Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] BEC Scammers

Security Newsletters, 2017 Dec 19th, vBulletin 치명적 취약점 발견 外

Posted on 2017-12-19 - 2017-12-19 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 구글, 애플, 페이스북, 마이크로소프트 및 기타 대기업의 트래픽이 러시아로 흘러들어가고 있었다. 지난주 구글, 페이스북, 애플과 같은 거대 기술 기업들의 트래픽이 알려지지 않은 러시아 인터넷 서비스 제공사(Russian internet provider)로 향한 수상한 사건이 있었다. 이 사건은 수요일에 일어났으며, 이 사건을 조사한 연구자들은 이 트래픽이 의도적으로 납치(hijacking) 되었다고 믿고있다. 이 사건은 인터넷 백본과 ISP, 기타 거대 네트워크 사이에서 트래픽 경로를 결정하는데 사용하는 BGP(Border Gateway Protocol)과 연관되었다. 유사한 사건이 마스터카드, 비자와 같은 스무개 이상의 기타 금융 서비스들에 대한 막대한 양의 트래픽이 러시아 정부의 관리하게 있는 통신 사업자(telecom operator)로 흘러들어가는 일이 있었다.
  • 드래곤 플라이 작전(Operation Dragonfly)이 이전의 공격들과 연관되는 지점들이 발견되었다. 지난 9월 6일 시만텍은 Dragonfly 캠페인에 대한 정보를 공개한 바 있다. 2017년에 걸쳐 에너지 기업 십여곳을 대상으로한 공격이었다. 이 공격은 2014년에 시작된 공격의 개선 버젼인 Dragonfly2.0 이었다. 이 공격은 선세계 에너지 기업들을 대상으로 스피어 피싱 이메일을 활용하며, 성공시 트로이 소프트웨어를 다운로드 하게 해 피해 시스템 및 네트워크에 공격자가 접근할 수 있게 한다. 최초 리포트는 Dragonfly 공격이 에너지 부문을 공격대상으로 했지만, 맥아피 랩과 Advanced Threat Research팀이 밝혀낸 바에 따르면 제약(phamaceutical) 및 금융(financial), 회계(accounting) 산업도 공격 대상으로 하고 있다. 그리고 피해 대상에 대한 공격을 실행하기 전에 정찰을 수행한다. 그리고 피해 대상의 네트워크에 대한 발판(foothold)을 마련하기 위해, 스피어피싱, 워터링 홀(watering holes), 이전 캠페인을 통한 서플라이체인(supply-chain) 공격과 같은 다양한 기법들이 사용되는 것을 확인했다.
  • 맥아피(McAfee)가 랜섬웨어 공격자들에 대한 연구조사 결과를 발표했다. 맥아피는 포럼등을 직접 뒤지는 시간소모적인 방법보다 랜섬노트(ransom note)를 분석하는 방법을 사용했다. 2017년 동안 다양한 랜섬 노트들이 이메일 주소를 지불방식에 대한 문의나 파일 복구 문의용으로 포함하고 있었다. 세달간의 랜섬웨어 샘플들을 관찰하여 이러한 주소를 추출했고. 새로운 랜섬웨어 종류들이 추가될때마다 주소를 추출했다. 새로 확인된 메일에는 대학교 박사과정에 있는 학생으로 위장하여 공격자들에게 몇가지 질문에 답해줄 수 있는가를 물었고, 약 30%의 이메일이 가짜이거나 존재하지 않는 이메일이었다. 이 경우는 피해자들이 몸값을 지불하고 증거를 보내려 해도, 돈만 사라지고 아무런 쓸모가 없어지는 경우다. 대부분의 메일이 무시된 반면에, 주차가 지나가면서 많은 수의 대화에 성공했다. 그 대화 내용과 수집된 결과에 대해 블로그 포스트로 공개했다.
  • 질럿 캠페인(Zealot Campaign)이 NSA의 익스플로잇을 사용해 모네로(Monero) 채굴기를 윈도우즈 및 리눅스 서버에 유포하고 있다. F5 Networks의 보안연구가들이 정교한 악성코드 캠페인을 탐지해냈다. Zealot 캠페인으로 명명된 이 공격은 공격대상 서버에 드랍되는 zealot.zip 파일이름을 따라 지어졌다. 이 공격은 리눅스와 윈도우즈 서버를 공격 대상으로 하며, 모네로(Monero) 암호화폐 채굴기를 설치한다. 이 공격자들은 인터넷에 패치되지 않은 서버들을 스캔하며, 이 서버들을 두가지 익스플로잇을 사용해 해킹한다. 하나는 아파치 스트러츠(CVE-2017-5638) 취약점이며, 하나는 NotNetNuke ASP.NET CMS(CVE-2017-9822)취약점이다. (18일에서 이어짐)
  • 북한이 배후에 있는 것으로 추정되는 라자러스(Lazarus) 그룹이 런던의 암호화폐 기업을 공격했다. 악명높은 APT 그룹중 하나인 라자러스(Lazarus) 그룹이 복귀하며 런던의 암호화폐 기업의 직원 인증정보(credentials)를 훔치기 위한 스피어피싱(spearphishing) 캠페인을 진행하고 있다. 라자러스 그룹의 활동은 2014년과 2015년에 급등했는데, 이 그룹의 일원이 맞춤형 악성코드를 공격에 사용했으며, 이들에 대해 조사했던 보안전문가들은 이를 아주 정교한 악성코드로 평가하고 있다. 이들은 최소 2009년 부터 활동해 왔으며, 이르면 2007년까지도 생각할 수 있다. 그리고 사이버 스파이 행위와 데이터 및 시스템 장애를 목적으로 한 파괴행위까지 모두 연관되어 있다. 보안연구가들은 복한의 라자러스 APT 그룹이 최근 방글라데시 사이버 절도사건을 포함한 은행공격의 배후임을 밝혀냈다. 이들에 따르면, 이 라자러스 그룹이 전세계를 대상으로 하는 기타 다른 대규모의 사이버 스파이 작전들의 배후이기도 하다. 여기에는 Troy Operation, DarkSeoul Operation, Sony Pictures 해킹도 포함된다. (16일에서 이어짐)

Detailed News list

  • BGP hijacking
    • [SecurityAffairs]
      BGP hijacking – Traffic for Google, Apple, Facebook, Microsoft and other tech giants routed through Russia
  • Operation Dragonfly
    • [McAfee]
      Operation Dragonfly Analysis Suggests Links to Earlier Attacks
  • Ransomware Actors
    • [McAfee]
      Looking Into the World of Ransomware Actors Reveals Some Surprises
    • [McAfee]
      McAfee Labs Reports All-Time Highs for Malware in Latest Count
  • Zealot campaign
    • [SecurityWeek]
      “Zealot” Apache Struts Attacks Abuses NSA Exploits
  • Lazarus
    • [CyberScoop]
      North Korean hackers are impersonating a cryptocurrency company to target Bitcoin fans
    • [BankInfoSecurity]
      Lazarus Hackers Phish For Bitcoins, Researchers Warn

 

Malwares

Summaries

  • Loapi 악성코드가 안드로이드 스마트폰을 공격하고 있다. 이 Loapi 트로이를 광고를 클릭하거나 가짜 AV나 성인 콘텐츠 앱을 다운로드하며 설치하게 된다. 설치 후, Loapi는 관리자 권한을 끊임없이 요구한다. 사용자가 관리자 권한을 박탈하려 하면, 이 트로이는 화면을 잠가버리고 설정 윈도우를 닫아버린다. 그리고 사용자가 장치 보호를 위한 안티바이러스 앱과 같은 응용프로그램을 다운로드하려 하면 Loapi는 이 프로그램을 악성이라 분류하고 삭제할 것을 요구한다. 이러한 알림 팝업이 끊임없이 반복된다.
  • 메두사(Medusa)가 HTTP DDoS 툴로 다시 돌아왔다. 메두사HTTP는 2017년 초반 등장한 닷넷(.Net)으로 작성된 HTTP 기반의 분산서비스거부(DDoS, Distributed Denial of Service) 공격 봇넷이다. MedusaHTTP는 IRC를 명령/제어 통신 방식으로 사용하는 MedusaIRC를 기반으로 한다. MedusaIRC 봇넷은 다양한 언더그라운드 해커 마켓에서 2015년부터 광고를 해왔으며, MedusaHTTP는 2017년에 등장했다.
  • 새로운 GnatSpy 모바일 악성코드 종이 발견되었다. 올해 초 중동의 여러 부문을 노린 공격이 탐지된 바 있다. 이 공격자는 Scorpion이나 APT-C-23으로 불린다. 이후 VAMP라 불리는 새로운 모바일 컴포넌트가 발견되었으며, FrozenCell이라 명명된 변종이 10월에 발견되었다. VAMP는 피해 스마트폰에서 다양한 종류의 데이터를 노린다. 최근 트렌드마이크로 연구자들에 의해 GnatSpy 모바일 악성코드 종이 발견되었다. 이 악성코드는 VAMP의 새로운 변종으로 추정되며, APT-C-23 배후의 공격자들이 아직도 활동중이며 악성코드를 계속적으로 개선해 나가고 있는 것으로 보인다. 일부 VAMP의 C&C 도메인이 최근 GnatSpy 변종에서 재사용되었다.
  • 악성 크롬 확장기능이 쿠키 및 은행 고객 인증정보를 훔치고 있다. 브라질 사용자들을 노리는 델파이(Delphi)로 작성된 악성코드가 유포되고 있다. 이 트로이의 주 행위는 다음과 같다. 크롬 확장 파일을 txt 형태로 다운로드 받아 설치한다. 모든 구글 크롬 바로가기를 찾아 악성 확장프로그램을 읽어들이도록 수정한다. 구글크롬의 개발자모드 확장 경고를 비활성화한다. Banco do Brasil 고객들을 공격 대상으로 삼아 쿠키와 인증정보를 훔친다.

