트코인으로 지불받을 수 있는 암호화폐 채굴 시장이다. 나이스해시(NiceHash)는 해킹으로 전체 비트코인 지갑을 잃게 되었다고 발표했다. 나이스해시는 수요일 정오에 성명을 발표했는데 NiceHash 웹 사이트에 보안 침해가 있었으며, 지불 시스템이 완전히 침해당해 나이스해시의 비트코인 지갑을 도둑맞았다고 발표했다. 나이스해시가 정확한 금액을 밝히지는 않았지만, 추정되는 금액은 약 6천만 달러에 달할 것으로 보인다. (8일에서 이어짐)

Detailed News List

  • Cryptominers on GitHub
    • [Sucuri]
      Malicious Cryptominers from GitHub
  • Starbucks
    • [TheRegister]
      Argy-bargy Argies barge into Starbucks Wi-Fi with alt-coin discharges
  • NiceHash
    • [InformationSecurityBuzz]
      Hackers Steal $60m Bitcoin From NiceHash

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • SAP가 CVE(Common Vulnerabilities and Exposures) 넘버링 기관(CNA, CVE Numbering Authority)이 되었다. 2017년 11월 9일자로, 전세계에 CNAs는 81개 기관이 있다.

Detailed News List

  • SAP
    • [SecurityWeek]
      SAP Becomes CVE Numbering Authority
    • [CVE]
      CNA list

 

Posted in Security, Security NewsTagged BankBot, Certificate, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, CVE-2017-13861, CVE-2017-13865, Cyber Espionage, Dark Web, DDoS, Distributed Denial of Service, Drive-by Cryptocurrency Mining, Exploit, Golduck, HiddenLotus, HVAC, Jailbreak, Malware, MoneyTaker, Necurs Botnet, OceanLotus, Patches, Patchwork Group, Privacy, ROBOT attack, Scam, Spider Ransomware, VulnerabilityLeave a comment

Security Newsletters, 2017 Nov 29th, ROKRAT 악성코드 外

Posted on 2017-11-29 - 2017-11-29 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Malwares/Exploits/Vulnerabilities

Summaries

  • 새로운 Ursnif 변종이 유포되고 있다. FireEye에 의해 탐지된 이 변종(Ursnif/Gozi-ISFB)은 조작된 TLS(Thread Local Storage) Callback 기술을 사용한다. 최근 관찰된 이 변종 악성코드는 스팸메일을 통해 유포되고 있다.
  • 애플의 macOS High Sierra가 루트 권한을 비밀번호를 입력하지 않고 획득할 수 있어 문제가 되고있다. macOS 10.13으로 알려진 High Sierra에서 사용자가 비밀번호 없이 root로 로그인 할 수 있다. 관리자 아이디 및 비밀번호를 묻는 인증 창에 root를 사용자명으로 입력하고 비밀번호는 공란으로 비워두면 된다. 물리적으로 컴퓨터에 접근할 수만 있다면, 최고관리자 권한으로 아무 일이나 가능한 것이다.
  • 구글이 WhatsApp, Skype를 염탐하는 안드로이드 스파이웨어를 탐지했다. 머신러닝 기반으로 유해 앱을 찾아내는 구글 플레이 프로텍트(Google Play Protect)가 최근 구글 연구자들이 사용자로부터 다양한 정보를 훔치는 새로운 안드로이드 스파이웨어를 찾아내는데 일조했다. 아프리카 국가의 안드로이드 장치에서 발견된 Tizi는 페이스북(Facebook), 트위터(Twitter), 왓츠앱(WhatsApp), 바이버(Viber), 스카이프(Skype), 링크드인(LinkedIn), 텔레그램(Telegram) 등 유명 소셜 미디어 앱으로부터 민감 데이터를 훔칠 수 있는 스파이웨어를 피해자의 장치에 설치할 수 있는 루팅 능력을 가진 안드로이드 백도어다. Tizi에 감염되면 스파이웨어 설치를 위해 루트 권한을 획득한 후, C&C서버에 감염장치의 GPS위치를 SMS를 통해 전송한다. 루트 권한을 획득하기 위해 사용하는 취약점 번호는 다음과 같다. CVE-2012-4220, CVE-2013-2596, CVE-2013-2597, CVE-2013-2595, CVE-2013-2094, CVE-2013-6282, CVE-2014-3153, CVE-2015-3636, CVE-2015-1805
  • 대한민국을 노리는 ROKRAT이 다시 재부상하고 있다. Cisco Talos의 분석 결과에 따르면, 이번달 새로운 버젼의 ROKRAT 악성코드가 탐지되었다. 이 버젼은 기존의 코드와 동일한 정찰(reconnaissance)코드를 포함하고 있으며, “Evil New Years”로 명명한 샘플과 유사한 PDB 패턴을 갖는다. 그리고 ROKRAT과 동일한 클라우드 기능과 복사/붙여넣기 방식을 보인다. 이번 버젼에서는 클라우드 기반을 C&C로 활용하는 것이 정확히 동일하진 않으며, pcloud, box, dropbox, yandex를 사용한다. 새로운 버젼의 ROKRAT은 FreeMilk 캠페인에 사용된 Freenki 다운로더 코드를 공유하며, 악성 HWP 문서를 통해 유포가 시작되었다. 이 문서는 올바른 인권통일을 위한 시민모임(올인통) 김태훈 변호사가 작성한 문서로 꾸며져 있다.
  • 새로운 BankBot이 구글 플레이의 탐지 시스템을 회피하여 유포중이다. 모바일 은행 트로이인 BankBot이 페이로드 다운로드 방식으로 구글 플레이 프로텍트(Google Play Protect)를 회피하고 있다. Avast, SfyLabs, ESET의 연구자들이 찾아낸 결과에 따르면, 뱅크봇(BankBot)의 새로운 버젼은 자신의 페이로드를 외부 출처로부터 다운로드 받는 방식으로 구글 플레이의 탐지기능을 회피하고 있다. 일단 이 트로이가 설치되면, 정상적인 은행 앱을 실행할 때 까지 기다렸다가, 복사한 앱을 화면에 덮어씌운다. 이 앱은 단순히 사용자의 은행 인증정보만 훔치는 것이 아니라, 모바일 계좌이체 인증번호 문자 메시지까지 가로챈다.
  • (28일에서 이어짐) 아이폰X의 페이스아이디(FaceID)를 약 150달러짜리 가면을 통해 인증을 통과했었던 베트남의 사이버보안 기업인 Bkav가 이번에는 새로운 가면으로 다시 시도한 페이스아이디 인증 통과 내용을 공개했다. 이번에는 약 200달러로 가면을 만들었는데, 이전과는 다르게 3D 프린터로 전체 얼굴을 찍어낸 후 눈만 2D 프린팅을 해서 붙인 가면으로 통과했다.
  • (28일에서 이어짐) 새로운 미라이(Mirai) 변종이 급격히 확산되고 있다. Qihoo 360 Netlab의 보안연구가 Li Fengpei에 따르면, 공개 익스플로잇 데이터베이스(Exploit-DB.com)의 PoC(Proof-of-Concept) 코드(https://www.exploit-db.com/exploits/43105/)가 Mirai 봇넷 활동 증가의 근본 원인이다. 이 익스플로잇이 10월 31일에 공개된 후, 보안전문가들이 익스플로잇을 사용한 스캔이 11월 22일 수요일에 시작되는 것을 확인했다. 이 PoC는 구형 ZyXEL PK5001Z 라우터에 존재하는 취약점 CVE-2016-10401을 공격하는데, 2016년 1월에 공개된 취약점이다. ZyXEL PK5001Z 라우터는 하드코딩된 최고관리자 비밀번호(zyad5001)가 존재해 사용자 권한을 루트 권한으로 상승하는데 사용될 수 있다. su 명령의 비밀번호로는 장치에 로그인 할 수 없지만, 해커들은 다수의 ZyXEL 장비들이 admin/CentryL1nk 또는 admin/QwestM0dem을 기본 텔넷 인증정보로 사용하는 것을 사용해 공격에 악용하고 있다.

