Security Newsletters, 2018 Jan 29th, phpBB 감염된 패키지 다운로드 外

Posted on 2018-01-29 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

유명한 오픈소스 웹 포럼 어플리케이션인 ^phpBB의 다운로드 링크가 침해당해 몇시간 동안 감염된 버젼을 다운로드하게 만든 사고가 있었다. 신원이 알려지지 않은 해커가 변경한 다운로드 URL은 두개로, phpBB 3.2.2 full package와 phpBB 3.2.1 -> 3.2.2 자동 업데이터 URL이다. 이렇게 변경된 링크는 1월 26일 UTC 12:02 PM 부터 UTC 15:03 PM 까지 약 세 시간 동안 제공되었다. 이 시간동안 phpBB를 다운로드 받은 사용자는 감염된 파일을 다운로드 받았을 수 있다. 아직까지 해커가 어떻게 다운로드 URL을 변경했는지에 대해서는 알려지지 않았다.
미국에서 ATM에 대한 잭팟팅^{(Jackpotting)} 공격이 최초로 확인되었다. ATM에 악의적인 소프트웨어나 하드웨어를 설치해 현금을 인출할 수 있게 하는 잭팟팅^{(Jackpotting)} 공격은 유럽과 아시아에서는 오랫동안 은행을 위협해온 공격이었다. 그간 미국에서는 목격되지 않았으나, 이번주에 미국에서도 이러한 공격이 확인되면서 Secret Service에서는 이 공격에 대해 금융기관들에게 경고하기 시작했다.
구글 더블클릭^{(DoubleClick)}을 악용해 암호화폐 채굴기를 유포하는 말버타이징^{(Malvertising)} 캠페인이 확인되었다. 여기에는 CoinHive 스크립트 외에도, 사설 풀^(pool)의 별도 웹 마이너도 사용되었다. 공격자들은 구글의 더블클릭을 악용^(abused)한다. (27일에서 이어짐)
이란 해커들이 새로운 백도어를 가지고 IIS 웹 서버들을 노리고 있다. OilRig으로 알려진 이란과 연관된 것으로 추정되는 사이버 스파이 그룹이 중동 정부 기관과 금융 및 교육기관들의 IIS 웹서버들을 공격하고 있다. RGDoor라고 명명된 이 악성코드는, 첫번째 악성코드가 탐지되어 삭제된 경우에 공격자가 침해당한 웹서버에 다시 접근할 수 있게 해주는 악성코드로 추정된다. (27일에서 이어짐)
클라우드플레어 도메인^{(cloudflare.solutions)}을 사용했던 키로거가 새로운 도메인으로 돌아왔다. Sucuri에서 cloudflare.solutions에 대한 정보를 공개한 뒤, 해당 도메인은 정지되었다. 공격자는 즉시 새로운 도메인들을 등록했다. cdjs.oneline, cdns.ws, msdns.online 등이다. (25일에서 이어짐)

Detailed News list

phpBB
- _{[SecurityAffairs]}
  Download URLs for two packages of the phpBB forum software were compromised
Jackpotting Attacks
- _{[KrebsOnSecurity]}
  First ‘Jackpotting’ Attacks Hit U.S. ATMs
OilRig RGDoor
- _{[SecurityAffairs]}
  Iran-linked APT OilRig target IIS Web Servers with new RGDoor Backdoor
Malvertising
- _[HackRead]
  Hackers are using YouTube Ads to Mine Monero Cryptocurrency
- _{[SecurityAffairs]}
  Trend Micro spotted a malvertising campaign abusing Google’s DoubleClick to deliver Coinhive Miner
KeyLogger
- _{[SecurityAffairs]}
  Attackers behind Cloudflare_solutions Keylogger are back, 2000 WordPress sites already infected

Vulnerability Patches/Software Updates

Summaries

레노보^(Lenovo)가 ThnkPad의 지문인식기에 영향을 미치는 하드코딩된 비밀번호 취약점을 수정했다. 이 취약점은 Windows7, 8, 8.1을 사용하는 십여대의 레노보 노트북 모델에 영향을 미친다. Lonovo의 Fingerprint Manager Pro 8.01.76과 이전버젼에서 저장되는 데이터에는 윈도우즈 로그온 인증정보 및 지문정보가 포함되어있다. 그러나 이 데이터가 취약한 알고리즘으로 암호화되며, 하드코딩된 비밀번호가 사용된다. 이 취약점은 CVE-2017-3762다. (27일에서 이어짐)

Detailed News List

Lenovo Fingerprint Manager Pro
- _{[SecurityAffairs]}
  Hurry up, update your Lenovo Fingerprint Manager Pro if you use Windows 7, 8 and 8.1