Detailed News List

  • Loapi malware
    • [KasperskyLab]
      Loapi — this Trojan is hot!
    • [CSOOnline]
      Loapi malware capable of destroying Android phones
  • MedusaHTTP DDoS
    • [ArborNetworks]
      MedusaHTTP DDoS Slithers Back into the Spotlight
  • GnatSpy Mobile Malware
    • [TrendMicro]
      New GnatSpy Mobile Malware Family Discovered
  • Malicious Chrome Extension
    • [Zscaler]
      Malicious Chrome Extension Steals Cookies and Credentials of Bank Customers

 

Exploits/Vulnerabilities

Summaries

  • 온라인 포럼을 만들 수 있는 도구인 vBulletin에서 치명적인 취약점 두개가 발견되었다. 이탈리아의 보안기업 TRUELIT의 연구자 및 개인 연구가들에 의해, 인터넷에서 광범위하게 사용되고있는 vBulletin에서 두가지 보안 취약점이 발견되었다. 취약점 중 하나는 file inclusion 취약점으로, 공격자가 원격으로 악의적인 코드를 vBulletin의 서버에서 실행시킬 수 있다. vBulletin 5버젼이 이 취약점에 영향을 받는다. 이 취약점은 2017년 11월 말에 발견되어 vBulletin 측에 전달되었으나, 아직 명확한 반응은 없었다. 두번째 취약점은 CVE-2017-17672로, deserialization 문제로 알려졌다. 사용자 입력값에 대한 unserialize 함수의 안전하지 않은 적용으로 인해, 공격자는 vBulletin의 특정 파일을 삭제할 수 있고 특정 상황에서는 악의적인 코드를 실행할 수 있다.
  • 윈도우즈(Windows) 10에 내장된 Keeper 비밀번호 관리자가 저장된 비밀번호를 노출시키는 취약점이 있는것으로 나타났다. 키퍼(Keeper)는 Windows 10에 함께 포함되어있는 비밀번호 관리자다. 그런데 구글 프로젝트 제로(Google Project Zero)의 연구자인 Travis Ormandy가 새로운 버젼의 Keeper에서 치명적인 버그를 찾아냈다. 이 버그는 MSDN(Microsoft Developer Network)에서 바로 다운로드한 깨끗한 Windows 10에서 발견되었다. 이 버그는 콘텐츠 스크립트를 통해 신뢰할 수 없는 웹페이지에 trusted UI를 주입하는데, 결과적으로 이 웹페이지들은 클릭재킹(Clickjacking)이나 유사 기법들을 통해 사용자 인증정보(credential)를 훔칠 수 있다. (17일에서 이어짐)
  • 팔로 알토 네트웍스(Palo Alto Networks)의 보안 플랫폼에서 치명적인 보안 취약점이 발견되었다. 이 취약점은 관리 인터페이스(management interface)의 여러 취약점들의 조합으로, 원격으로 인증되지 않은 공격자가 방화벽에서 임의의 코드를 실행할 수 있다. PAN-OS 6.1.18, 7.0.18, 7.1.13, 8.0.5와 이전 버젼들이 영향을 받으며, 이 취약점의 번호는 CVE-2017-15944다. 또 다른 취약점은 CVE-2017-15940으로, 인증받은 공격자가 임의의 명령을 주입(inject)할 수 있다. (14일에서 이어짐)

Detailed News List

  • vBulletin flaws
    • [HackRead]
      Two critical and unpatched flaws identified in vBulletin
    • [SecurityAffairs]
      Researchers discovered two serious code execution flaws in vBulletin not yet unpatched
    • [TheHackerNews]
      Two Critical 0-Day Remote Exploits for vBulletin Forum Disclosed Publicly
    • [SecurityWeek]
      vBulletin to Patch Disclosed Code Execution, File Deletion Flaws
  • Windows Password Manager
    • [SecurityWeek]
      Google Researcher Finds Critical Flaw in Keeper Password Manager
    • [TheRegister]
      Windows 10 bundles a briefly vulnerable password manager
  • PAN-OS Networks Security Platform
    • [SecurityAffairs]
      Expert found critical issues in Palo Alto PAN-OS Networks Security Platform

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 결국 카스퍼스키랩(KasperskyLab)이 연방 기관들에서 자사 소프트웨어 사용이 금지당한 것에 대하여 미 국토안전부(DHS, Department of Homeland Security)를 고소했다. 카스퍼스키랩은 이 고소장에서 연방 기관들의 이러한 금지 조치가 상당수 루머와 정체를 알 수 없는 출처에 기반한 미디어 리포트에 기반하고 있다고 주장했다.
  • 미 공군의 버그바운티 프로그램(Bug Bounty Program)에서 취약점 발견에 대한 보상으로 총 2만 6,883달러를 해커들에게 지불했다. 이중 하나의 상금은 10,650달러로 정부의 버그바운티로 지불된 금액 중 역대 가장 큰 금액도 나왔다. Bret Buerhaus와 Mathias Karlsson이 이 상금을 차지했으며, 공군 웹사이트에서 취약점을 찾은 대가다. 7개국의 25명의 해커들과 7명의 미 공군들이 55개의 취약점을 9시간의 해킹을 통해 찾아냈다.
  • 우버(Uber)에 대한 범죄사실 조사가 이루어지고 있다고 미 법무부가 밝혔다. 우버와 웨이모(Waymo)의 자가 주행 기술(self-driving technology) 도난 사건에 대해 공방이 치열한 가운데, 22일자 비공개 서한에서 우버의 전 직원(former employee)은 우버가 의도적으로 비 귀속 전자장치(non-attributable)를 사용해, 무인 차량 기술(driverless vehicle technology)과 같이 부당하게 획득한 지적 재산(intellectual property)들의 사용을 숨기려 했다고 주장했다.
  • Dridex 악성코드를 사용해 수백만 달러를 훔친 범인을 도운 혐으로 한 남성이 감옥에 가게되었다. 2017년 12월 12일 화요일, 바클레이즈(Barclays)은행에서 일하던 29세의  Jinal Pethad가 두명의 몰도바인(Moldovan) 사이버 범죄자들의 3백만 달러(£2.5 million) 이상의 자금을 그가 일했던 Barclays Ealing 런던 지점에서 돈세탁하는 것을 도운 죄로 6년 4개월 형에 처해졌다. 두명의 사이버 범죄자는 Ion Turcan과 Pavel Gincota로 밝혀졌으며, Dridex 뱅킹 악성코드를 사용한 것과 Pethad에게 도움을 댓가로 보수를 지불한 점으로 각각 5년 8개월과 7년형에 처해졌다. (14일에서 이어짐)

Detailed News List

  • Kaspersky Lab Files DHS
    • [CBSNews]
      Moscow-based cybersecurity firm appeals DHS decision to ban its software
    • [TheRegister]
      SCOLD WAR: Kaspersky drags Uncle Sam into court to battle AV ban
    • [SecurityWeek]
      Kaspersky Sues U.S. Government Over Product Ban
    • [DarkReading]
      Kaspersky Lab Files Lawsuit Over DHS Ban of its Products
    • [CyberScoop]
      Kaspersky Lab takes U.S. government to court over federal software ban
  • U.S. Air Force Bug Bounty Program
    • [InfoSecurityMagazine]
      Hack the Air Force 2.0 Bug Bounty Kicks Off with $10K Payout
    • [DarkReading]
      US Government Pays $10,650 Bug Bounty in ‘Hack the Air Force’ Event
    • [SecurityWeek]
      Pentagon Hacked in New U.S. Air Force Bug Bounty Program
  • Uber
    • [NakedSecurity]
      DOJ confirms Uber is under criminal investigation
  • Barclays
    • [SecurityWeek]
      Barclays Bank Employee Jailed for Role in Malware Scheme

 

Vulnerability Patches/Software Updates

Summaries

  • 구글이 크롬 68.0.3239.108버젼을 안정화 채널(stable channel)을 통해 배포했다. 이 버젼에서는 두개의 보안 취약점이 수정되었다. 하나는 CVE-2017-15429로 구글 크롬 및 크로미움에서 사용되는 오픈소스 자바스크립트 엔진인 V8의 Universal Cross-site Scripting(UXSS) 취약점이다. 또 다른 하나는 내부 팀에 의해 발견되었는데, 아직 취약점에 대한 정보를 공개하지 않았다.

Detailed News List

  • Chrome 63
    • [InfosecIsland]
      Google Patches High Risk Flaw in Chrome 63

 

Privacy

Summaries

  • 중국이 신장(Xinjiang) 지구의 성인 영주권자의 DNA 데이터베이스를 구축하려 하고 있다. 이번년도 초 TechDirt에 의해 신장지구에서 모든 차량에 추적장치(tracking device)가 부착되어야 한다는 감시 기술에 대한 기사가 있었던 것에 이어서, 이제는 국제인권감시기구 Human Rights Watch가 그 지역 2,400만명 주민들에 대한 더 강력한 감시조치가 이루어지고 있다는 리포트를 내놓았다. 당국이 정치적인 위협으로 간주하는 “집중 대상(focus personnel)“이라 부르는 개인들은, 나이와 상관없이 가족 구성원 모두의 생체 지표(biometrics)를 측정한다.
  • 훔친 인증정보를 거래하기 위한 마켓에 대한 크렙스의 기사가 공개되었다. 훔친 인증정보의 가격과 기업 인증정보 절도범들이 이러한 계정을 어떻게 팔아 수익을 얻는가에 대한 설명을 포함되어있다.

