Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

네덜란드 AIVD^{(General Intelligence and Security Service of the Netherlands)}에서 2016년의 미국 민주당 전국 위원회^{(DNC, Democratic National Committee)}에 대한 해킹사건에 대한 정보를 미 첩보 당국에게 제공했다. 네덜란드 뉴스에 따르면, AIVD의 요원들이 APT29 혹은 Cozy Bear라 알려진 러시아의 해킹그룹이 사용하는 모스코바의 붉은 광장에 있는 대학 건물의 네트워크에 2014년 여름 침입했다. AIVD는 네트워크에 완벽히 침투해 건물내의 CCTV까지 확인할 수 있었으며, 네트워크를 사용하는 Cozy Bear의 해커들도 확인할 수 있었다.
러시아와 연관된 것으로 추정되는 해킹그룹 FancyBear가 이번에는 국제 루지 연맹^{(International Luge Federation)}으로부터 데이터를 유출했다.
구글 더블클릭^{(DoubleClick)}을 악용해 암호화폐 채굴기를 유포하는 말버타이징^{(Malvertising)} 캠페인이 확인되었다. 여기에는 CoinHive 스크립트 외에도, 사설 풀^(pool)의 별도 웹 마이너도 사용되었다. 공격자들은 구글의 더블클릭을 악용^(abused)한다.
팔로알토네트웍스의 Unit 42에서 Google+, Pastebin, bit.ly 서비스들을 이용하는 공격을 탐지했다. 이 공격에서 공격자들은 최근의 팔레스타인 지역의 사건들에 관한 아랍어 문서를 미끼로 사용해 피해자들이 해당 문서를 열람하고 악성코드에 감염되도록 유도하고 있다.
이란 해커들이 새로운 백도어를 가지고 IIS 웹 서버들을 노리고 있다. OilRig으로 알려진 이란과 연관된 것으로 추정되는 사이버 스파이 그룹이 중동 정부 기관과 금융 및 교육기관들의 IIS 웹서버들을 공격하고 있다. RGDoor라고 명명된 이 악성코드는, 첫번째 악성코드가 탐지되어 삭제된 경우에 공격자가 침해당한 웹서버에 다시 접근할 수 있게 해주는 악성코드로 추정된다.
클라우드플레어 도메인^{(cloudflare.solutions)}을 사용했던 키로거가 새로운 도메인으로 돌아왔다. Sucuri에서 cloudflare.solutions에 대한 정보를 공개한 뒤, 해당 도메인은 정지되었다. 공격자는 즉시 새로운 도메인들을 등록했다. cdjs.oneline, cdns.ws, msdns.online 등이다. (25일에서 이어짐)

Detailed News list

Dutch Intel
- _{[DarkReading]}
  Dutch Intel Agency Reportedly Helped US Attribute DNC Hack to Russia
- _{[GrahamCluley]}
  How Dutch intelligence spied on the Russian hackers attacking the DNC
- _{[NakedSecurity]}
  Spy vs. Spy – “Cozy Bear” election hackers undone by hackable security camera
- _[ZDNet]
  Dutch spies tipped off NSA that Russia was hacking the Democrats, new reports claim
- _{[SecurityWeek]}
  Dutch Spies Watched as Russians Hacked US Democrats: Report
- _{[SecurityAffairs]}
  The Dutch intelligence service AIVD ‘hacked’ Russian Cozy Bear systems for years
FancyBear
- _{[EHackingNews]}
  Russia-linked hackers Fancy Bears leak data from International Luge Federation
Malvertising Campaign abuses Google’s DoubleClick
- _[TrendMicro]
  Malvertising Campaign Abuses Google’s DoubleClick to Deliver Cryptocurrency Miners
- _{[TheRegister]}
  Crypto-jackers slip Coinhive mining code into YouTube site ads
TopHat Campaign
- _{[PaloAltoNetworks]}
  The TopHat Campaign: Attacks Within The Middle East Region Using Popular Third-Party Services
Iranian Hackers
- _{[SecurityWeek]}
  Iranian Hackers Target IIS Web Servers With New Backdoor
Keylogger Campaign
- _[ThreatPost]
  Keylogger Campaign Returns, Infecting 2,000 WordPress Sites
- _{[GrahamCluley]}
  Keylogger found on thousands of WordPress-based sites, stealing every keypress as you type

Malwares

Summaries

최근 ESET의 조사결과에서 유명한 Dridex 뱅킹 트로이가 또다른 악성코드 종과 관련이 있음이 밝혀졌다. BitPaymer나 FriedEx로 알려진 정교하게 작성된 랜섬웨어다. Dridex 뱅킹 트로이는 2014년 처음에는 비교적 간단한 봇으로 등장했다. 그러나 제작자가 이 봇을 가장 정교한 뱅킹 트로이중 하나로 바꾸는데는 얼마 걸리지 않았다. 처음에는 BitPaymer라 명명된 FriedEx는 2017년 7월초에 탐지되었다. 그리고 8월에 스코틀랜드의 NHS 병원을 감염시키면서 유명해졌다.
CrossRAT이 윈도우즈, 맥OS, 리눅스 시스템을 노리고 있다. 전세계적인 해킹 캠페인을 Dark Caracal이라는 해킹 그룹이 모바일 기기를 사용해 벌이고 있다는 기사는 이미 공개된 바 있으나, 이번에는 CrossRAT이라는 윈도우즈, 맥OS, 리눅스를 대상으로 하는 악성코드에 대한 기사다. CrossRAT은 다중 플랫폼 트로이로, 유명한 네개의 운영체제(윈도우즈, 맥OS, 솔라리스, 리눅스)를 공격 대상으로 삼는다. 원격의 공격자가 파일 시스템을 조작하거나, 스크린샷을 찍고 임의의 파일을 실행하고, 감염된 시스템에 대한 지속적인 접근권한을 획득할 수 있다. (26일에서 이어짐)