Social Engineering/Phishing/Con/Scam

Summaries

피싱 사기로 9십만 달러가 도둑맞았다. 2017년 9월 21일에 시작된 이 사기 사건은, 텍사스의 Harris County의 약 30%가 허리케인 하비^(Harvey)에 의해 물에 잠겼을 때 시작되었다. 카운티 auditor 사무실은 D&W Contractors, Inc의 회계사 Fiona Chambers라고 하는 여성으로부터의 이메일을 받았다. D&W Contractors, Inc는 카운티의 허리케인 피해 복구 업무를 진행할 회사였고, 이메일에서 Chambers는 카운티 오피스에 총액 88만8천달러를 계약에 따라 은행계좌로 입금해 달라는 요청을 했다. Chambers가 제공한 해당 은행계좌가 실제 D&W Contractors, Inc의 계좌인지 확인하지 않고 카운티 사무실은 88만8천 달러를 계좌이체 했다. 바로 다음날, 카운티 사무실은 D&W Contractors에는 Fiona Chambers라는 직원이 존재하지 않으며, 은행 계좌도 이 회사의 것이 아니며 피싱 사기에 당했다는 것을 확인했다.

Detailed News List

Phishing Scam
- _[HackRead]
  Phishing Scam: Hackers Steal $900,000 from County Office

Deep Web/DarkNet/Onion/Underground Market

Summaries

아기들의 사회보장번호^(SSN)가 세금 사기를 위해 다크웹에서 판매되고 있다. Terbium Labs의 최근 연구 결과에 따르면, 아기들의 사회보장번호^{(Social Security Numbers)}와 다른 개인 식별 정보^{(Personal Identifiable Information, PII)}, 생일, 어머니의 처녀 이름 정보가 다크웹에서 거래되고 있다. (26일에서 이어짐)

Detailed News List

Infant fullz
- _{[SecurityAffairs]}
  Cybercriminals are offering for sale infant fullz on the dark web

Crypto Currencies/Crypto Mining

Summaries

일본 기반의 암호화폐 교환소인 ^CoinCheck이 해킹당해 5억 3400만 달러 가량을 도둑맞았다. 거대 암호화폐 거래소중 하나인 Coincheck이 해킹당해 NEM 토큰 5억3400만 달러 가량을 도둑맞았다. 도쿄에 위치한 거래소인 Coincheck은 암호화폐 비즈니스 역사상 가장 큰 규모인 것으로 추정되는 해킹을 당했음을 시인했다. 기자회견에서 Coincheck 회장 Koichi Wada는 고객들에게 사과하며 당국이 사고에 한 조사를 진행중에 있다고 밝혔다. (27일에서 이어짐)

Detailed News List

Coincheck
- _{[SecurityAffairs]}
  Japan-based digital exchange Coincheck to refund to customers after cyberheist
- _{[SecurityWeek]}
  Japan’s Crypto Exchange to Refund to Customers After Theft
- _{[EHackingNews]}
  Japan cryptocurrency exchange lost $532 million to hackers

Security Newsletters, 2018 Jan 27th, 네덜란드AVID, Cozy Bear 해킹 外

Posted on 2018-01-27 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

네덜란드 AIVD^{(General Intelligence and Security Service of the Netherlands)}에서 2016년의 미국 민주당 전국 위원회^{(DNC, Democratic National Committee)}에 대한 해킹사건에 대한 정보를 미 첩보 당국에게 제공했다. 네덜란드 뉴스에 따르면, AIVD의 요원들이 APT29 혹은 Cozy Bear라 알려진 러시아의 해킹그룹이 사용하는 모스코바의 붉은 광장에 있는 대학 건물의 네트워크에 2014년 여름 침입했다. AIVD는 네트워크에 완벽히 침투해 건물내의 CCTV까지 확인할 수 있었으며, 네트워크를 사용하는 Cozy Bear의 해커들도 확인할 수 있었다.
러시아와 연관된 것으로 추정되는 해킹그룹 FancyBear가 이번에는 국제 루지 연맹^{(International Luge Federation)}으로부터 데이터를 유출했다.
구글 더블클릭^{(DoubleClick)}을 악용해 암호화폐 채굴기를 유포하는 말버타이징^{(Malvertising)} 캠페인이 확인되었다. 여기에는 CoinHive 스크립트 외에도, 사설 풀^(pool)의 별도 웹 마이너도 사용되었다. 공격자들은 구글의 더블클릭을 악용^(abused)한다.
팔로알토네트웍스의 Unit 42에서 Google+, Pastebin, bit.ly 서비스들을 이용하는 공격을 탐지했다. 이 공격에서 공격자들은 최근의 팔레스타인 지역의 사건들에 관한 아랍어 문서를 미끼로 사용해 피해자들이 해당 문서를 열람하고 악성코드에 감염되도록 유도하고 있다.
이란 해커들이 새로운 백도어를 가지고 IIS 웹 서버들을 노리고 있다. OilRig으로 알려진 이란과 연관된 것으로 추정되는 사이버 스파이 그룹이 중동 정부 기관과 금융 및 교육기관들의 IIS 웹서버들을 공격하고 있다. RGDoor라고 명명된 이 악성코드는, 첫번째 악성코드가 탐지되어 삭제된 경우에 공격자가 침해당한 웹서버에 다시 접근할 수 있게 해주는 악성코드로 추정된다.
클라우드플레어 도메인^{(cloudflare.solutions)}을 사용했던 키로거가 새로운 도메인으로 돌아왔다. Sucuri에서 cloudflare.solutions에 대한 정보를 공개한 뒤, 해당 도메인은 정지되었다. 공격자는 즉시 새로운 도메인들을 등록했다. cdjs.oneline, cdns.ws, msdns.online 등이다. (25일에서 이어짐)