Detailed News List

  • DNA Database in China
    • [TechDirt]
      China Is Building The Ultimate Surveillance Tool: A DNA Database Of Every Adult Resident In Troubled Xinjiang Region
  • The market for stolen credentials
    • [KrebsOnSecurity]
      The Market for Stolen Account Credentials

 

Data Breaches/Info Leakages

Summaries

  • 캘리포니아 투표자 1,900만명의 기록이 몽고(Mongo)DB 공격에 의해 몸값 지급을 요구당하고 있다. 이 기록은 보안설정이 되어있지 않은 MongoDB 데이터베이스에서 유출되었다. 이 사건을 발견한 Kromtech의 보안연구가에 따르면, 1,920만명이 넘는 캘리포니아 거주자 투표 등록 데이터가 보안이 되어있지 않은 MongoDB 데이터베이스에 존재하다가 삭제당하는 사건이 벌어졌고 공격자는 이 데이터를 가지고 몸값을 요구하고 있다.(16일에서 이어짐)

Detailed News List

  • California Voters
    • [SecurityWeek]
      California Voter Data Stolen from Insecure MongoDB Database

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 러시아에 의한 수중 인터넷 인프라 공격에 대한 우려가 높아지고 있다. 많은 언론 매체에서 보도된 바와 같이, 영국 공군 대장(Air Chief Marshal) 스튜어트 피치 경(Sir Stuart Peach)이 영국 왕립 서비스 연구소(Royal United Services Institute)에서의 연설을 통해 러시아가 수중 통신 케이블을 손상시켜 전세계 금융 경제에 심각한 타격을 입힐 수 있다고 경고했다.
  • 러시아의 송유관 제어 컴퓨터가 해킹되어 모네로(Monero) 암호화폐 채굴 작업에 동원되었다. 12월 15일 금요일에 러시아 당국이 밝힌 바에 따르면, 세계에서 제일 큰 국영 파이프라인 기업인 Transneft가 사이버 공격을 당했으며 컴퓨터들이 해킹되어 모네로를 채굴했다. Reuters에 따르면, 회사 대변인 Igor Demin은 Transneft의 컴퓨터들이 자동으로 모네로 채굴 코드를 웹에서 다운로드 했다. 제한된 정보만이 제공되어 이렇게 침해당한 장치들에서 얼마나 많은 코인이 생성되었는지는 알려지지 않았다. (17일에서 이어짐)
  • 새로운 트라이톤(Triton) 악성코드가 주요 사회기반시설(critical infrastructure)에 대한 공격을 준비하고 있는 것이 탐지되었다. 산업 제어 시스템(ICS, Industrial Control Systems)을 노리는 새로운 Triton 악성코드가 파이어아이(FireEye) 연구자들에 의해 발견되었다. 트라이톤(Triton)이라 명명된 이 악성코드는 이름이 알려지지 않은 주요 사회기반시설 기관(critical infrastructure organization)을 노린 공격에 사용되어왔다. 보안전문가들은 금전적인 동기가 부족한 점과 공격의 정교한 수준으로 보았을때, 국가가 배후에 있는(state-sponsored) 공격자가 사보타주를 목적으로 한 것으로 보고있다. 파이어아이는 아직까지 Triton 공격을 어떠한 APT 그룹과도 연관짓지 않았다. 보안 전문가들은, 그들이 탐지한 행위들이 작전의 정찰단계 일부(part of the reconnaissance phase)였을 것이라 추정하고 있다. Triton 악성코드는 Schneider Electric의 Triconex Safety Instrumented System(SIS) 컨트롤러를 공격 대상으로 만들어졌다. 이 제품들은 산업 환경에서 프로세스 상태를 모니터하고 잠재적으로 위험한 상황에서 안전하게 복구하거나 차단하기 위한 제품이다. (15일에서 이어짐)

Detailed News List

  • Underwater Internet Critical Infrastructure
    • [SecurityAffairs]
      Information Warfare At Bay – The Dangers of Russian Menace to Underwater Internet Critical Infrastructure
  • Monero miner in Oil Pipeline
    • [TripWire]
      Monero Mining Software Found on Oil Transport Company’s Systems
  • Triton Malware
    • [CyberScoop]
      Triton malware shines light on threat facing energy production companies
    • [InfosecInstitute]
      Triton Malware Hits Critical Infrastructure in Saudi Arabia

 

Internet of Things

Summaries

  • 사용자의 무관심으로 인해 수백종의 Lexmark 프린터들이 온라인에 공격받기 쉬운 상태로 무방비로 노출되고 있다. NewSky의 보안연구자들이 수백종의 Lexmark 프린터들이 잘못 설정되어 있는 것을 발견했다. 프린터들이 공공 인터넷에 공개되어있어 쉽게 접근 가능하고, 누구나 대상 장비를 제어할 수 있는 것이다. 연구자들은 1,123개의 Lexmark 프린터들이 기업이나 대학교, 미 정부 사무실에 위치한 것을 확인했다. 이런 취약한 프린터들을 사용해서 백도어를 추가하거나 프린트 작업을 캡쳐하고, 동작이 불가능한 상태로 만들거나, 쓰레기 내용을 출력해 작업을 방해하는 등의 다양한 악의적 행위들이 가능하다.

Detailed News List

  • Lexmark Printers
    • [ThreatPost]
      User ‘Gross Negligence’ Leaves Hundreds of Lexmark Printers Open to Attack

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 가짜 기술지원 사기(tech support scam)가 계속적으로 벌어지고 있으며, 크리스마스까지 계속될 것으로 보인다. 이런 사기는 꽤 오래 지속되어온 방식이다. 최근의 방법은 감염된 웹사이트로부터 시작된다. 종종 악성코드 감염등의 이유로 범죄자들에게 전화하라고 부추기는 팝업 경고 메시지를 띄우는 형태다.
  • 호주의 백만장자 중 한명이 비즈니스 메일 침해(BEC, Business Email Compromise) 사기에 당했다고 알려졌다. 호주의 백만장자 중 하나가, 그의 비서가 전형적인 비즈니스 메일 침해사기를 당해 1백만 달러의 손해를 본 것으로 알려졌다. Twynam Agricultural Group의 설립자인 John Kahlbetzer의 순 자산은 9억 5천만 달러다. 사기꾼들은 그의 비서 Christine Campbell에게 지인의 이메일과 유사한 한글자만 빠진 주소로 이메일을 보냈다. David Aldridge라는 영국 남성의 계좌로 총합 1백만 달러의 이체를 요구했다.

Detailed News List

  • Fake support scam
    • [NakedSecurity]
      Watch out – fake support scams are alive and well this Christmas
  • BEC Scam in Austrailia
    • [InfosecurityMagazine]
      Aussie Multi-Millionaire Hit by BEC Scam

 

Service Outage

Summaries

  • 비트피넥스(Bitfinex) 암호화폐 거래소가 또 다시 분산서비스거부(DDoS, Distributed Denial of Service) 공격을 당했다. 2017년 12월 12일에 세계 최대 암호화폐 거래소중 하나인 Bitfinex가 DDoS 공격을 당하고 있다고 발표한 바 있다. 그리고 12월 17일 또다시 막대한 DDoS 공격에 시달리고 있다고 다시 트윗으로 언급했다.

Detailed News List

  • Bitfinex
    • [HackRead]
      Bitfinex cryptocurrency exchange hit by “heavy DDoS” attack again

 

Crypto Currencies/Crypto Mining

Summaries

  • 영국의 기업들이 랜섬웨어 몸값으로 비트코인을 지불하기 위해 비트코인을 ‘비축’하고 있다. 랜섬웨어 공격이 매 40초마다 한번씩 일어난다. 2017년 1분기에는 10건의 악성코드 페이로드 중 6건에 랜섬웨어가 포함되어 있었으며, 사용자의 PC를 사용불가능 하게 잠그고 드라이브 및 파일을 암호화 하며 비트코인과 같은 암호화폐를 요구한다. 영국의 국방부(Ministry of Defence) 전 사이버 책임자(former cyber chief) 폴 테일러(Paul Taylor)는 기업들이 몸값 지불을 위해 비트코인을 비축(stockpiling)하고 있는게 확실하다고 언급했다.

Detailed News List

  • Stockphile
    • [ZDNet]
      UK firms ‘stockpile’ Bitcoin to pay off ransomware hackers

 

Posted in Security, Security NewsTagged BEC Scammers, BGP, Border Gateway Protocol, Bug Bounty Program, Crypto Currency, Cryptocurrency Exchanges, CVE-2017-15429, CVE-2017-17672, Cyber Espionage, Data Breach, DDoS, Distributed Denial of Service, GnatSpy, Industrial Control System, Information Leakage, Infrastructure, Lazarus, Loapi, Malware, MedusaHTTP, MedusaIRC, Operation Dragonfly, Outage, Patches, Privacy, Ransomware, Scam, Tech Support Scam, Traffic Hijacking, Triton Malware, Vulnerability, Zealot CampaignLeave a comment

Security Newsletters, 2017 Dec 16th, 라자러스Lazarus 스피어피싱 공격 外

Posted on 2017-12-16 - 2017-12-16 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 해킹당했던 보안전문기업 FOX-IT가 지난 9월에 겪었던 사건에 대한 상세 분석 보고서를 내놓았다. 영국의 NCC그룹 소유인 사이버보안 기업인 FOX-IT가 기업 기반시설(infrastructure)에 영향을 미쳤던 침해사고에 대한 정보를 공개했다. FOX-IT에 따르면, 지난 9월 19일에 신원이 알려지지 않은 공격자에 의해 중간자(MitM, Man-in-the-Middle) 공격이 일어났고, 일부(limited number)의 고객들을 염탐하는 일이 있었다. FOX-IT는 이 공격자가 회사 도메인 이름을 10시간 24분동안 하이재킹하고 FOX-IT의 이름으로 SSL 인증서를 획득했다고 밝혔다. 이 해커는 도메인을 MitM 공격을 위해 자신들의 관리하에 있는 사설 VPS 서버로 우회시켰다. 이렇게 해서 공격자들은 FOX-IT 도메인으로 향하는 트래픽을 자신들이 받아볼 수 있었으며, SSL 인증서를 사용해 HTTPS 연결 내용을 염탐하면서 트래픽은 실제 FOX-IT 서버로 포워딩 할 수 있었다. FOX-IT는 이 공격자들이 클라이언트포털(ClientPortal) 웹사이트만을 트래픽을 가로채는 공격 대상으로 삼았다고 밝혔다. FOX-IT에 따르면, 해커들은 클라이언트 포탈로 전송되는 로그인 시도 및 인증정보, 파일 등 모든 데이터에 접근했다.
  • 북한이 배후에 있는 것으로 추정되는 라자러스(Lazarus) 그룹이 런던의 암호화폐 기업을 공격했다. 악명높은 APT 그룹중 하나인 라자러스(Lazarus) 그룹이 복귀하며 런던의 암호화폐 기업의 직원 인증정보(credentials)를 훔치기 위한 스피어피싱(spearphishing) 캠페인을 진행하고 있다. 라자러스 그룹의 활동은 2014년과 2015년에 급등했는데, 이 그룹의 일원이 맞춤형 악성코드를 공격에 사용했으며, 이들에 대해 조사했던 보안전문가들은 이를 아주 정교한 악성코드로 평가하고 있다. 이들은 최소 2009년 부터 활동해 왔으며, 이르면 2007년까지도 생각할 수 있다. 그리고 사이버 스파이 행위와 데이터 및 시스템 장애를 목적으로 한 파괴행위까지 모두 연관되어 있다. 보안연구가들은 복한의 라자러스 APT 그룹이 최근 방글라데시 사이버 절도사건을 포함한 은행공격의 배후임을 밝혀냈다. 이들에 따르면, 이 라자러스 그룹이 전세계를 대상으로 하는 기타 다른 대규모의 사이버 스파이 작전들의 배후이기도 하다. 여기에는 Troy Operation, DarkSeoul Operation, Sony Pictures 해킹도 포함된다.
  • 머니테이커(MoneyTaker) 해킹그룹이 미 은행들로부터 수백만 달러를 훔친 것으로 드러났다. Group-IB에 따르면, 이 해킹그룹이 라틴 아메리카의 은행들을 다음 공격 대상으로 노리고 있다. 러시아어를 사용하는 해킹그룹인 MoneyTaker가 미국내 20개 이상의 은행들에서 2016년 5월 부터 수백만 달러를 훔쳤으며, 라틴 아메키라의 금융 기관들에 대한 공격태세를 취하고 있다고 모스크바 기반의 Group-IB가 경고했다. 이들에 따르면, MoneyTaker라 불리는 이 해킹그룹의 작업방식(modus operandi)은 공격대상 은행의 네트워크로 침입해 들어가 ATM 인출 사기(fraudulent ATM withdrawals)를 위해 카드 처리 시스템(card processing systems)을 조작한다. 이 해킹그룹의 피해기관에는 캘리포니아, 일리노이, 플로리다를 포함한 10개 주의 은행들이다. 이 은행들은 이 공격들로 평균 50만 달러의 피해를 입었다. (12일에서 이어짐)