Detailed News List

  • Ursnif Variant
    • [FireEye]
      Newly Observed Ursnif Variant Employs Malicious TLS Callback Technique to Achieve Process Injection
    • [SecurityIntelligence]
      Ursnif v3 Emerges, Targets Australian Bank Customers With Redirection Attacks
  • macOS High Sierra allows root without password
    • [KrebsOnSecurity]
      MacOS High Sierra Users: Change Root Password Now
    • [ZDNet]
      Stupid, stupid MacOS security flaw grants admin access to anyone
    • [SlashDot]
      MacOS High Sierra Bug Allows Login As Root With No Password
    • [Forbes]
      Stupid Bug Lets Anyone Change Apple macOS High Sierra Passwords — Here’s How To Fix It
    • [CyberScoop]
      Serious flaw in Apple’s MacOS allows any user to gain full root access
    • [TheRegister]
      Pro tip: You can log into macOS High Sierra as root with no password
    • [SANS]
      Apple High Sierra Uses a Passwordless Root Account, (Tue, Nov 28th)
  • Google Detects Android Spyware Tizi
    • [TechRepublic]
      Google stops the spread of Tizi Android malware in the Play Store (TechRepublic)
    • [ThreatPost]
      Google Detects and Boots Tizi Spyware Off Google Play
    • [SecurityAffairs]
      Google detects Android Tizi Spyware that spies on popular apps like WhatsApp and Telegram
    • [VirusBulletin]
      Tizi Android malware highlights the importance of security patches for high-risk users
    • [HelpNetSecurity]
      Tizi backdoor rooted Android devices by exploiting old vulnerabilities
    • [TheHackerNews]
      Google Detects Android Spyware That Spies On WhatsApp, Skype Calls
    • [TripWire]
      Tizi Backdoor Uses Spyware to Steal Android Users’ Social Media Data
    • [ZDNet]
      Google torches this nasty Tizi Android spyware it found on Play Store
  • New ROKRAT
    • [CiscoTalos]
      ROKRAT Reloaded
  • New BankBot
    • [DarkReading]
      New BankBot Version Avoids Detection in Google Play — Again
  • FaceID
    • [IBTimes]
      Cybersecurity experts again fooled iPhone X Face ID with 3D mask
    • [9to5Mac]
      Cybersecurity experts again trick Face ID w/ 3D-printed mask & infrared eye cutouts [Video]
    • [Forbes]
      Apple Face ID ‘Fooled Again’ — This Time By $200 Evil Twin Mask
  • A new Mirai variant
    • [InformationSecurityBuzz]
      A New Mirai Variant Is Spreading Quickly
    • [THeHackerNews]
      New Mirai Botnet Variant Found Targeting ZyXEL Devices In Argentina
    • [SecurityAffairs]
      A new Mirai variant is rapidly spreading, around 100,000 IPs running the scans in the past 60 hours