Detailed News list

Dutch Intel
- _{[DarkReading]}
  Dutch Intel Agency Reportedly Helped US Attribute DNC Hack to Russia
- _{[GrahamCluley]}
  How Dutch intelligence spied on the Russian hackers attacking the DNC
- _{[NakedSecurity]}
  Spy vs. Spy – “Cozy Bear” election hackers undone by hackable security camera
- _[ZDNet]
  Dutch spies tipped off NSA that Russia was hacking the Democrats, new reports claim
- _{[SecurityWeek]}
  Dutch Spies Watched as Russians Hacked US Democrats: Report
- _{[SecurityAffairs]}
  The Dutch intelligence service AIVD ‘hacked’ Russian Cozy Bear systems for years
FancyBear
- _{[EHackingNews]}
  Russia-linked hackers Fancy Bears leak data from International Luge Federation
Malvertising Campaign abuses Google’s DoubleClick
- _[TrendMicro]
  Malvertising Campaign Abuses Google’s DoubleClick to Deliver Cryptocurrency Miners
- _{[TheRegister]}
  Crypto-jackers slip Coinhive mining code into YouTube site ads
TopHat Campaign
- _{[PaloAltoNetworks]}
  The TopHat Campaign: Attacks Within The Middle East Region Using Popular Third-Party Services
Iranian Hackers
- _{[SecurityWeek]}
  Iranian Hackers Target IIS Web Servers With New Backdoor
Keylogger Campaign
- _[ThreatPost]
  Keylogger Campaign Returns, Infecting 2,000 WordPress Sites
- _{[GrahamCluley]}
  Keylogger found on thousands of WordPress-based sites, stealing every keypress as you type

Malwares

Summaries

최근 ESET의 조사결과에서 유명한 Dridex 뱅킹 트로이가 또다른 악성코드 종과 관련이 있음이 밝혀졌다. BitPaymer나 FriedEx로 알려진 정교하게 작성된 랜섬웨어다. Dridex 뱅킹 트로이는 2014년 처음에는 비교적 간단한 봇으로 등장했다. 그러나 제작자가 이 봇을 가장 정교한 뱅킹 트로이중 하나로 바꾸는데는 얼마 걸리지 않았다. 처음에는 BitPaymer라 명명된 FriedEx는 2017년 7월초에 탐지되었다. 그리고 8월에 스코틀랜드의 NHS 병원을 감염시키면서 유명해졌다.
CrossRAT이 윈도우즈, 맥OS, 리눅스 시스템을 노리고 있다. 전세계적인 해킹 캠페인을 Dark Caracal이라는 해킹 그룹이 모바일 기기를 사용해 벌이고 있다는 기사는 이미 공개된 바 있으나, 이번에는 CrossRAT이라는 윈도우즈, 맥OS, 리눅스를 대상으로 하는 악성코드에 대한 기사다. CrossRAT은 다중 플랫폼 트로이로, 유명한 네개의 운영체제(윈도우즈, 맥OS, 솔라리스, 리눅스)를 공격 대상으로 삼는다. 원격의 공격자가 파일 시스템을 조작하거나, 스크린샷을 찍고 임의의 파일을 실행하고, 감염된 시스템에 대한 지속적인 접근권한을 획득할 수 있다. (26일에서 이어짐)

Detailed News List

FriedEx
- _{[WeLiveSecurity]}
  FriedEx: BitPaymer ransomware the work of Dridex authors
CrossRAT
- _{[SecurityAffairs]}
  Stealth CrossRAT malware targets Windows, MacOS, and Linux systems

Vulnerability Patches/Software Updates

Summaries

오라클이 버츄얼박스^(VirtualBox)의 10개 가상머신 탈출취약점을 수정했다.
레노보^(Lenovo)가 ThnkPad의 지문인식기에 영향을 미치는 하드코딩된 비밀번호 취약점을 수정했다. 이 취약점은 Windows7, 8, 8.1을 사용하는 십여대의 레노보 노트북 모델에 영향을 미친다. Lonovo의 Fingerprint Manager Pro 8.01.76과 이전버젼에서 저장되는 데이터에는 윈도우즈 로그온 인증정보 및 지문정보가 포함되어있다. 그러나 이 데이터가 취약한 알고리즘으로 암호화되며, 하드코딩된 비밀번호가 사용된다. 이 취약점은 CVE-2017-3762다.