Detailed News list

  • FOX-IT
    • [SecurityAffairs]
      The cybersecurity firm Fox-IT disclosed a security breach that affected its infrastructure
    • [HelpNetSecurity]
      Security company Fox-IT reveals, details MitM attack they suffered in September
    • [SecurityWeek]
      Hackers Target Security Firm Fox-IT
  • Lazarus group
    • [SecurityAffairs]
      Lazarus APT Group targets a London cryptocurrency company
    • [InfoSecurityMagazine]
      North Korea Attacks London Cryptocurrency Firm
    • [ZDNet]
      North Korean Trojans Are Attempting To Steal Bitcoin
  • MoneyTaker Group
    • [BankInfoSecurity]
      Report: Russian Hackers Target Banks in US, Britain, Russia

 

Malwares

Summaries

  • 맥 장치들을 공격하는 OSX.Pirrit 악성코드가 탐지되었다. 보안전문기업 Cybereason의 보안연구가 Amit Serper가 OSX.Pirrit 애드웨어(adware) 변종을 탐지했다. 이 악성코드 변종은 macOS를 대상으로 하며, 공격자는 mac 컴퓨터에 침입 및 장악 할 수 있다. 전세계 수천대의 맥 장치들이 이 애드웨어에 감염된 것으로 보인다. 이 캠페인은 일반적인 애드웨어 캠페인과는 조금 다른 양상을 보이는데, Serper가 밝힌 바에 따르면 다른 애드웨어 캠페인들은 컴퓨터를 광고로 도배 하는것에 그치지만, 이 악성코드는 거기에 더해 사용자에 대한 스파이 행위까지 수행한다. 그리고 공격자가 사용자의 개인정보를 캡쳐 할 수 있게도 한다. 이 악성코드는 은행계좌 로그인 및 금융, 비즈니스 데이터 등 민감 개인정보를 훔친다.
  • 트렌드 마이크로(Trend Micro) 보안 연구가들이 최근 ATM에서 정보를 훔치는 목적으로 특화된 악성코드를 발견했다. PRILEX라고 명명된 이 악성코드는 비쥬얼베이직(Visual Basic) 6.0으로 작성되었다. 이 악성코드는 뱅킹 어플리케이션을 하이재킹하고 ATM 사용자들의 정보를 훔치도록 설계되었다. 이 악성코드는 브라질에서 발견되었다. 처음 보고 된 것은 2017년 10월 이었으며, PRILEX는 특정 동적 링크 라이브러리(DLLs, Dynamic Link Libraries)를 후킹해 자체 응용프로그램 화면으로 대체(replace)하도록 만들어졌다. 공격 대상이 되는 DLL들은 브라질 은행에서 사용하는 ATM 어플리케이션에 속한 P32disp0.dll, P32mmd.dll, P32afd.dll 이다.

Detailed News List

  • OXS.Pirrit
    • [HackRead]
      New OSX.Pirrit Malware floods Mac devices with ads; spies on users
  • PRILEX ATM Malware
    • [SecurityWeek]
      New “PRILEX” ATM Malware Used in Targeted Attacks
    • [InformationSecurityBuzz]
      Hackers Steal £7.5m Through Targeted ATM Attacks

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 기업 메일을 해킹해 돈을 가로채는 사기(BEC, Business Email Compromise)를 벌였던 나이지리아인이 결국 미국 감옥에 가게 되었다. 나이지리아 국적의 남성이 미국 법원에서 BEC 사기사건에 대하여 유죄 판결을 받아 41개월의 징역을 살게 되었다고 미 사법부가 목요일 발표했다. 범인은 David Chukwuneke Adindu로 2016년 11월에 미국 당국에 의해 체포되었다. 그는 6월에 유죄를 인정했고 그의 범죄로 최소 15년형에 처해있었다. 거기에 더해, 그는 140만 달러의 배상금을 지불하라고 판결 받았다. 검찰에 따르면 Adindu는 나이지리아와 중국에서 거주한 적이 있으며, 조작된 이메일을 보내 그와 공모자들이 관리하던 은행 계좌로 돈을 보내도록 만들었던 사기사건에 일부로 연관되어 있다. 그는 2014년과 2016년 사이에 이 사기사건에 가담했다.
  • 미라이(Mirai) 봇넷을 운영한 혐의로 세명의 해커가 유죄를 인정했다. 이 세명은 수많은 인터넷에 연결된 장치들을 감염시켜 만든 미라이 봇넷(Mirai Botnet)을 생성, 운영, 판매한 것에 대하여 유죄를 인정했다. 이 봇넷은 작년에 호스팅 회사, 소셜미디어 플랫폼, 기타 온라인 기업들에 대하여 수많은 분산서비스거부(DDoS, Distributed Denial of Service) 공격을 실행했다. (14일에서 이어짐)
  • Dridex 악성코드를 사용해 수백만 달러를 훔친 범인을 도운 혐으로 한 남성이 감옥에 가게되었다. 2017년 12월 12일 화요일, 바클레이즈(Barclays)은행에서 일하던 29세의  Jinal Pethad가 두명의 몰도바인(Moldovan) 사이버 범죄자들의 3백만 달러(£2.5 million) 이상의 자금을 그가 일했던 Barclays Ealing 런던 지점에서 돈세탁하는 것을 도운 죄로 6년 4개월 형에 처해졌다. 두명의 사이버 범죄자는 Ion Turcan과 Pavel Gincota로 밝혀졌으며, Dridex 뱅킹 악성코드를 사용한 것과 Pethad에게 도움을 댓가로 보수를 지불한 점으로 각각 5년 8개월과 7년형에 처해졌다. (14일에서 이어짐)

Detailed News List

  • BEC Scams
    • [SecurityWeek]
      Nigerian Sentenced to Prison in U.S. for BEC Scams
    • [WeLiveSecurity]
      Business Email Compromise scammer sentenced to 41 months in prison
  • Mirai
    • [InfoSecurityMagazine]
      Mirai Masterminds Plead Guilty
  • Barclays
    • [InfoSecurityMagazine]
      Barclays Bank Insider Sentenced for Role in Dridex Plot

 

Vulnerability Patches/Software Updates

Summaries

  • HP 노트북에 키로거(Keylogger)로 사용될 수 있는 디버그 코드가 포함된 드라이버가 설치되어 판매되었다는 기사가 발표되었었다. 이에 대한 반대 기사가 다시 나왔다. Synaptics는 수백개 HP 노트북에 키로거가 설치되어 있다는 기사는 정확하지 않다고 말했다. 수요일에 발표된 내용에서, Synaptics는 자사의 소프트웨어가 키로거로 잘못 보도되었다고 밝혔다. 그리고 디버깅 컴포넌트를 자사의 Synaptics Touchpad Driver 제품에서 제거할 것이라 밝혔다. (15일에서 이어짐)

Detailed News List

  • HP Keylogger
    • [SecurityWeek]
      Synaptics to Remove “Keylogger” Functionality From Drivers

 

Data Breaches/Info Leakages

Summaries

  • 캘리포니아 투표자 1,900만명의 기록이 몽고(Mongo)DB 공격에 의해 몸값 지급을 요구당하고 있다. 이 기록은 보안설정이 되어있지 않은 MongoDB 데이터베이스에서 유출되었다. 이 사건을 발견한 Kromtech의 보안연구가에 따르면, 1,920만명이 넘는 캘리포니아 거주자 투표 등록 데이터가 보안이 되어있지 않은 MongoDB 데이터베이스에 존재하다가 삭제당하는 사건이 벌어졌고 공격자는 이 데이터를 가지고 몸값을 요구하고 있다.