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 법원 기록에 따르면 캐나다 청소년이 2014년의 야후 이메일 해킹에서 러시아 정보원을 도운 혐의로 미국에 의해 기소당했다. 카림 바라토프(Karim Baratov)는 이번 화요일에 샌프란시스코 연방법원에 출두 할 예정이며, 유죄를 인정할 것으로 예상된다. 바라토프는 22세의 캐나다 시민으로 카자흐스탄에서 태어났고, 3월에 미 검사들의 요청으로 캐나다에서 체포되었다. 그리고 이번 여름 범죄자 인도 요청에 대해 맞서 싸우는 것을 포기한 후 미국으로 송환되었다.
  • (28일에서 이어짐) NHS가 2천만 파운드 규모의 자금을 새로운 사이버보안 센터를 건립해 화이트햇 해커를 사용해 지속적으로 공격에 대한 검사를 하고 기관의 방어에 대한 검증을 하는데 투자할 예정이다. NHS는 이 금액을 “전체 의료 및 복지 시스템에 대한 국가적인, 실시간에 근접한 모니터링과 경보 서비스”를 만드는데 사용할 예정이라고 밝혔다.
  • (28일에서 이어짐) 세명의 중국인이 세 개의 기업, 무디스 애널리틱스(Moody’s Analytics), 트림블(Trimble), 지멘스(Siemens)를 해킹해 민감정보와 거래비밀 수 기가바이트를 훔친 사이버범죄 혐의로 기소당했다. 미 사법부는 이들이 중국의 정보 기술 유한 회사 Boyusec 소속이며, 사이버보안 연구자들에 의해 중국 정부으 후원을 받는 사이버 스파이 그룹과 연계되어 있다고 말했다. 사법부에 따르면 기소당한 세명의 이름은 Wu Yingzhuo, Dong Hao, Xia Lei다.

Detailed News List

  • Canadian accused Yahoo hacking case
    • [eHackingNews]
      Canadian accused in 2014’s Yahoo Hacking Case
  • NHS to hire white hat
    • [InformationAge]
      NHS looks to up its cyber security game
    • [InformationSecurityBuzz]
      NHS Digital Is Investing £20million For A Central Cybersecurity Unit
    • [EnterpriseTimes]
      NHS Digital £20 million cybersecurity project
    • [TheInquirer]
      NHS to hire white hat hackers as part of £20m cybersecurity investment
    • [TheRegister]
      Looking for scrubs? Nah, NHS wants white hats – the infosec techie kind
    • [FierceBiotech]
      UK to hire hackers in $27M health cybersecuritypush
    • [ZDNet]
      After WannaCry ransomware attack, the NHS is toughening its cyber defences
  • DoJ charged three chienese
    • [CSOOnline]
      US charged 3 Chinese security firm hackers with corporate cyber-espionage
    • [ARSTechnica]
      Security Firm Was Front For Advanced Chinese Hacking Op
    • [ZDNet]
      US indicts Chinese hackers for corporate espionage
    • [InfoSecurityMagazine]
      Alleged Chinese Intelligence Officers Indicted by DoJ
    • [TheHackerNews]
      U.S. Charges Three Chinese Hackers for Hacking Siemens, Trimble & Moody
    • [SecurityAffairs]
      US indicts Chinese hackers belonging to APT3 for espionage on Siemens and Moody’s
    • [TheRegister]
      Chinese IT security bods accused of siphoning US GPS, biz blueprints
    • [CyberScoop]
      DOJ reveals indictment against Chinese cyber spies that stole U.S. business secrets
    • [Forbes]
      Hackers Linked To Dangerous Chinese Group Charged With Stealing 400GB Of Data From Siemens (Forbes)
    • [SecurityWeek]
      U.S. Indicts Chinese For Hacking Siemens, Moody’s

 

Vulnerability Patches/Software Updates

Summaries

  • PowerDNS가 “Authoriative” 및 “Recursor” 제품에 대해 공개된 버그를 소프트웨어 업데이트로 패치하라고 사용자들에게 알렸다. 버그가 있는 소프트웨어가 DNS이다보니 공격당할 경우 심각한 문제를 야기할 수 있다. 패치된 다섯가지 취약점들은 CVE-2017-15090, CVE-2017-15094, CVE-2017-15092, CVE-2017-15093, CVE-2017-15091 이다. 취약한 Recursor는 4.0.0 부터 4.0.6 까지다. 취약한 Authoritative는 4.0.4와 3.4.11 까지다.

Detailed News List

  • PowerDNS
    • [SecurityWeek]
      Several Vulnerabilities Patched in PowerDNS
    • [TheRegister]
      Open source nameserver used by millions needs patching
    • [HelpNetSecurity]
      PowerDNS patches five security holes in widely used nameserver software

 