Detailed News List

Oracle VirtualBox
- _[CyberScoop]
  Oracle issues patches for 10 ‘virtual machine escape’ flaws in VirtualBox
Lenovo
- _[ThreatPost]
  Lenovo Fixes Hardcoded Password Flaw Impacting ThinkPad Fingerprint Scanners
- _{[TheRegister]}
  Lenovo’s craptastic fingerprint scanner has a hardcoded password

Crypto Currencies/Crypto Mining

Summaries

일본 기반의 암호화폐 교환소인 CoinCheck이 해킹당해 5억 3400만 달러 가량을 도둑맞았다. 거대 암호화폐 거래소중 하나인 Coincheck이 해킹당해 NEM 토큰 5억3400만 달러 가량을 도둑맞았다. 도쿄에 위치한 거래소인 Coincheck은 암호화폐 비즈니스 역사상 가장 큰 규모인 것으로 추정되는 해킹을 당했음을 시인했다. 기자회견에서 Coincheck 회장 Koichi Wada는 고객들에게 사과하며 당국이 사고에 한 조사를 진행중에 있다고 밝혔다.
모네로^(Monero) 암호화폐를 채굴하기 위한 대규모의 움직임이 4개월 이상 지속되어 온 것을 팔로알토네트웍스^{(Palo Alto Networks)}의 Unit 42에서 탐지했다. 이 작전은 오픈소스 XMRig 유틸리티를 사용해 모네로를 채굴한다. Unit42에서 예측한 바에 따르면, 이 작전에 영향을 받은 사람은 전 세계 약 1500만명에 달할 것으로 보인다. (25일에서 이어짐)

Detailed News List

Coincheck
- _[HackRead]
  Coincheck cryptocurrency exchange hacked; $534 Million stolen
- _{[SecurityAffairs]}
  Cryptocurrencies Black Friday – Japan-based digital exchange Coincheck hacked
- _{[TheHackerNews]}
  Someone Stole Almost Half a BILLION Dollars from Japanese Cryptocurrency Exchange
- _[CyberScoop]
  Thieves steal at least $533 million in largest cryptocurrency heist ever
- _{[SecurityWeek]}
  Cryptocurrencies Fall After Hack Hits Japan’s Coincheck
Monero Mining Operation
- _{[SecurityAffairs]}
  Monero Crypto-Currency Mining Operation impacted 30 Million users

Technologies/Technical Documents/Statistics/Reports

Summaries

세계 최대의 해운기업인 Maersk가 NotPetya 악성코드 감염으로 2017년에 심각한 피해를 본 것은 익히 잘 알려져 있다. 이번주 세계 경제 포럼에서 Maersk의 Jim Hagemann Snabe은 랜섬웨어 피해에 대해 자세히 설명했다. 그는 4,000대의 서버, 45,000대의 새로운 PC, 2,500개의 어플리케이션을 재설치했다고 설명했다. 그리고 이러한 작업이 열흘간의 엄청난 노력끝에 마무리될 수 있었다고 말했다. (26일에서 이어짐)

Detailed News List

Maersk
- _[HackRead]
  NotPetya attack: Maersk reinstalled 45,000 PCs, 2,500 apps & 4,000 servers
- _[ZDNet]
  NonPetya ransomware forced Maersk to reinstall 4000 servers, 45000 PCs
- _{[SecurityWeek]}
  Maersk Reinstalled 50,000 Computers After NotPetya Attack

Security Newsletters, 2018 Jan 19th, 전세계 대상 다중 플랫폼 공격 Dark Caracal 外

Posted on 2018-01-19 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

Group123 이라 명명된 새로운 해킹그룹이 탐지되었다. 시스코에 따르면, 이 그룹은 2017년부터 2018년 새해까지 Golden Time, Evil New Year, Are You Happy?, Free Milk, North Korean Human Rights, Evil New Year 2018 여섯 건의 캠페인을 벌였다. 이중 네 건은 한컴 한글 오피스 형식의 악성코드 문서를 첨부한 스피어피싱으로 대한민국내 대상을 공격했다. 이 문서들은 ROKRAT 원격 관리 툴^{(RAT, Remote Administration Tool)}을 설치한다.
사이버 스파이 캠페인이 악성코드에 감염된 메시징 앱을 사용해 20개국 이상에서 정치적 활동가^(activists), 군인, 변호사, 언론인, 그리고 기타 개인들의 스마트폰 데이터를 훔쳐왔다는 리포트가 공개되었다. 이 캠페인은 전 세계의 다중 플랫폼을 노린 공격이다. Dark Caracal이라 명명된 이 APT^{(Advenced Persistent Threat)} 캠페인은 개인정보 및 지적재산등을 포함한 수백기가바이트의 데이터를 21개 이상의 국가들과 수천의 피해자들로부터 훔쳤다고 리포트에서 공개되었다. Dark Caracal은 90개의 침해지표^{(IOC, Indicator of Compromise)}와 연관되는 다중 플랫폼 공격이다. 리포트에 포함된 IOC 90개 중 26개는 데스크톱 악성코드 침해지표이며, 11개의 안드로이드 악성코드 IOC, 60개의 도메인/IP 기반 IOC다.
FancyBear 혹은 APT28, Pawn Storm, Sofacy, Group 74, Sednit, Tsar Team, Strontium으로 알려진 사이버 스파이 그룹이 전 세계의 정치 관련 기관들을 공격하고 있다. 2015년 부터 이 그룹은 프랑스, 독일, 몬티네그로^(Montenegro), 터키, 우크라이나, 미국의 정치관련 기구에 대한 공격에 연관되어왔다.