Detailed News List

  • MongoDB Attack
    • [DarkReading]
      19 M California Voter Records Held for Ransom in MongoDB Attack

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 새로운 트라이톤(Triton) 악성코드가 주요 사회기반시설(critical infrastructure)에 대한 공격을 준비하고 있는 것이 탐지되었다. 산업 제어 시스템(ICS, Industrial Control Systems)을 노리는 새로운 Triton 악성코드가 파이어아이(FireEye) 연구자들에 의해 발견되었다. 트라이톤(Triton)이라 명명된 이 악성코드는 이름이 알려지지 않은 주요 사회기반시설 기관(critical infrastructure organization)을 노린 공격에 사용되어왔다. 보안전문가들은 금전적인 동기가 부족한 점과 공격의 정교한 수준으로 보았을때, 국가가 배후에 있는(state-sponsored) 공격자가 사보타주를 목적으로 한 것으로 보고있다. 파이어아이는 아직까지 Triton 공격을 어떠한 APT 그룹과도 연관짓지 않았다. 보안 전문가들은, 그들이 탐지한 행위들이 작전의 정찰단계 일부(part of the reconnaissance phase)였을 것이라 추정하고 있다. Triton 악성코드는 Schneider Electric의 Triconex Safety Instrumented System(SIS) 컨트롤러를 공격 대상으로 만들어졌다. 이 제품들은 산업 환경에서 프로세스 상태를 모니터하고 잠재적으로 위험한 상황에서 안전하게 복구하거나 차단하기 위한 제품이다. (15일에서 이어짐)
  • Pen Test Partners의 보안연구가들이 많은 학교들의 난방 제어기의 웹 인터페이스가 공공 인터넷에서 접근가능하며, 안전하지 않다는 사실을 발견했다. 이러한 취약한 시스템과 설정들이 비단 학교뿐만 아니라, 정부 사무실, 대학교, 소방서, 레스토랑에도 존재한다. 조사를 진행했던 Pen Test Partners에서는 이미 몇몇시스템들이 해킹당했다는 사실을 발견했다. 이러한 문제의 대부분은 HVAC(Heating, Ventilation and Air Conditioning)과 빌딩 관리 시스템(Building management system) 설치업자들에 의해 일어난다. 장치들이 고립 네트워크에 존재하며 외부로 노출되지 않아야 하는데 지켜지지 않는것이다. (13일에서 이어짐)

Detailed News List

  • Triton Malware
    • [Computing]
      Cyber security firm responds to ICS Attack framework dubbed Triton
    • [ThreatPost]
      Triton Malware Targets Industrial Control Systems in Middle East
    • [HackRead]
      Hackers Deploy Triton Malware to Shut Down Power Station
    • [SecurityWeek]
      Iran Used “Triton” Malware to Target Saudi Arabia: Researchers
    • [BankInfoSecurity]
      How Malware Known as Triton Threatens Public Safety
    • [HelpNetSecurity]
      Attackers disrupt plant operations with ICS-tailored malware
    • [ZDNet]
      Hackers Use Triton Malware To Shut Down Plant, Industrial Systems
    • [TripWire]
      New “Triton” Attack Framework Targeting ICS Systems
    • [TheHackerNews]
      TRITON Malware Targeting Critical Infrastructure Could Cause Physical Damage
  • Schools
    • [BBC]
      Schools Warned Over Hackable Heating Systems

 

Crypto Currencies/Crypto Mining

Summaries

  • 비트피넥스(Bitfinex)가 분산서비스거부(DDoS, Distributed Denial of Service) 공격으로 잠시 운영을 중단한 이후, 다시 서비스를 복구했다. 비트피넥스(Bitfinex)는 세계 최대의 암호화폐 거래소 중 하나다. 비트피넥스는 지난 화요일인 12월 12일에 끊임없는 DDoS 공격을 받은 끝에 운영을 중단해야 했다. 홍콩에 위치한 비트피넥스는 트워터를 통해 고객들에게 상황을 공지했다. 다행이 DDoS 공격이 사용자들의 자금에는 영향을 미치지 못했다. (15일에서 이어짐)

Detailed News List

  • Bitfinex
    • [InformationSecurityBuzz]
      Worlds Largest Bitcoin Exchange Bitfinex Hit By Cyberattack

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 크렙스온시큐리티의(KrebsOnSecurity) 브라이언 크렙스(Brian Krebs)가 얼마전 해킹당했던 나이스해시(NiceHash)의 기술책임자(CTO)가 Darkode 사건 및 봇 운영으로 유죄판결을 받았었다고 밝혔다. 2017년 12월 6일, 약 5,200만 달러 가량의 비트코인이 나이스해시(NiceHash)로 부터 사라졌다. 나이스해시는 슬로베니아 기업으로, 사용자들이 컴퓨팅 파워를 팔아서 가상화폐를 벌 수 있게 해주는 플랫폼이다. 이 절도사건의 수사가 끝나가는 와중에, 많은 나이스해시 사용자들은 회사의 기술 총책임자(CTO, Chief technology office)가 최근 거대 봇넷을 운영하고 판매했던 사건과 최근까지 세계 최대의 영어기반 사이버범죄 포럼인 ‘Darkode’를 만들고 운영했던 일로 수년간 감옥에 있었다는 사실을 알고 놀라움을 감추지 못했다. 2013년 12월에 나이스해시 CTO인 Matjaž Škorjanc는 마리포사(Mariposa) 봇넷을 만든 악성코드 제작으로 4년 10개월 징역형을 선고받았다. 마리포사는 전세계 100만대가 넘는 컴퓨터를 감염시키며 가장 큰 봇넷 중 하나가 되었다.
  • 웹사이트의 데이터 침해여부를 탐지하는 새로운 툴이 소개되었다. 캘리포니아 샌디애이고 대학교의 IT 보안 연구자들이 웹사이트가 침해당한적 있는지를 판별해주는 툴의 프로토타입을 개발했다. TripWire라는 이름의 이 툴은 2015년 1월부터 2017년 2월까지 2,300 여개의 웹사이트를 대상으로 테스트 되었다.
  • 페이스북이 인증서 투명성 점검을 위한 툴을 소개했다. 2016년 12월에 공개한 Certificate Transparency Monitoring utility에 이어서, 페이스북이 개발자를 위한 Certificate Transparency framework을 공개했다. 작년의 툴은 페이스북 자체의 TLS 인증서 발급 모니터 서비스를 통해 수집한 데이터에 접근기능을 제공하는 것이 목적이었다. 이 툴은 구글의 인증서 투명성 프레임워크(Certificate Transparency framework)를 사용했는데, 오발급된(mis-issued) TLS 인증서들을 탐지하고, 이것들을 사용해 HTTPS 트래픽을 가로채는 시도를 막을 수 있었다. 페이스북은 자사 시스템과의 푸시기반 통합(push-based integrations)기능을 제공하기 위해서, 새로운 웹훅(Webhooks) API를 제공한다. 이 API는 개발자들이 지속적으로 외부로부터 인증서 목록을 내려받거나(pulling) 알림을 기다릴(waiting for notifications) 필요 없이, 모니터링할 도메인을 지정하고 웹훅(webhook)을 등록할 수 있다. 이 도메인들에 대해 새로운 인증서가 발급될 때 마다, 그 인증서에 대한 정보가 개발자가 지정한(developer-specified) 엔드포인트(endpoint)로 전송된다.
  • 어배스트(Avast)가 악성코드 분석을 위한 디컴파일러를 오픈소스로 공개했다. Retargetable Decompiler의 줄임말인 RetDec으로 알려진 이 디컴파일러는 체코 공화국(Czech Republic)의 브르노 기술 대학(Brno University of Technology) 정보기술 학부(Faculty of Information Technology)와 AVG Technologies의 공동 프로젝트로 시작되어 개발된 7년간의 노력의 산물이다. AVG Technologies는 2016년에 어배스트(Avast)가 인수헀다. 이 툴은 실행파일을 플랫폼에 구애받지 않으며 분석할 수 있게(platform-independent analysis ) 해준다. 이 소스코드는 GitHub에 MIT 라이선스로 공개되어 있으며, RetDec은 누구나 무료로 사용할 수 있고, 소스코드를 연구하거나 수정, 재배포 할 수 있다. (15일에서 이어짐)

Detailed News List

  • Botmaster
    • [KrebsOnSecurity]
      Former Botmaster, ‘Darkode’ Founder is CTO of Hacked Bitcoin Mining Firm ‘NiceHash’
  • TripWire Tool
    • [HackRead]
      New tool exposes websites that have suffered data breaches
    • [NakedSecurity]
      Simple research tool detects 19 unknown data breaches
  • Facebook Certificate Transparency Tools
    • [SecurityWeek]
      Facebook Releases New Certificate Transparency Tools
  • Avast Decompiler
    • [TheRegister]
      Merry Xmas, fellow code nerds: Avast open-sources decompiler

 

Posted in Security, Security NewsTagged BEC Scammers, Certificate, Certificate Transparency, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, Cyber Espionage, Dark Seoul, Darkode, Dridex, HVAC, ICS, Industrial Control System, Infrastructure, Keylogger, Lazarus, Malware, Man-in-the-Middle Attack, Mirai, MITM, MoneyTaker, Operation Troy, OSX.Pirrit, PRILEX, Retargetable Decompiler, RetDec, Spearphishing, Triton Malware, VulnerabilityLeave a comment

Security Newsletters, Nov 8th, 2017

Posted on 2017-11-08 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Intelligence

Summaries

  • 새로 탐지된 사이버 스파이그룹에 대한 정보가 나왔다. 소우버그(SowBug)라 명명된 이 그룹은 2015년부터 활동해왔으며 남미(South America)와 동남아시아(Southeast Asia)의 정부기관들을 상대로 민감정보를 훔치기 위해 고도의 표적공격을 반복적으로 수행해온 것으로 드러났다. 시만텍(Symantec) 보안 연구자들에 의해 탐지된 이 그룹은, 비밀리에 외국의 정책 기관, 정부 기관, 아르헨티나, 브라질, 에콰도르, 페루, 말레이시아의 외교 대상으로 공격을 수행해왔다. 시만텍은 이 그룹이 Felismus라는 악성코드를 공격 및 침투를 목적으로 사용한 것으로 분석했다. 처음으로 발견된 것은 이번년도 3월 말 경이며, Felismus 악성코드는 매우 정교하게 잘 만들어진 원격제어 트로이목마(RAT, Remote Access Trojan)로 기능을 확장하며 자신을 숨길 수 있는 모듈식 구조로 되어있다.
  • 비즈니스 이메일 침해(BEC, Business Email Compromise)로 인한 피해가 증가하고 있다는 기사가 이어지고 있다. 얼마전 아트갤러리와 수집가를 대상으로, 거래 막바지에 가짜 계좌정보를 보내 돈을 가로챈 이메일 침해 사기사건의 연장 기사다. 워싱턴포스트(The Washington Post)와 CNBC에 따르면, 이러한 이메일 침해가 계속적으로 증가하고 있으며 피해대상도 주택 구매/판매, 변호사, 부동산, 소유권, 에스크로 에이전트 등 다양한 대상을 노리고 있다.
  • 베트남이 배후에 있는 해킹그룹이 필리핀 두테르테 대통령의 웹사이트를 공격에 사용했다. 베트남 정부가 배후에 있는 것으로 추정되는 해커들이 100개 이상의 웹사이트를 공격했다고 Volexity가 발표했다. 침해당한 웹사이트에는 중국 석유 및 항법 사이트와 필리핀 대통령 로드리고 두테르테(Rodrigo Duterte)의 공식 사이트도 포함되었다고 밝혔다. 오션로터스(OceanLotus)라고 알려진 이 그룹은 APT32로도 알려져있다. Volexity에 따르면 이 APT32 그룹은 Windshield 라고 알려진 악성코드의 사용과도 관련이 있다.
  • RedBaldKnight나 Bronze Butler, Tick이라고 알려진 사이버스파이 그룹이 이제는 스테가노그래피(Steganography)를 사용하는 것으로 드러났다. 트렌드마이크로의 보고서에 따르면, RedBaldKnight 등으로 불리는 이 그룹은 사이버스파이 그룹으로, 주로 일본의 바이오테크놀로지(biotechnology), 전자제품생산(electronics manufacturing), 산업화학(industrial chemistry), 방위산업(Defense) 등의 정부기관(government agencies)을 대상으로 한다. 이들의 작전은 Muirim이나 Nioupale이라고도 알려진 Daserf 백도어를 사용한다. 이 악성코드는 4개의 주요 기능을 가지는데, 쉘 명령을 실행하거나 데이터를 다운로드/업로드 하고 스크린샷을 생성하거나 키스트로크를 기록한다. 최근의 Daserf 변종은 일본이나 대한민국의 대상만을 염탐하거나 데이터를 훔치는 것이 아니라, 이제는 러시아, 싱가폴, 중국 기업들도 대상으로 하고 있다. 또한 다양한 기법 및 스테가노그래피의 사용또한 확인되었다.