Data Breaches/Info Leakages

Summaries

  • 미 육군과 NSA가 연합한 미군 및 정치인 대상 첩보수집 업무를 하는 INSCOM(Intelligence and Security Command)의 데이터가 인터넷에서 또 발견되었다. UpGuard Cyber Risk Team은 INSCOM의 데이터를 인터넷에서 발견했는데, 아마존 웹 서비스 S3 클라우드 스토리지 버켓에 누구나 접근 가능한 상태로 노출되어 있었다. 그러나 문제가 심각해 보이는 것이, 다운로드 가능한 데이터들 중에 고도의 민감 자료나 외국 동맹에게 전파 금지대상인 자료들인 일급비밀(Top Secret)로 분류된 정보와, NOFORN으로 분류된 데이터가 있다는 것이다. 특히 Red Disk라는 코드네임을 가진 100기가바이트 이상의 데이터를 포함한 가상 디스크 이미지가 유출되었다.
  • (28일에서 이어짐) 영국의 한 엘리트 클럽이 회원 5천명의 데이터가 도난당했다고 발표했다. 이 사건은 런던에 위치한 옥스퍼드 및 캠브릿지 클럽의 사무실에 있는 백업 컴퓨터 드라이브를 훔쳐서 발생했다. 이 드라이브에는 100명의 직원과 5000명의 회원들의 이름, 이메일 주소, 전화번호, 생일, 사진, 은행정보등이 포함되어 있었다. 신용카드 정보는 도둑맞은 데이터에 포함되지 않았다.
  • (28일에서 이어짐) BulletProof Coffee가 해킹당했다. 실리콘밸리 출신의 사업가가 만든 방탄커피(BulletProof Coffee)가 해킹당해 웹사이트에 악성 코드가 삽입되었고, 사용자의 신용카드 정보를 몇달간 탈취해온 것으로 드러났다. 도난당한 정보는 은행 카드 번호, 만료일자, 보안코드번호(CVV), 이름, 주소, 이메일 주소다.

Detailed News List

  • INSCOM
    • [SecurityAffairs]
      Top Secret US Army and NSA documents left exposed on Amazon S3 bucket
    • [ZDNet]
      New details of NSA’s Ragtime program appear in leaked files
    • [ThreatPost]
      Leaky AWS Storage Bucket Spills Military Secrets, Again
    • [InfoSecurityMagazine]
      Pentagon Exposes Top Secret Classified Info to Public Internet
    • [CyberScoop]
      Top secret Army, NSA data found on public internet due to misconfigured AWS server
    • [ZDNet]
      New NSA leak exposes Red Disk, the Army’s failed intelligence system
    • [TheRegister]
      US intelligence blabs classified Linux VM to world via leaky S3 silo
  • UK Club Data Breach
    • [EHackingNews]
      The Oxford and Cambridge Club, one of the United Kingdom’s most elite gentlemen’s clubs open to alumni of the universit…
    • [TripWire]
      Elite UK Club Announces Theft of 5,000 Members’ Data
  • BulletProof is not bulletproof
    • [SecurityAffairs]
      Bulletproof 360 website was hacked. Personal and financial data exposed
    • [SecurityWeek]
      Bulletproof Coffee Cannot Keep Hackers Out
    • [TheRegister]
      Bulletproof Coffee lacks bulletproof security: Nerd brain juice biz hacked, cards gulped

 

Industrial/Infrastructure/Physical System/HVAC/SCADA

Summaries

  • (28일에서 이어짐) 해커들이 대형 선박의 균형을 맞추기 위한 적재 계획 소프트웨어(Load Planning Software)를 공격할 수 있다는 기사가 나왔다. 선박에서 사용하는 적재 계획 소프트웨어가 보안 메시징 시스템을 사용하지 않고 개발되었으며, 운송라인, 터미널, 항만 당국 사이에 오가는 메시지가 존재한다. 매일 대형 선박들은 BAPLIE라 불리는 시스템으로 200,000톤 가량의 무게를 나르는 수천개의 컨테이너를 처리하는데, 이 시스템은 항만 당국에 각각의 컨테이너가 어디에 위치할지에 대해 알린다. 그러나 업데이트 되지 않은 시스템을 사용하면, 사이버 범죄자들이 세관으로 보내는 정보를 조작해 실제 내용과 무게를 바꿀 수 있다.

Detailed News List

  • Load Planning Software
    • [SecurityAffairs]
      Hackers can easily target container ships by hacking load plans due to its vulnerable messaging system
    • [HackRead]
      Hackers can Exploit Load Planning Software to Capsize Balance of Large Vessels

 

Internet of Things

Summaries

  • 차키를 주머니에서 꺼내지 않고 차 시동을 거는 것은 최근 차량에서 지원되는 소소한 편의기능중 하나다. 그러나 불행하게도 이러한 기능을 자동차 도둑들도 편리하게 사용할 수 있다. 영국 웨스트 미드랜드(West Midlands) 경찰이 공개한 CCTV 화면에 따르면, 차량 도둑들이 릴레이 박스를 가지고 차 문을 잠금 해제한 뒤, 차를 몰고 가버리는데 약 1분이 안되는 시간이 걸렸다. 도둑들은 차 열쇠로부터 차량으로의 신호를 연계해주는 릴레이박스(Relay box)장비를 가지고 다니며, 한명은 집 근처에서 차 열쇠 신호를 잡고 두번째 박스로 전달한다. 신호를 전달받은 사람은 차량 문을 연 뒤 키 없이 시동을 거는 방법으로 운전해 차량을 가지고 도주한다.