Detailed News List

FriedEx
- _{[WeLiveSecurity]}
  FriedEx: BitPaymer ransomware the work of Dridex authors
CrossRAT
- _{[SecurityAffairs]}
  Stealth CrossRAT malware targets Windows, MacOS, and Linux systems

Vulnerability Patches/Software Updates

Summaries

오라클이 버츄얼박스^(VirtualBox)의 10개 가상머신 탈출취약점을 수정했다.
레노보^(Lenovo)가 ThnkPad의 지문인식기에 영향을 미치는 하드코딩된 비밀번호 취약점을 수정했다. 이 취약점은 Windows7, 8, 8.1을 사용하는 십여대의 레노보 노트북 모델에 영향을 미친다. Lonovo의 Fingerprint Manager Pro 8.01.76과 이전버젼에서 저장되는 데이터에는 윈도우즈 로그온 인증정보 및 지문정보가 포함되어있다. 그러나 이 데이터가 취약한 알고리즘으로 암호화되며, 하드코딩된 비밀번호가 사용된다. 이 취약점은 CVE-2017-3762다.

Detailed News List

Oracle VirtualBox
- _[CyberScoop]
  Oracle issues patches for 10 ‘virtual machine escape’ flaws in VirtualBox
Lenovo
- _[ThreatPost]
  Lenovo Fixes Hardcoded Password Flaw Impacting ThinkPad Fingerprint Scanners
- _{[TheRegister]}
  Lenovo’s craptastic fingerprint scanner has a hardcoded password

Crypto Currencies/Crypto Mining

Summaries

일본 기반의 암호화폐 교환소인 CoinCheck이 해킹당해 5억 3400만 달러 가량을 도둑맞았다. 거대 암호화폐 거래소중 하나인 Coincheck이 해킹당해 NEM 토큰 5억3400만 달러 가량을 도둑맞았다. 도쿄에 위치한 거래소인 Coincheck은 암호화폐 비즈니스 역사상 가장 큰 규모인 것으로 추정되는 해킹을 당했음을 시인했다. 기자회견에서 Coincheck 회장 Koichi Wada는 고객들에게 사과하며 당국이 사고에 한 조사를 진행중에 있다고 밝혔다.
모네로^(Monero) 암호화폐를 채굴하기 위한 대규모의 움직임이 4개월 이상 지속되어 온 것을 팔로알토네트웍스^{(Palo Alto Networks)}의 Unit 42에서 탐지했다. 이 작전은 오픈소스 XMRig 유틸리티를 사용해 모네로를 채굴한다. Unit42에서 예측한 바에 따르면, 이 작전에 영향을 받은 사람은 전 세계 약 1500만명에 달할 것으로 보인다. (25일에서 이어짐)

Detailed News List

Coincheck
- _[HackRead]
  Coincheck cryptocurrency exchange hacked; $534 Million stolen
- _{[SecurityAffairs]}
  Cryptocurrencies Black Friday – Japan-based digital exchange Coincheck hacked
- _{[TheHackerNews]}
  Someone Stole Almost Half a BILLION Dollars from Japanese Cryptocurrency Exchange
- _[CyberScoop]
  Thieves steal at least $533 million in largest cryptocurrency heist ever
- _{[SecurityWeek]}
  Cryptocurrencies Fall After Hack Hits Japan’s Coincheck
Monero Mining Operation
- _{[SecurityAffairs]}
  Monero Crypto-Currency Mining Operation impacted 30 Million users

Technologies/Technical Documents/Statistics/Reports

Summaries

세계 최대의 해운기업인 Maersk가 NotPetya 악성코드 감염으로 2017년에 심각한 피해를 본 것은 익히 잘 알려져 있다. 이번주 세계 경제 포럼에서 Maersk의 Jim Hagemann Snabe은 랜섬웨어 피해에 대해 자세히 설명했다. 그는 4,000대의 서버, 45,000대의 새로운 PC, 2,500개의 어플리케이션을 재설치했다고 설명했다. 그리고 이러한 작업이 열흘간의 엄청난 노력끝에 마무리될 수 있었다고 말했다. (26일에서 이어짐)

Detailed News List

Maersk
- _[HackRead]
  NotPetya attack: Maersk reinstalled 45,000 PCs, 2,500 apps & 4,000 servers
- _[ZDNet]
  NonPetya ransomware forced Maersk to reinstall 4000 servers, 45000 PCs
- _{[SecurityWeek]}
  Maersk Reinstalled 50,000 Computers After NotPetya Attack

[태그:] Cozy Bear

Security Newsletters, 2018 Jan 27th, 네덜란드AVID, Cozy Bear 해킹 外

Caution

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

Detailed News list

Malwares

Summaries

Detailed News List

Vulnerability Patches/Software Updates

Summaries

Detailed News List

Crypto Currencies/Crypto Mining

Summaries

Detailed News List

Technologies/Technical Documents/Statistics/Reports

Summaries

Detailed News List