Detailed News list

  • SowBug Group & Felismus
    • [theHackerNews] Newly Uncovered ‘SowBug’ Cyber-Espionage Group Stealing Diplomatic Secrets Since 2015
    • [DarkReading] South America the Target of ‘Sowbug’ Cyber Espionage Group
  • BEC Scam
    • [TripWire] Don’t Let Real Estate Scams Crush Your Dreams of Home Ownership!
    • [CNBC] Scammers are conning homebuyers out of their down payment
    • [HelpNetSecurity] BEC scammers stealing millions from home buyers
  • Vietnam Hackers
    • [TheHill] Vietnam-backed hackers used Philippine president’s website for attacks: report
  • RedBaldKnight with Steganography
    • [TrendMicro] REDBALDKNIGHT/BRONZE BUTLER’s Daserf Backdoor Now Using Steganography

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 맨티스텍(Mantistek) GK2 기계식 게이밍 키보드에서 중국에 데이터를 보내는 키로거가 발견되었다. 톰스하드웨어(Tom’s Hardware)에 따르면, 맨티스텍 GK2 키보드에 내장된 키로거는 ‘클라우드 드라이버(Cloud driver)‘ 소프트웨어를 사용한다. 이는 통계정보를 모으기 위한 용도일 수 있으나, 민감한 정보를 알리바바(Alibaba)의 서버로 보내는 것이 확인되었다. 자세한 분석과정에서 확인된 내용은, 키보드가 사용자의 전체 입력내용을 가로채는것이 아니라 얼마나 많은 키가 눌러졌는지 통계를 기록하고 이 데이터를 중국에 있는 알리바바의 클라우드 온라인 서버 47.90.52.88로 보낸다는 것이다. 악의적인 목적의 정보전송이 아니더라도, 사용자가 입력한 횟수를 사용자의 동의 없이 중국에 있는 서버로 보낸다는 것은 민감정보를 유출시킬 수 있는 심각한 문제가 될 수 있다는게 기사의 주 내용이다.
  • 트위터의 140자 제한을 우회하는 취약점이 발견되었다. 일부 사용자들에 대해 280글자를 사용할 수 있는 기능을 실험중이지만, 이 방법을 통해서는 3만 글자를 하나의 메시지에 담을 수 있는 것으로 드러났다. 그러나 현재 이 방법은 트위터에 의해 차단된 상태다. 취약점은 트위터 메시지에 포함되는 단축주소와 관련이 있다. 트위터는 메시지에 웹 주소를 포함시 자동으로 자신들이 소유한 t.co 주소로 단축시켜 포함하며, 그 길이를 계산한다. 그러나 실제 존재할 수 없는 매우 긴 도메인과 URL주소를 포함시켰을 때에도 계산이 잘못되며 그 주소가 메시지에 그대로 포함되는 문제가 있었다. 이 취약점을 찾아낸 독일 계정은 3만자 이상의 트위터 메시지를 등록할 수 있었다.
  • IEEE(Institute of Electrical and Electronics Engineers) P1735 표준 취약점에 대한 기사도 이어지고 있다. IEEE P1735 표준은 전자설계 및 지적재산권의 암호화 및 엑세스 권한을 관리하는 방법을 다루는 기술표준이다. 최근 이 표준에 존재하는 취약점에 대한 발표가 이루어졌고, 그에따라 보안 권고 및 기사들이 계속적으로 발표되고 있다. 이번에는 국토안보부(DHS, Department of Homeland Security)의 US-CERT에서 해당 내용에 대한 보안 경고가 발표되었다. 플로리다 대학의 연구자들에 의해 발표된 이 취약점은 IEEE P1735가 암호공격에 취약해 평문형태의 지적재산권 정보를 키가 없이도 읽어낼 수 있다는 내용을 담고 있다. 관련 취약점은 CVE-2017-13091, CVE-2017-13092, CVE-2017-13093, CVE-2017-13094, CVE-2017-13095, CVE-2017-13096, CVE-2017-13097 이다.

Detailed News List

  • Keyboard Built-in Keylogger
    • [theHackerNews] Built-in Keylogger Found in MantisTek GK2 Keyboards—Sends Data to China
  • Twitter
    • [NakedSecurity] Sick of Twitter’s 140-character limit? These guys gave themselves 30,000!
  • IEEE P1735
    • [ThreatPost] US-CERT WARNS OF CRYPTO BUGS IN IEEE STANDARD

 

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

  • 에스토니아가 사이버범죄 혐의로 러시아 요원을 체포했다. 화요일 에스토니아는 발트 국가와 크렘린 사이의 관계를 긴장시킨 최근 사건에 대한 사이버범죄 혐의로 러시아 스파이를 체포했다고 밝혔다. 에스토니아 검찰총장실은 이름이 알려지지 않은 러시아인이 러시아 연방 안보국과 협조해 주(state) 기관들을 대상으로 한 사이버 공격을 계획한 것으로 추정된다고 전했다. 해당 내용에 대해 Inna Ombler 주 검사는 이 사건은 최근의 에스토니아 전자 ID card 보안 위험과는 상관없는 일이라고 덧붙였다.
  • 트위터가 의회에 나가서 러시아 트롤팜(Troll farm)과 관련되어 있다고 진술한 트위터 계정을 복구했다. 트위터는 Robert Delaware라는 계정을 러시아 트롤이라고 잘못 분류했다고 밝힌데 이어, 그의 계정을 다시 복구했다. 트위터는 Robert Delaware라는 계정을 러시아의 트롤 팜(troll farm)과 관련되어 있다고 잘못 분류하는 실수를 범했다. 지난 10월에 트위터는 이 계정을 정지시키고 그 정보를 의회에 러시아의 개입과 관련된 증거로 보냈었다.

Detailed News List

  • Arrested Russian Agent
    • [SecurityWeek] Estonia Arrests Alleged Russian Agent Plotting Cyber-Crime
  • Robert Delaware
    • [Motherboard] Twitter Re-Activated an Account It Told Congress Was Connected to a Russian Troll Farm

 

Patches/Updates

Summaries

  • 구글이 최근 KRACK(Key Reinstallation AttaCK) 공격과 관련된 내용이 포함된 안드로이드 패치를 내놓았다. 구글이 월요일에 안드로이드용 2017년 11월 보안 패치를 내놓으면서 31개의 취약점을 수정했다. 여기에는 9개의 원격 코드 실행 취약점이 포함되었고, KRACK 공격과 관련된 패치 역시 포함되었다. 2017-11-01과 2017-11-05 패치는 치명적(Critical)과 높은(High) 등급의 보안 문제들에 대한 수정사항을 담고 있고, 2017-11-06 패치는 KRACK 취약점에 대한 수정 사항이 담겨있다.
  • 시스코가 이더넷(Ethernet) 가상사설망(VPN, Virtual Private Network)의 BGP(Border Gateway Protocol) 구현상의 DoS 취약점에 대한 패치를 발표했다. 시스코는 자사 소프트웨어인 IOS XE에 패치를 릴리즈하면서 원격으로 인증없이 장애(Crash)를 일으키거나 BGP 라우팅테이블(BGP routing table)의 오염으로 인한 네트워크 불안정(instability)을 야기할 수 있는 취약점을 패치했다. 취약점은 CVE-2017-12319다.

Detailed News List

  • Android Patch
    • [SecurityWeek] Google Patches Critical Bugs in Android
  • Cisco BGP Patch
    • [ThreatPost] CISCO PATCHES DOS FLAW IN BGP OVER ETHERNET VPN IMPLEMENTATION

 

Mobile/Cloud

Summaries

  • 안드로이드 앱 스토어에 등록되어 1백만명이 다운로드 받았던 가짜 WhatsApp 어플리케이션이 제거되었다. 앞서 무려 1백만명의 사용자가 다운로드한 가짜 WhatsApp 어플리케이션이 안드로이드 공식 앱스토어에 등록되어 있다는 기사가 올라온 바 있다. 이 어플리케이션은 원 제작사와 동일한 이름을 사용해서 앱스토어에 등록되었는데, 동일한 이름 뒤에 유니코드 공백문자가 하나 더 포함된 것으로 드러났다. 어플리케이션의 원 제작사는 “WhatsApp Inc.”으로, 이름 뒤에 유니코드 공백 문자를 붙여 “WhatsApp Inc. “로 원 제작사의 이름을 따라해 등록한 것이다.
  • Marcher 안드로이드 뱅킹 트로이가 수천개의 장비들을 감염시키고 AndroidProcesses 라이브러리를 공격해 사용자들의 신용카드 정보를 훔치는 것이 올해 2월 독일의 보안회사 Securify의 연구자들에 의해 발견되었었다. 그리고 2013년 부터 꾸준히 활동해온 이 악성코드가 최근 더 위험한 형태로 돌아와 활동하고 있다. 프루프포인트(Proofpoint)에 따르면 새로운 Marcher 작전은 피싱, 뱅킹트로이, 신용카드절도를 한꺼번에 수행하도록 설계된 작전이다. 이 다중 단계 계획은 오스트리아 은행(Bank of Austria)의 고객을 대상으로 하며, 지금까지 최소 20,000명의 사용자가 이 작전에 영향을 받은 것으로 드러났다. 이 작전은 1월부터 진행중이며, 이전의 Marcher 악성코드는 문자메시지(SMS)를 통해 배포되었으나 이번 Marcher 악성코드는 피싱 이메일로 악성코드로 연결된 링크가 전송된다. 단축주소를 사용하기 때문에 탐지되기가 쉽지 않다. 그리고 대상 은행의 사용자 인터페이스를 복제하고, gdn과 같은 최상위 레벨의 도메인을 사용해 실제처럼 보이게 꾸며 사용자가 쉽게 속을 수 있게 만들었다.