Detailed News List

  • No Key Required
    • [HackRead]
      Gone in Seconds: Hackers Steal Mercedes Car without Key
    • [InformationSecurityBuzz]
      How Criminals Can Steal A Car Without The Keys
    • [HelpNetSecurity]
      No key required: How thieves use relay boxes to steal cars
    • [InfomationSecurityBuzz]
      Nine In Ten UK Consumers Have Security Concerns Around Connected Cars
    • [BBC]
      Mercedes ‘relay’ box thieves caught on CCTV in Solihull
    • [Schneier on Security]
      Man-in-the-Middle Attack against Electronic Car-Door Openers

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • Anomali에 따르면, FTSE 100(런던 증권거래소 상장 주식중 시가총액 상위 100개기업) 기업의 평문 비밀번호가 포함된 수천개의 로그인 정보가 다크웹에서 유통되고 있다. 이번 년도 4월에서 7월까지의 모니터링 결과, 각 FTSE 100 기업에 평균 218개의 사용자명과 비밀번호가 발견되었다. 유출된 로그인 정보는 작년에 비해 세배나 증가한 양으로, 전체 5,275건에서 16,583건으로 증가했다. 은행부문이 가장 최악의 결과를 보였는데, 거의 1/4에 해당하는 23%의 인증정보가 노출되었다.

Detailed News List

  • FTSE 100
    • [InfoSecurityMagazine]
      Thousands of FTSE 100 Corporate Log-Ins Found on Dark Web

 

Posted in Security, Security NewsTagged BankBot, CVE-2012-4220, CVE-2013-2094, CVE-2013-2595, CVE-2013-2596, CVE-2013-2597, CVE-2013-6282, CVE-2014-3153, CVE-2015-1805, CVE-2015-3636, CVE-2017-15090, CVE-2017-15091, CVE-2017-15092, CVE-2017-15093, CVE-2017-15094, DarkNet, Data Breach, Deep web, Industrial Control System, Information Leakage, INSCOM, Internet of Things, IoT, Malware, Patches, Relay box, ROKRAT, Tizi, UrsnifLeave a comment

Security Newsletters, Nov 22nd, 2017

Posted on 2017-11-22 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats

Summaries

  • 악명높은 라자러스(Lazarus) 해킹 그룹이 대한민국을 노리고 있다는 기사가 나왔다. 북한과 관련된 것으로 믿어지는 라자러스(Lazarus) 해킹 그룹이 새로운 안드로이드 악성코드를 사용해 대한민국 스마트폰 사용자를 노리고 있다. 맥아피(McAfee)와 팔로알토(Palo Alto Networks)가 월요일에 자사 블로그에 Hidden Cobra로 알려진 해킹 그룹의 최근 활동에 대한 기사를 올렸다. 이 그룹은 소니와 금융기관들을 공격했던 정교한 몇몇 공격에 책임이 있는 것으로 보여진다. 그리고 최근의 WannaCry 공격과도 연관된 것으로 추정된다. 이 그룹과 관련되어 있다고 믿어지는 몇몇 작전들은 Operation Blockbuster, Dark Seoul, Operation Troy가 있다. 맥아피에 의해 분석된 악성코드 샘플은 APK 파일 형태로 배포되고, 구글 플레이에 존재하는 GODPeople이라는 개발자에 의해 개발된 한국 성경 앱인 것처럼 만들어졌다. 그러나 악성 앱은 공식 앱 스토어에 올라가 있지 않아 어떤 유포 방식이 사용되었는지는 불명확하다.
  • 중국 해커들이 러시아, 인도, 기타 아시아 국가들을 대상으로 공격을 진행중이다. 카스퍼스키 랩(Kaspersky Lab)의 3분기 리포트에 따르면, 24개의 사이버 공격중 10건이 중국 해커그룹에 의해 실행되었다. 카스퍼스키의 보안전문가는 이 사이버 범죄자들의 주 공격 대상중 하나는 러시아 였다고 말했다. 그리고 인도나 몽골와 같은 기타 아시아 국가도 대상으로 삼았다. 7월에 카스퍼스키는 IronHusky라 불리는 사이버 스파이 작전을 탐지했다. 이 공격은 러시아와 몽골 정부, 항공 기업(Aviation companies), 연구소(Research institutes)들을 공격 대상으로 삼았다. 그리고 양국이 몽골 방공에 관련된 여러 프로젝트에서 협력하는 것에 대해 협상을 한 직후 사고가 일어났다. 카스퍼스키는 또한 넷사랑(NetSarang)과 CCleaner 역시 이 중국 해커들에 의해 공격대상이 되었다고 밝혔다. 넷사랑 사이트에서 유포된 설치 패키지를 감염시켜 악성코드를 함께 배포했다.

Detailed News list

  • Lazarus group
    • [SecurityWeek] North Korean Hackers Target Android Users in South
    • [CyberScoop] Hackers tied to North Korea target South Korea through Google Play Store, researchers say
    • [DarkReading] North Korea’s Lazarus Group Evolves Tactics, Goes Mobile
    • [McAfee] Lazarus Cybercrime Group Moves to Mobile Platform
    • [McAfee] Android Malware Appears Linked to Lazarus Cybercrime Group
  • Chinese Hackers
    • [EHackingNews] Russia, India and other Asian countries targeted by Chinese Hackers

 