Detailed News list

Group 123
- _{[InfoSecurityMagazine]}
  New Attack Group Fires RATs and Disc Wipers at Targets
- _{[SecurityAffairs]}
  North Korea Group 123 involved in at least 6 different hacking campaigns in 2017
Dark Caracal
- _{[SecurityWeek]}
  Booby-Trapped Messaging Apps Used for Spying: Researchers
- _[ThreatPost]
  Sprawling Mobile Espionage Campaign Targets Android Devices
- _{[TheRegister]}
  Investigation outs Dark Caracal, the high-tech spying network for hire to governments
Russia-Linked Attacks
- _{[SecurityWeek]}
  Russia-Linked Attacks on Political Organizations Continue

Malwares

Summaries

Satori, Satori Okiru 그리고 ARC CPU를 노리는 Satori 변종까지 간단히 비교 요약한 기사가 나왔다.
페이스북 비밀번호를 훔치고 팝업 광고를 뿌리는 악성 앱이구글 플레이 스토어에서 발견되었다. 코드내에서 발견된 문자열에 따라 고스트팀^GhostTeam이라 명명된 이 악성 앱은 트렌드마이크로가 탐지했다. 악성코드가 처음 공개된 것은 2017년 4월이었고, 공식 안드로이드 마켓플레이스에서 퍼포먼스 부스터, 소셜미디어 비디오 다운로더와 같은 유틸리티 앱으로 위장했다. 총 53개의 어플리케이션이 GhostTeam 악성코드를 유포하는 것으로 확인되었다.
최근 Triton 혹은 Trisis라 명명된, 주요 인프라 기관에서 사용하는 Schneider Electric의 Triconex Safety Instrumented System 컨트롤러의 제로데이 취약점을 공격하는 악성코드가 발견되었다. 이 악성코드는 산업제어시스템^{(ICS, Industrial Control Systems)}을 목표로 설계되었고, 중동의 한 기관에 작동중단 사태를 일으킨 후 발견되었다. 트라이톤^(Triton)은 Tchneider Electric Triconex SIS 장치를 목표로 설계되었는데, 이 장치는 프로세스 상태를 모니터하며, 위험한 상황에서 안전하게 작업을 중단시키거나 안전 상태로 복원하는데에 사용된다.
Zyklon이라는 HTTP 악성코드를 유포하는 스팸 캠페인이 벌어지고 있다. 이 악성코드는 Microsoft Office 취약점 세개를 공격한다. 이 공격은 통신, 보험, 금융 서비스 기관을 대상으로 벌어지고 있다. 이 공격을 탐지해낸 FireEye 연구원들에 따르면, 공격자들은 비밀번호 및 암호화폐 지갑 정보를 수집하는 중이다. 공격은 여러종류의 DOC 파일을 포함한 악성 ZIP 첨부파일로 시작된다. 이 파일은 최종적으로 세 개의 Microsoft Office 취약점을 공격한다. 각각의 취약점은 CVE-2017-8759, CVE-2017-11882, 세번째는 Dynamic Data Exchange^(DDE) 기능이다. (18일에서 이어짐)
아주 정교하게 만들어진 안드로이드용 스파이웨어 ^Skygofree가 발견되었다. 카스퍼스키랩의 보안연구가들이 감염된 장치를 원격으로 완벽하게 제어할 수 있는 강력한 안드로이드 스파이웨어인 ^Skygofree의 새로운 변종을 탐지했다. ^Skygofree는 안드로이드 스파이웨어로 표적공격에 사용될 수 있으며, 전문가들에 따르면 지난 4년간 수많은 사람들이 이 스파이웨어에 감염되었다. 이 악성코드가 처음 발견된 것은 2014년이며, 지난 몇년동안 계속적으로 진화해왔다. (17일에서 이어짐)