Detailed News List

  • Fake WhatsApp
    • [NakedSecurity] Fake WhatsApp pulled from Google Play after 1m downloads
    • [ThreatPost] 1M DOWNLOADS LATER, GOOGLE PULLS PHONY WHATSAPP FROM GOOGLE PLAY
  • Marcher Android banking trojan
    • [HackRead] Marcher Android Banking Trojan Combines 3 Threats Into 1 Scheme
    • [InfosecurityMagazine] Multi-vector Attack on Android Throws the Kitchen Sink at Victims

 

Deep Web/DarkNet/Onion

Summaries

  • 다크웹 사용자들이 메시지앱 기반으로 옮겨가고 있다. 알파베이같은 다크웹의 대형 마켓 사이트에 대한 법집행 기관 및 수사기관의 작전이 계속해서 성공함에 따라, 다크웹 커뮤니티가 메시지 앱을 기반으로 옮겨가고 있다는 리포트가 발표되었다. IntSights에 따르면, 메시지의 암호화가 이들의 주 관심사로 WhatsApp, Telegram, Skype, Facebook Messenger를 주로 사용하는 것으로 보인다. 이 앱들은 단대단(end-to-end)암호화를 적용한다고 알려져 있다.
  • 다수의 호주인들이 불법 무기 거래를 위해 다크웹을 사용하는 것으로 드러났다. 수많은 사람들이 불법으로 무기를 밀수하고 구매하는데 다크웹을 이용하고 있다. 밀수업자들은 미국, 영국, 아시아, 남미 같은 국가들에서 물건을 보낸다. 다른 대다수의 딥웹 거래들과 마찬가지로 이러한 총기 및 폭발물은 암호화폐를 사용해 거래된다.

Detailed News List

  • Messaging Apps
    • [DarkWebNews] Dark Web Users Moving to Messaging Apps
  • Illicit firearms
    • [DarkWebNews] Thousands of Australians Reportedly Use Dark Web to Buy Illicit Firearms

 

Security Breaches/Info Leakages

Summaries

  • 할로윈에 일어났던 구글 문서의 잠김(Lock-out) 현상이 구글의 거짓긍정(False positive)에 의한 것이었다고 NakedSecurity가 전했다. 얼마전 구글 Docs사용자들은 특정 문서들이 부적절한 자료로 확인되어 열람하거나 수정할 수 없다는 메시지와 함께 그 문서를 어찌할 수 없는 상황에 처했었다. 금요일에 구글은 이에대한 공식 해명을 발표했다. 구글 Docs와 Drive 서비스에서 보호시스템의 오작동으로 일부 파일들을 서비스 이용약관(Terms of Service, TOS)을 위반한 자료로 분류하는 일이 일어났고, 그로인해 그 파일들에 대한 접근이 차단되었다는 것이다.
  • 파라다이스 페이퍼스(Paradise Papers)에 관한 기사도 이어지고 있다. 지난 파나마 페이퍼스(Panama Papers)에 이어 역외로펌 애플비(Appleby)의 문서가 대량으로 유출되었고, 그에따라 전세계의 유명인들과 정치인들의 세금관련 비리들이 계속적으로 드러나고 있다.

Detailed News List

  • Google Lock-out
    • [NakedSecurity] Google’s Halloween lock-out caused by false positive
  • Paradise Papers
    • [SCMagazineUK] Pirates of the Caribbean: 66 years of secrets dug up in Paradise Papers
    • [InfosecurityMagazine] Paradise Papers Breach is Hell for Offshore Tax Avoiders

 

Industrial/Infrastructure/Physical System/HVAC

Summaries

  • 미국 전역에 걸쳐 컴캐스트(Comcast) 인터넷 서비스에 장애가 발생했다. 다운디텍터(DownDetector)에 따르면, 미 동부 시간으로 월요일 오후 한시에 미국 전역에 걸친 컴캐스트의 인터넷 접속 장애가 발생한 것으로 나타났다. 컴캐스트는 엑스피니티(XFINITY) 인터넷 서비스의 문제를 확인하고 외부 네트워크 문제를 모니터링하고 있다는 트윗을 올렸다. 엑스피니티(XFINITY)는 컴캐스트의 브랜드 명으로 케이블 텔레비전, 인터넷, 전화, 무선서비스를 제공한다. 그러나 다운디텍터는 엑스피니티에 국한된 문제가 아니라는 입장이다. 얼마 후, 컴캐스트는 문제가 해결되었으며 더이상의 장애는 없을 것 이라며 트윗 메시지를 올렸지만, 아직도 문제를 겪고 있다는 사용자들의 답장이 달리고 있다.
  • 미 기업들이 DDoS에 대하여 과도할 정도의 자신감을 보이고 있다는 기사가 등록되었다. CDNetworks에 따르면, 88%의 기업이 DDoS 대응에 대하여 자신감을 보이고 있지만 지난 12개월에 걸쳐 69%의 기업들이 DDoS 공격에 시달렸다는 것이다. 이 조사에서는 미국, 영국, 독일, 오스트리아, 스위스 기업의 500명의 IT 담당자를 대상으로 했다.
  • 다음번의 사이버 공격은 산업제어시스템(ICS, Industrial Control System)을 대상으로한 국가주도(state-sponsored)의 해킹 공격이 될 것 이라는 보안전문가들의 주장이 나왔다.
    산업제어시스템은 이미 미국이 만든것으로 이제 거의 확실시 되는 스턱스넷(Stuxnet)에 의해 사이버보안의 큰 위협이 된지 오래된 것 중 하나다. 공격시 그 영향력 및 피해가 치명적일 수 있다는데는 동의하지만, 오직 산업제어시스템만이 큰 문제는 아니라는게 옮긴이의 생각이다.

Detailed News List

  • Comcast Internet Service Outage
    • [HackRead] Comcast Internet service crippled; affecting users across US
    • [Wired] HOW A TINY ERROR SHUT OFF THE INTERNET FOR PARTS OF THE US
  • DDoS Protection
    • [InfosecurityMagazine] US Orgs Show Dangerous Overconfidence in DDoS Protections
  • Cyberattack against ICS
    • [InsuranceBusinessMagazine] Security experts say next major cyberattack could affect the nation’s utilities

 

Technologies/Technical Documents/Reports

Summaries

  • 2018년 악성코드 예측에서 안드로이드 악성코드의 증가를 예상하고 있다. 소포스(Sophos)에서 발표된 2018년 악성코드 예측 리포트에서 안드로이드 악성코드의 증가를 예상했다. 리포트에 따르면 2017년 안드로이드 장치를 사용하는 사용자들에 대한 공격이 매달 증가하는 모습을 확인할 수 있었다. 악성 안드로이드 앱의 숫자는 지난 4년간 꾸준히 계속해서 증가해왔다. 2013년에는 50만을 조금 넘는 수준에서 2015년에는 약 250만이 안되는 수준으로, 2017년에는 거의 350만 까지 증가했다.
  • 인터넷에서 매일 30,000건의 개별 DoS 공격이 일어난다는 연구 결과가 나왔다. DoS 공격은 지난 몇년간 계속적으로 성장해왔고 이제는 인터넷의 안정성과 신뢰성에 큰 위협중 하나가 되었다. 지난 몇년간의 Mirai 및 Reaper와 같은 IoT 기반의 봇넷이 증가함에 따라 그 양상은 더 확실해졌다. 기사에서는 아직 DoS 생태계에 대한 거시적 관점이 존재하지 않는다고 문제삼는다. 분석이 개개의 연구팀에 의한 별개 봇넷이나 공격에 대한 분석만 이루어질 뿐이라는 점을 지적하면서, 거시적 관점(macroscopic view)의 새로운 프레임워크를 통해 공격 및 공격대상 의 특성에 대한 분석, DDoS 방어 서비스 등이 가능할 것이라 소개했다. 이 기사에서는 이와 함께 네덜란드 Twente 대학, UC 샌디에이고(San Diego) 대학, 독일 Saar 대학의 새로운 논문을 소개한다. 최근 런던의 IMC 2017에서 소개된 이 논문에서는 전체 DoS 생태계(Ecosphere) 평가를 위한 방법론(methodology)을 소개하고, 24비트 네트워크(all /24 networks) 중 3분의 1이 지난 2년간 적어도 1개 이상의 DoS 공격을 당한 것을 포함해 DoS의 막대한 규모의 문제점들을 발견했다고 밝혔다.