Malwares/Exploits/Vulnerabilities

Summaries

  • US-CERT가 윈도우즈의 ASLR 구현에 취약점이 존재한다고 경고했다. US-CERT(U.S. Computer Emergency Readiness Team)은 마이크로소프트(Microsoft)의 Windows 8, Windows 8.1, Windows 10에 영향을 주는 ASLR(Address Space Layout Randomization)의 구현상의 취약점이 있다고 밝혔다. 이 취약점은 원격의 공격자가 영향받는 시스템을 장악할 수 있게 한다. 마이크로소프트는 문제를 조사중이라고 밝혔다. ASLR은 다수 데스크탑과 모바일 운영체제에서 사용하는 시스템 보안 기술이다. ASLR은 메모리 기반의 코드 실행 공격을 방지하는데 사용되어 왔으며 iOS, Android, Windows, MacOS, Linux 각각 ASLR을 시스템 보안을 위해 사용하고 있다.
  • HP 프린터(HP Enterprise Printers)에서 코드실행 취약점(Code execution flaw)이 발견되었다. HP의 일부 기업용 프린터(enterprise printers)에서 심각한 원격 코드 실행 취약점이 발견되었다. HP는 이에 대해서 이미 패치를 개발 했으며, 이번주 중에 고객들이 사용 할 수 있게 한다고 발표했다.
  • 새로운 버젼의 BankBot 안드로이드 뱅킹 악성코드가 구글 플레이 스토어에 숨어들어 웰스파고(WellsFargo), 체이스(Chase), DiBa, Citibank와 같은 대형은행 앱들을 노리고 있다. Avast, ESET, SfyLabs가 함께 찾아낸 바에 따르면, 미국, 호주, 독일, 네덜란드, 프랑스, 폴란드, 스페인, 포르투갈, 터키, 그리스, 러시아, 도미니카 공화국, 싱가폴, 필리핀의 사용자들을 노리는 앱이 사용자들을 감시하고 은행 로그인 정보를 수집하며, 돈을 훔치고 있다. 새로운 버젼의 BankBot은 믿을만한 플래시라이트 앱들로 가장하고 숨어서 사용자들이 다운로드 하도록 속인다. 그리고 두번째 단계에서 BankBot, Mazar, Red Alert과 같은 추가적인 악성코드를 다운로드한다.

Detailed News List

  • ASLR Implementation flaw
    • [ThreatPost] US-CERT WARNS OF ASLR IMPLEMENTATION FLAW IN WINDOWS
    • [BankInfoSecurity] Windows 10 Security Feature Broken, CERT/CC Warns
    • [SecurityAffairs] Windows 8 and newer versions fail to properly implement ASLR
    • [TheRegister] Windows 8 broke Microsoft’s memory randomisation
    • [DarkReading] Researcher Finds Hole in Windows ASLR Security Defense
    • [SecurityWeek] Windows 8 and Later Fail to Properly Apply ASLR
  • HP Printer
    • [SecurityWeek] Using Unsecured IoT Devices, DDoS Attacks Doubled in the First Half of 2017
  • BankBot
    • [InfoSecurityMagazine] BankBot Android Trojan Re-emerges Globally

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 이란인 남성이 유명 드라마인 게임 오브 스론(Game of Thrones)의 해킹 혐의를 받고 있다. 미 법무부(the department of justice)는 이란인 남성이 HBO케이블 방송국을 해킹해 게임오브스론(Game of Thrones)의 스크립트를 훔치고 600만 달러의 몸값을 요구한 혐의로 기소했다. Behzad Mesri는 금전적인 목적으로 컴퓨터에 허가되지 않은 접근을 한 혐의를 받고 있다. 법원 문서에 따르면 그는 이란의 군대에서 일했고, 미국 웹사이트들을 디페이싱(Defacing)하는 일들에 연관되었다. 그리고 HBO의 컴퓨터 네트워크와 직원들에 대한 온라인 정찰(online reconnaissance) 작업을 2017년 5월에 수행한 혐의를 두고있다.
  • 미국 상원이 “영장없는 감시”를 목표로 하고 있다. 미 의회는 아직 비평가들이 다수의 국가 첩보기관에 의한 미국 시민들의 “영장없는 감시”라고 부르는 법안을 통과시키고 있지 않지만, 이미 그 방향을 목표로 한 5개의 제안이 존재하고 있다.

Detailed News List

  • Game of Thrones
    • [BBC] Iranian Charged With Game Of Thrones Hack
    • [CyberScoop] FBI charges man in massive data theft from HBO
    • [NYTimes] Iranian Hacker Charged in HBO Hacking That Included ‘Game of Thrones’ Script
    • [SecurityWeek] U.S. Charges Iranian Over ‘Game of Thrones’ HBO Hack
    • [DarkReading] Iranian Nation-State Hacker Indicted for HBO Hack, Extortion
  • Warrantless surveillance
    • [NakedSecurity] US Senate takes aim at “warrantless surveillance”

 

Vulnerability Patches/Software Updates

Summaries

  • 얼마전 인텔 칩의 Intel Management Engine에 공개되지 않은 또다른 컴퓨터가 포함되어있어, 웹서버 및 파일 시스템, 네트워킹 등의 기능이 지원되고 거기에서 취약점이 발견되었다는 기사가 나온 적 있다. 인텔이 그 취약점들을 수정하는 펌웨어를 릴리즈 했다. 이 펌웨어는 Intel Management Engine(IME), Intel Trusted Execution Engine(TXE), Intel Server Platform Services(SPS)의 취약점을 수정한다.