Detailed News List

ARC
- [Arbor]
  The ARC of Satori
Facebook Password Stealing Apps
- _[TrendMicro]
  GhostTeam Adware can Steal Facebook Credentials
- _{[TheHackerNews]}
  Facebook Password Stealing Apps Found on Android Play Store
- _[ZDNet]
  This Android malware wants to steal your Facebook login and bombard you with ads
Triton
- _{[SecurityWeek]}
  Triton Malware Exploited Zero-Day in Schneider Electric Devices
- _[Cyberscoop]
  Schneider Electric: Trisis leveraged zero-day flaw, used a RAT
- _{[DarkReading]}
  Schneider Electric: TRITON/TRISIS Attack Used 0-Day Flaw in its Safety Controller System, and a RAT
Zyklon
- _{[InfoSecurityMagazine]}
  Zyklon Spreads Using Just-Patched Microsoft Vulns
- _{[SecurityAffairs]}
  Threat actors are delivering the Zyklon Malware exploiting three Office vulnerabilities
Skygofree
- _{[NakedSecurity]}
  SkyGoFree malware spies on your Android phone and your messages

Exploits/Vulnerabilities

Summaries

SMS 문자 하나로 iOS 및 macOS를 다운시킬 수 있는 버그가 발견되었다. 트위터의 cheesecakeufo (Abraham Masri)에 의해 공개된 이 버그는 Github의 링크가 포함되어 있는데, 이 링크를 애플의 메세지 앱을 통해 받을 경우 iOS 및 macOS의 메시지 어플리케이션이 중단^(crash)되며, 잠금화면으로 넘어가는 등의 반응이 일어날 수 있다.
BitTorrent 클라이언트인 Transmission에서 취약점이 발견되었다. 구글의 프로젝트제로^{(Project Zero)}연구가인 Tavis Ormandy가 Transmission BitTorrent Client에서 치명적인 원격 코드 실행 취약점을 발견했다. 수정안이 제시되었지만 아직 개발자에 의해 구현되지는 않았다. 연구가에 의하면, 공격자는 Transmission 클라이언트를 사용하는 공격대상자가 특별하게 만들어진 웹사이트에 접근하도록 해서 임의의 코드를 실행시킬 수 있다. (17일에서 이어짐)
Meltdown/Spectre와 이에대한 패치, 그리고 패치에 의한 성능 문제에 대한 기사가 계속해서 이어지고 있다.

Detailed News List

SMS bug
- _[HackRead]
  chaiOS “Text Bomb” Can Freeze & Crash Your iPhone
BitTorrent Flaw
- _{[EHackingNews]}
  BitTorrent flaw could let hackers take control of Pcs
Meltdown/Spectre
- _{[SecurityAffairs]}
  Meltdown and Spectre patches have a variable impact and can cause unwanted reboots, Intel warns
- _[ThreatPost]
  Intel Says Firmware Fixes for Spectre and Meltdown Affecting Newer Chips
- _{[SecurityWeek]}
  Intel Tests Performance Impact of CPU Patches on Data Centers
- _[ZDNet]
  Windows 10 Meltdown-Spectre patch: New updates bring fix for unbootable AMD PCs
- _[ZDNet]
  Meltdown-Spectre: Intel says newer chips also hit by unwanted reboots after patch
- _{[BankInfoSecurity]}
  Intel Confirms Fresh Spectre, Meltdown Patch Problems
- _{[TheRegister]}
  Industrial systems scrambling to catch up with Meltdown, Spectre

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

레바논 정부가 Dark Caracal 해킹 캠페인과 관련이 있는 것으로 나타났다.
전 고용주들과 비즈니스 경쟁자, 법 집행 기관을 대상으로 분산서비스거부^(DDoS) 공격을 한 뉴멕시코 남성이 유죄를 시인했다.
다크웹의 마약 딜러가 징역 80개월 형의 유죄를 선고받았다.

Detailed News List

Lebanese
- _[CyberScoop]
  Hackers linked to Lebanese government caught in global cyber-espionage operation
- _[NYTimes]
  Lebanese Intelligence Turned Targets’ Android Phones Into Spy Devices, Researchers Say
Man admits to DDoS attacks
- _{[DarkReading]}
  Man Admits to Directing DDoS Attacks Across the US
- _{[TheRegister]}
  Sad-sack Anon calling himself ‘Mr Cunnilingus’ online is busted for DDoSing ex-bosses
- _[ZDNet]
  Man pleads guilty to launching DDoS attacks against former employers
Drug Dealer
- _[HackRead]
  6 years jail time for ‘one of the largest’ dark web drug dealer
- _{[BankInfoSecurity]}
  Bitcoin-Amassing AlphaBay Drug Barons Get US Prison Time

Crypto Currencies/Crypto Mining

Summaries

Blackwallet 서비스가 DNS 하이재킹으로 해킹당해, 사용자들의 계정으로부터 400,000 달러가 도난당했다. BlackWallet.co가 1월 13일 DNS 하이재킹으로 공격을 받았다. 그결과 공격자들이 사용자의 계정에서 40만 달러를 빼냈다. (16일에서 이어짐)

Detailed News List

BlackWallet
- _{[NakedSecurity]}
  BlackWallet cryptocurrency site loses users’ money after DNS hijack

Technologies/Technical Documents/Statistics/Reports

Summaries

구글이 픽셀^(Pixel) 모바일 장치를 침해할 수 있는 익스플로잇 체인을 찾아낸 연구자에게 보상금으로 총 11만 2,500달러를 지급했다.