Detailed News List

  • 2018 Malware forecast
    • [NakedSecurity] 2018 Malware Forecast: the onward march of Android malware
    • [TheInquirer] Thought WannaCry was bad? You ain’t seen nothing yet, says Sophos
  • Everyday Dos Attacks
    • [SecurityWeek] The Internet Sees Nearly 30,000 Distinct DoS Attacks Each Day: Study

 

Crypto Currencies

Summaries

  • 지난번의 코인하이브(Coinhive) DNS 침해로 인한 모네로(Monero) 채굴 스크립트 조작에 이은 기사가 올라왔다. 드라이브바이(Drive-by) 암호화폐 채굴이 불특정 방문자를 노리고 있다. 말웨어바이츠(Malwarebytes)의 분석에 따르면, 코인하이브(Coinhive)는 9월에 웹 브라우저를 사용해 자바스크립트 기반으로 모네로(Monero)라는 암호화폐를 채굴 할 수 있는 서비스를 시작했다. 이 채굴 API는 크로스 플랫폼으로 최근의 모든 브라우저에서 동작하게 되어있다. 그래서 웹사이트 주인들에게 거슬리는 광고 배너 대신에 이론상으로는 방문자들과 윈윈하는 새로운 수익원을 제공하게 되었다. 그러나, 이 기술이 계속적으로 악의적인 목적으로 악용되고 있는 것이 문제다.
  • 영국의 암호화폐 일렉트로니움(Electroneum)이 3,000만 파운드를 모집한 뒤 사이버 공격을 당했다. 영국의 암호화폐 스타트업이 약 4천만 달러(3천만 파운드 가량)를 모금한 뒤 사이버 공격을 당해 투자자들이 며칠간 접근하지 못하는 일이 발생했다. 일렉트로니움은 암호화폐를 스마트폰을 사용해 채굴할 수 있는 기능을 제공한다. 지난 목요일 일렉트로니움은 웹사이트와 모바일 앱을 발표하기 위해 크라우드펀딩으로 ICO(Initial Coin Offering)를 진행해 수천만달러 해당하는 비트코인을 모금했다. 그러나 회사의 웹사이트가 지난주 DDoS 공격에 당하면서 모바일 채굴 앱의 발표가 늦어졌다.

Detailed News List

  • Drive-by Cryptomining
    • [InfosecurityMagazine] Drive-by Cryptomining Hassles Unsuspecting Website Visitors
  • DDoS against Electroneum
    • [TheTelegraph] British cryptocurrency Electroneum hit by cyber attack after raising £30m

 

Internet of Things

Summaries

  • 브라더(Brother)사의 프린터가 서비스 거부 공격(Denial of Service, DOS)을 일으킬 수 있는 취약점을 가지고 있는 것으로 드러났다. 트러스트웨이브(Trustwave)의 보안연구가들이 찾아낸 바에 따르면, 일본의 국제 전자회사인 브라더에서 제조된 프린터에 심각한 보안 취약점이 존재한다. 이 취약점은 CVE-2017-16249로 브라더 프린터에 내장된 웹 프론트엔드를 사용해, 공격자가 DoS 공격을 수행 할 수 있다. 공격은 조작된 HTTP Post 요청 하나를 보내는 것으로 실행된다. 공격자는 500에러 메시지를 응답으로 받고, 웹서버는 접속할 수 없게되며 모든 프린터의 기능이 중단된다. 트러스트웨이브의 연구자에 따르면, 이 취약점은 웹 프론트엔드를 가진 모든 브라더 프린터에 영향을 주는 것으로 보인다.

Detailed News List

  • Brother Printers
    • [HackRead] Hackers can conduct DoS attacks Using Flaw in Brother Printers
    • [DarkReading] DDoS Flaw Found in Brother Printers

Posted in Security, Security NewsTagged Appleby, APT32, BEC Scammers, Bronze Butler, CoinHive, Crypto Currency, CVE-2017-12319, CVE-2017-13091, CVE-2017-13092, CVE-2017-13093, CVE-2017-13094, CVE-2017-13095, CVE-2017-13096, CVE-2017-13097, CVE-2017-16249, Cyber Espionage, Cyber Operation, DarkNet, Daserf, DDoS, Deep web, DoS, Electronium, Exploit, Fake App, Felismus, ICO, ICS, Industrial Control System, IoT, Keylogger, KRACK, Malware, Marcher, Muirim, Nioupale, OceanLotus, Outage, Panama Papers, Paradise Papers, RAT, RedBaldKnight, SowBug, Steganography, Tick, Troll farm, Vulnerability, WindshieldLeave a comment

Security Newsletters, Nov 5th, 2017

Posted on 2017-11-05 - 2017-11-05 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Intelligence

Summaries

  • 시스코 탈로스(Cisco Talos)의 분석에 따르면, 사이버범죄자들이 SEO를 공격하는 방법을 깨우쳐 나가고 있는 중이다. SEO Malvertising이나 SERP Poisoning이라 불리는 이 방법은, 사이버범죄자들이 Zeus Panda 뱅킹 트로이 링크를 검색엔진 검색결과를 클릭하는 광범위한 사용자들에게 배포하는 방법이다. 더 많은 피해자를 확보하는 방법이다.
  • 아트 갤러리와 수집가를 공격하는 사기가 미국과 영국에서 일어나고 있다. 미술품 딜러의 이메일을 장악한 뒤, 오가는 메일에서 거래가 완료되어 갈 때 사기꾼이 등장한다. 발송된 송장을 복사한 뒤 공격자의 계좌번호로 바꾸고 앞서보낸 메일에서 오류가 있었다며, 장악한 딜러의 이메일로 메일을 재발송한다. 이렇게 계약이 성사될 때 마다 돈을 가로채며 딜러와 고객 사이에서 가짜 메일을 보내며 거래가 진행중이며 송금 절차 및 배송 절차가 진행되고 있다는 행세를 한다.

Detailed News list

  • Zeus Panda
    • [HackRead] Google Search Results Exploited to Distribute Zeus Panda Banking Trojan
    • [HelpNetSecurity] Crooks poison results for financial-related searches to deliver banking malware
    • [ThreatPost] POISONED SEARCH RESULTS DELIVER BANKING MALWARE
  • Art galleries
    • [HelpNetSecurity] BEC scammers are robbing art galleries and collectors

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 토르(Tor) 브라우저의 취약점으로 인해 실제 IP가 노출될 수 있다. 토르를 Mac이나 Linux에서 사용한다면 실제 IP가 노출될 수 있는 TorMoil이라는 취약점이 발견되었다. 이 버그는 파이어폭스 브라우저가 file 핸들(file://)을 처리하는 방법에 버그가 있어서 발생한다. 윈도우에서는 발생하지 않는다. 사용자가 특별하게 만들어진 file:// 링크를 클릭할 때, 사용자는 TOR 브라우저의 보안은 거치지 않고(bypass) 해당 컴퓨터와 리모트 호스트 사이의 다이렉트 링크를 만드는 웹페이지로 리다이렉트 되게 된다.
  • 2017 모바일 Pwn2Own 대회에서 $500,000의 상금이 화웨이의 Mate 9 Pro, 애플의 iPhone 7, 삼성의 Galaxy S8의 성공적인 해킹으로 지불되었다. Mobile Pwn2Own은 매년 도쿄의 PacSec 컨퍼런스에서 트렌드 마이크로의 ZDI(Zero Day Initiative)에 의해 열리는 대회다. 공격대상 기기들은 최신의 OS와 소프트웨어를 사용하고 있는 기기들이며, 대회시작 하루전에 구구르, 애플, 화웨이는 패치를 발표했었다. 첫날 $350,000 가량의 상금이 Galaxy S8 인터넷 브라우저, iPhone 7의 사파리, Mate 9 Pro의 baseband, iPhone 7의 WiFi에서의 취약점 발견으로 지불되었다. 두번째 날, $25,000이 화웨이 앱 해킹과 Mate 9 Pro의 구글 크롬의 5가지 로직 버그에 대해 지불되었다. (11월 1일, 2일, 3일, 4일 뉴스)

Detailed News List

  • TOR Browser
    • [HackRead] Flaw in Tor Browser Leads to Leaking of Your Real IP Address
    • [ThreatPost] TOR BROWSER USERS URGED TO PATCH CRITICAL ‘TORMOIL’ VULNERABILITY
  • Pwn2Own
    • [HackRead] Mobile Pwn2Own: Hackers pwn iPhone, Huawei, Galaxy and Pixel Phone

 

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

  • 29세의 캘리포니아 산타 클라라 출신 Sean Tiernan가 학비지불을 위해 77,000대의 장치를 감염시켜 스팸을 보낸 봇넷을 만든 것에 대하여, 10월 30일에 24개월의 보호관찰을 판결받았다. 봇이 컴퓨터를 감염시켰지만 스팸 메시지를 보내는 프록시 기능을 제공했을 뿐, 사용자들을 악의적인 목적으로 악성코드를 감염시키는 행위를 하지 않아 다행스럽게도 감옥은 면할 수 있었다. Sean Tiernan은 2012년 체포되었고, 2013년 유죄를 인정했다.

Detailed News List

  • Spam Botnet
    • [HackRead] No Prison for Student who Developed Spam Botnet to Pay College Fee

 

Patches/Updates

Summaries

  • 지멘스(Siemens)가 SIMATIC PCS 7 분산 제어 시스템(distributed control systems)의 원격 공격이 가능한 입력값 검증 취약점(input validation vulnerability)에 대한 업데이트를 공개했다. 영향을 받는 취약한 버젼은 8.2, 8.1, 8.1 SP1 with WinCC v7.3 Update 13 이전 버젼이다. 버그는 취약점 번호 CVE-2017-14023 이다.

Detailed News List

  • Siemens
    • [ThreatPost] SIEMENS UPDATE PATCHES SIMATIC PCS 7 BUG IN SOME VERSIONS

 

Privacy

Summaries

  • 페이스북 직원이 개인의 페이스북 채팅(private chat) 내용을 훔쳐본다는 주장이 제기되었다. 사건은 한 사용자가 자신의 동생에게 포트폴리오가 담긴 구글 시트(Google Sheet) 링크를 페이스북 메신저를 사용해 보내면서 발생했다. 누구나 볼 수 있는 권한으로 설정된 링크를 보냈는데, 일시적으로 해당 기능을 사용할 수 없다는 페이스북 메신저의 메시지가 표시되었다. 그리고 얼마 후 다시 보냈을 때도 마찬가지였다. 페이스북은 이 메시지를 스팸으로 처리한 후 얼마간 메시지를 보낼 수 없게 만들었는데, 의심을 제기한 사람은 이 시간제한이 페이스북이 직원들에게 메시지를 전달해 직접 확인하게 하는 시간제한이라 말했다. 그리고 그가 확인한 구글 시트 문서에는 자신의 동생이 아닌 알 수 없는 사용자 두명이 접속해 있었다고 한다.

Detailed News List

  • Facebook
    • [HackRead] User claims Facebook employees went through his file sent in private chat
Posted in Security, Security NewsTagged BEC Scammers, Botnet, CVE-2017-14023, Cyber Espionage, Patches, Privacy, Siemens, Spam, Tor project, TorMoil, Vulnerability, Zeus PandaLeave a comment

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.