Detailed News List

  • Intel Chips
    • [HelpNetSecurity] Intel chips riddled with deadly flaws
    • [SecurityWeek] Intel Chip Flaws Expose Millions of Devices to Attacks
    • [ZDNet] Intel: We’ve found severe bugs in secretive Management Engine, affecting millions
    • [BankInfoSecurity] Millions of Computers Affected By Intel Firmware Flaws
    • [TheHackerNews] Critical Flaws in Intel Processors Leave Millions of PCs Vulnerable
    • [CyberScoop] Intel patches flaw that leaves millions of computers vulnerable to hidden attacks
    • [TheRegister] Intel finds critical holes in secret Management Engine hidden in tons of desktop, server chipsets
    • [ThreatPost] Intel Patches CPU Bugs Impacting Millions of PCs, Servers

 

Privacy

Summaries

  • 구글이 위치정보 기능이 꺼져있을 때에도 위치정보를 수집하고 있다는 기사가 나왔다. 구글이 이번해 초부터 모든 안드로이드 장치들에서 위치정보 서비스가 완전히 비활성화 되어있는 상태이더라도 지속적으로 정보를 수집하고 구글로 보내온 것으로 드러났다. Quartz가 진행한 조사에서 드러난 이 사실은, 안드로이드 스마트폰이 근처의 기지국 주소를 수집하고 이 데이터는 기지국 삼각측량에 사용될 수 있다. 이 방식은 근처의 세개 혹은 그 이상의 기지국들을 사용해서 스마트폰이나 장치의 위치를 알아내는데 널리 사용되는 기술이다. 매번 새로운 기지국 범위 내로 안드로이드 장치가 접근할 때마다, 안드로이드 장치는 기지국 장치를 수집하고, 이 안드로이드 기기가 WiFi 네트워크에 접속되거나 전화 데이터 통신이 가능해지면 수집된 정보를 구글로 보낸다.

Detailed News List

  • Location Data
    • [TheHackerNews] Google Collects Android Location Data Even When Location Service Is Disabled
    • [TechDirt] Investigation Finds Google Collected Location Data Even With Location Services Turned Off

 

Data Breaches/Info Leakages

Summaries

  • 영국의 Jewson이 해커에 의한 공격을 받았다고 인정했다. Jewson은 고객들에게 그들의 개인 및 금융 데이터가 해커에 의해 도난당했을 가능성이 있다고 알렸으며, 이 사건이 웹사이트를 침해당한 후 발생 했다고 밝혔다. 11월이 되어서야 밝혀진 이 침해사고는 8월에 발생한 것으로 보인다. 이는 공격을 한 해커가 발각되지 않은 상태로 회사 내 네트워크에서 악의적인 행위를 몇주간 진행했을 가능성이 존재한다는 의미이기도 하다.

Detailed News List

  • Jewson Data Breach
    • [International Business Times] Jewson data breach: Hackers may have stolen over 1,600 customers’ personal and credit card data
    • [InformationSecurityBuzz] Jewson Data Breach

 

Industrial/Infrastructure/Physical System/HVAC/SCADA

Summaries

  • 해커가 새크라멘토(Sacramento)의 교통 시스템(SacRT, Sacramento Regional Transit)을 해킹하고, 공격을 중단하는 대가로 돈을 요구하는 사건이 발생했다. 업체의 웹페이지를 디페이싱(Defacing)하고 일부 서버의 데이터를 지웠으며 추가적인 피해를 입히지 않는 조건으로 돈을 요구했다. 해커들은 토요일인 지난 18일에 업체의 메인 웹페이지에 취약점 수정을 도와주겠다는 문구를 게시하며 존재를 알렸고, 일요일에는 일부 가상 서버를 지우고 페이스북 메시지로 공격을 멈추기 위해서는 돈을 지불하라는 메시지를 보냈다. 그들은 비트코인 약 8천 달러 정도를 요구했는데 SacRT측은 대응하지 않기로 결정을 내렸다.

Detailed News List

  • Transit System
    • [HelpNetSecurity] Hackers hit Sacramento transit system, demand money to stop attack
    • [TripWire] Hackers Demanded $8K from Sacramento Regional Transit after Attack
    • [HackRead] Sacramento Regional Transit System in California Held for $7,000 Ransom

 

Internet of Things

Summaries

  • Corero Network Security는 최근 DDoS 트렌드 및 분석 리포트에서, 안전하지 않은 사물인터넷(IoT, Internet of Things) 장치들의 확산과 DDoS구매서비스(DDoS-for-hire) 가용성의 증가로 인해서 DDoS를 겪는 고객들이 가파르게 증가하고 있다고 밝혔다. 지난 3분기 동안 기업들은 매달 평균 237건의 DDoS 공격 시도를 겪었으며, 이는 매일 8건의 DDoS 공격을 겪는 셈이다. 그리고 지난 분기에 비해 월별 공격시도가 35% 증가했으며, 1분기에 비해서는 월 공격 시도가 91% 증가했다.

Detailed News List

  • DDoS Attacks Doubled
    • [InfoSecurityMagazine] DDoS Attacks Nearly Double Since January
    • [DarkReading] DDoS Attack Attempts Doubled in 6 Months
    • [HelpNetSecurity] Criminals leverage unsecured IoT devices, DDoS attacks surge
    • [SecurityAffairs] Using Unsecured IoT Devices, DDoS Attacks Doubled in the First Half of 2017

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 보상 포인트(Rewards points)를 노리는 사이버 사기 범죄가 증가하고 있다. 러시아 포럼에서 훔친 보상 포인트를 사용한 예약 서비스가 인기를 끌고 있다. 더 나아가서는 일부는 호텔 부킹 사이버범죄를 목적으로 하는 자신들의 회원 그룹을 만들기도 했다. 이 회원중 하나는 2014년 12월부터 포럼 두개에 여행 “예약 서비스”를 광고해왔다. 고객들은 이들이 제공하는 서비스로 다녀온 여행에서 찍은 사진들을 정기적으로 올리기도 했다. 흥미롭게도 여기서 팔리는 티켓은 러시아 국내선을 제외하고는 전세계 어디라도 갈 수 있다.
  • 기술지원 사이트(Tech support sites)로 위장한 온라인 사기가 벌어지고 있다. 사기 범죄자들이 불특정 사용자들을 가짜 핫라인으로 전화하게 만드는 기법을 시험하고 있다고 마이크로소프트가 발표했다. 이 방식은 최근 사이 범죄자들에 의해 개발된 방법으로, 실제론 존재하지 않는 문제에 대한 기술지원으로 사용자들을 속인다.