Detailed News List

Google Reward
- _[ZDNet]
  Google awards researcher over $110,000 for Android exploit chain
- _{[SecurityWeek]}
  Researchers Earn $100,000 for Hacking Pixel Phone
- _{[InfoSecurityMagazine]}
  Bug-Hunting Hackers Earn Top Dollar for Efforts

Security Newsletters, 2018 Jan 17th, 안드로이드 스파이웨어 Skygofree 外

Posted on 2018-01-17 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

북한 해커들이 암호화폐 거래소들을 공격하기 위한 준비를 하고 있다는 리포트가 나왔다. 북한 해커들이 대한민국의 암호화폐 거래소를 노린 공격준비를 하고 있다는 보안연구자들의 리포트가 나왔다. Recorded Future가 공개한 정보에 의하면, 라자러스 그룹^{(Lazarus Group)}이라 부르는 해커들이 대한민국의 암호화폐 거래소를 목표로한 공격 캠페인을 벌이는 것이 확인된 것은 2017년 후반부다. Recorded Future는 한글 워드프로세서 문서파일의 Ghostscript 취약점을 공격하는 CVE-2017-8291 취약점이 사용된 스피어피싱 캠페인을 탐지했다고 말했다.

Detailed News list

북한 해커와 암호화폐 거래소
- _{[SecurityWeek]}
  North Korean Hackers Prep Attacks Against Cryptocurrency Exchanges: Report
- _[Talos]
  Korea In The Crosshairs

Malwares

Summaries

아주 정교하게 만들어진 안드로이드용 스파이웨어가 발견되었다. 카스퍼스키랩의 보안연구가들이 감염된 장치를 원격으로 완벽하게 제어할 수 있는 강력한 안드로이드 스파이웨어인 ^Skygofree의 새로운 변종을 탐지했다. ^Skygofree는 안드로이드 스파이웨어로 표적공격에 사용될 수 있으며, 전문가들에 따르면 지난 4년간 수많은 사람들이 이 스파이웨어에 감염되었다. 이 악성코드가 처음 발견된 것은 2014년이며, 지난 몇년동안 계속적으로 진화해왔다.
^{Mirai Okiru} 봇넷이 역사상 처음으로 ARC CPU기반의 IoT 장비를 대상으로 공격을 벌이는 것이 탐지되었다. 2016년 8월에 MalwareMusDie 팀의 보안연구가 unixfreaxjp가 악명높은 ^Mirai 봇넷을 처음으로 탐지헀는데, 이번에도 같은 연구자에 의해 새로 악성코드가 탐지되었다. 이번에 unixfreaxjp가 발견한 것은 컴퓨터 엔지니어링 역사상 처음으로, ARC CPU를 감염시키는 리눅스 악성코드다. 이 새로운 ELF 악성코드는 ^{MIRAI OKIRU}로 명명되었다. 악성코드가 ARC CPU기반의 시스템을 공격대상으로 삼은 것은 처음있는 일이다. 첫 발견때까지 Mirai Okiru는 거의 대부분의 안티바이러스에서 탐지되지 않았다. MalwareMustDie에서는 ARC CPU가 1년에 IoT 장치들을 10억대 이상 생산해내기 때문에, Linux와 IoT의 감염에 있어 큰 변화가 있을 것이라 예상했다. (15일에서 이어짐)

Detailed News List

Android Spyware, Skygofree
- _{[DarkReading]}
  Kaspersky Lab Warns of Extremely Sophisticated Android Spyware Tool
- _{[SecurityAffairs]}
  Powerful Skygofree spyware was reported in November by Lukas Stefanko and first analyzed by CSE CybSec
- _{[TheRegister]}
  Android snoopware Skygofree can pilfer WhatsApp messages
- _{[TheHackerNews]}
  Skygofree — Powerful Android Spyware Discovered
- _{[SecurityWeek]}
  Kaspersky Discovers Powerful Mobile Spyware
- _[CSOOnline]
  Skygofree: Powerful Android spyware with advanced surveillance tools
- _[Kaspersky]
  Skygofree — a Hollywood-style mobile spy
- _[ZDNet]
  Android security: This newly discovered snooping tool has remarkable spying abilities
- _[Securelist]
  Skygofree: Following in the footsteps of HackingTeam
Mirai 변종 Okiru
- _{[InformationSecurityBuzz]}
  New DDoS Botnet Targets ARC-Based IoT Devices
- _{[SecurityWeek]}
  Mirai Variant Targets ARC CPU-Based Devices
- _{[InfoSecurityMagazine]}
  New Mirai Variant Targets Billions of ARC-Based Endpoints
- _{[TheRegister]}
  New Mirai botnet species ‘Okiru’ hunts for ARC-based kit