Detailed News List

  • Rewards Points Theft
    • [InfoSecurityMagazine] Rewards Points Theft is a Growing Piece of the Cybercrime Pie
  • Fake tech support sites
    • [ZDNet] Microsoft warns: Bogus Apple, Windows tech support sites open your phone app

 

Crypto Currencies/Crypto Mining

Summaries

  • Tether가 사이버 공격으로 해커들에게 $3,000만에 해당하는 토큰을 빼앗겼다. 빼앗긴 암호화폐는 USDT로 Tether가 옴니 레이어 프로토콜(Omni Layer Protocol)을 사용해 비트코인(Bitcoin) 블록체인(blockchain)으로 발행한 미국 달러기반의 자산이다. Tether는 $30,950,010 USDT가 Tether Treasury 지갑에서 2017년 11월 19일에 사라졌으며, 허가되지 않은 비트코인 주소(16tg2RJuEPtZooy18Wxn2me2RhUdC94N7r)로 전송되었다고 밝혔다.

Detailed News List

  • Tether loses $30m
    • [InfoSecurityMagazine] Crypto-Currency Firm Tether Loses $30m to Hackers
    • [TheHackerNews] Tether Hacked — Attacker Steals $31 Million of Digital Tokens
    • [HackRead] Hackers steal $30 million worth of cryptocurrency in Tether hack
    • [Mashable] $31 million worth of Tether stolen in latest crypto heist

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 온라인 괴롭힘(Cyber bullying)에서 최악의 명단에 네바다(Nevada) 주가 올랐다. 미 전역 50개주에 걸린 온라인 괴롭힘에 대한 조사에서 네바다주가 가장 심각한 괴롭힘이 있는 것으로 드러났다. 흥미롭게도 네바다주는 온라인 괴롭힘에 대한 법이 존재한다. 그리고 플로리다(Florida), 일리노이(Illinois), 뉴욕(New York) 역시 최악의 10개주에 포함되며, 이들도 온라인 괴롭힘에 대한 법률이 이미 존재한다. 이는 현행 법률의 비 효율성을 보여준다고 할 수 있다.
  • 리누즈 토발즈(Linus Torvalds)가 최근 리눅스 커널 4.15버젼에 대해 제안된 변경 요청에 대해서, 보안 전문가들이 정상적인 일을 한다고 믿을 수 없으며, 일부 보안 전문가들은 완전 병신들(he doesn’t trust security people to do sane things and some security professionals are just f*cking morons)이라는 평을 내놓았다. 이 사건은 구글 픽셀에서 보안전문가로 일하는 Kees Cook이 리눅스 커널 메일링 리스트에 pull 요청을 올리면서 시작되었다.
  • OWASP 2017년 최종 버젼이 공개되었다.
  • 내부자에 의한 정보 도난 및 유출이 25% 증가한 것으로 나타났다. 고등 법원의 사건들을 분석한 결과, 내부 직원이 기밀정보를 훔친 사건들이 1년새 25% 증가했다. 직원에 의한 위협이 데이터와 시스템에 대한 위협 목록에서 상위에 자리잡고 있는데, 이들의 동기는 금전적인 목적에서부터 불만, 강압, 단순 실수 까지 그 범위가 예측하거나 대비하기 매우 어렵다. 내부자 협조에 의한 공격이 일어난 경우, 가장 가치있는 정보(고객 정보)에 직접적으로 접근할 수 있는 경로를 제공하기 때문에 이러한 공격의 영향은 매우 치명적일 수 있다.

Detailed News List

  • Cyberbullying
    • [InfoSecurityMagazine] Nevada Tops the List of Worst States for Cyberbullying
  • F*cking morons
    • [CSOOnline] Linus Torvalds: Some security folks can’t be trusted to do sane things, some are morons
    • [ZDNet] Linus Torvalds: ‘I don’t trust security people to do sane things’
    • [TheRegister] Some ‘security people are f*cking morons’ says Linus Torvalds
  • OWASP 2017
    • [SecurityWeek] Final Version of 2017 OWASP Top 10 Released
  • Insider Threat
    • [InfomationSecurityBuzz] Employees Stealing Confidential Data Up 25%

 

Posted in Security, Security NewsTagged Address Space Layout Randomization, ASLR, BankBot, Crypto Currency, Cyber bullying, Cyber Espionage, Dark Seoul, Data Breach, DDoS, Deface, H2ODecomposition, IME, Information Leakage, Infrastructure, Intel Management Engine, Intel Server Platform Services, Intel Trusted Execution Engine, Internet of Things, IoT, IronHusky, Lazarus, Linus Torvalds, Location Data, Mazar, Operation Blockbuster, Operation Troy, Privacy, Red Alert, SacRT, Scam, SPS, Tech Support Scam, TXE, Vulnerability, WannaCryLeave a comment

글 내비게이션

이전 글

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.