Exploits/Vulnerabilities

Summaries

BitTorrent 클라이언트인 Transmission에서 취약점이 발견되었다. 구글의 프로젝트제로^{(Project Zero)} 연구가인 Tavis Ormandy가 Transmission BitTorrent Client에서 치명적인 원격 코드 실행 취약점을 발견했다. 수정안이 제시되었지만 아직 개발자에 의해 구현되지는 않았다. 연구가에 의하면, 공격자는 Transmission 클라이언트를 사용하는 공격대상자가 특별하게 만들어진 웹사이트에 접근하도록 해서 임의의 코드를 실행시킬 수 있다.

Detailed News List

Transmission BitTorrent Client
- _{[SecurityWeek]}
  Code Execution Flaw Found in Transmission BitTorrent App
- _[HackRead]
  New BitTorrent Flaw Puts Linux & Windows devices at risk of hacking
- _{[TheHackerNews]}
  Flaw in Popular Transmission BitTorrent Client Lets Hackers Control Your PC Remotely

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

캐나다 경찰이 유출된 비밀번호 정보를 제공하던 LeakedSource.com의 운영자를 고소했다. 캐나다 당국이 27세의 온타리오 남성을 훔친 비밀번호 정보 수십억건을 온라인에서 판매한 혐의로 체포 및 기소했다. 2017년 12월 22일 Royal Canadian Mounted Police^(RCMP)가 Jordan Evan Bloom을 기소했다. (16일에서 이어짐)

Detailed News List

LeakedSource
- _[ZDNet]
  Suspected LeakedSource operator charged in Canada
- _{[TheHackerNews]}
  LeakedSource Founder Arrested for Selling 3 Billion Stolen Credentials
- _{[SecurityAffairs]}
  Canadian man charged over leak of billions hacked accounts through LeakedSource
- _{[BankInfoSecurity]}
  LeakedSource Operator Busted by Canadian Police
- _{[TheRegister]}
  Canada charges chap alleged to run stolen data-mart Leakedsource
- _[HackRead]
  Operator of hacked password service Leakedsource.com arrested
- _{[SecurityWeek]}
  Canadian Man Charged Over Leak of Three Billion Hacked Accounts

Data Breaches/Info Leakages

Summaries

Trisis라는 정부에서 만든 사이버 무기가 실수로 온라인에 공개되었다. 정부에 의해 만들어진 사이버무기가 10월 22일 이후 누구나 복사가 가능한 상태로 온라인상에 공개되어 있었던 것으로 알려졌다. 이 일은 다국적 에너지 기술 기업인 Schneider Electric이 실수로 파일을 VirusTotal에 등록하면서 벌어졌다. Schneider Electri은 중동에서의 데이터 침해 조사^{(data breach investigation)}의 증거 수집 과정에서 Library.zip이라는 이름의 수상한 파일을 확보했다. Library.zip에는 Trisis 또는 Triton이라 알려진 위험한 악성코드 프레임워크의 백본이 들어있었다.
신원이 알려지지 않은 해커가 병원 서버를 장악한 뒤 몸값으로 비트코인을 요구하고 있다. 1월 11일 밤 Greenfield Indiana의 Hancock Health 병원이 정교한 사이버 공격으로 전체 네트워크가 장악 당했다. 해커는 컴퓨터 시스템에 비트코인으로 몸값을 지불할 것을 요구하는 메시지를 띄웠다. 병원에서는 해커가 감염을 확산시키는 것을 막기위해 그들의 시스템을 중단하기로 결정하고 FBI에 신고했다.
원플러스^{(One Plus)} 웹사이트의 지불 시스템이 해킹당해 고객 신용카드 정보가 침해당했다. 중국의 스마트폰 제조사가 결제 페이지가 Magento 버그로 침해당했다는 것을 부인했다. 원플러스는 다수의 고객들이 원플러스의 공식 웹사이트에서 스마트폰을 구매한 이후에 신용카드 사기 및 구매에 대한 문제를 제기한 것에 대한 성명을 발표했다. 원플러스는 부인했지만, 다른 한편으로는 영국의 IT 보안 기업인 Fidus InfoSecurity Limited는 onPlus의 결제 세피이가 마젠토(Magento) eCommerce 플랫폼을 사용하고 있었으며, 최근에 해커에 의해 공격받았음을 조사를 통해 발견했다고 밝혔다. (16일에서 이어짐)

Detailed News List

Trisis
- _[CyberScoop]
  Trisis has mistakenly been released on the open internet
Indiana Hospital
- _{[TheRegister]}
  Hospital injects $60,000 into crims’ coffers to cure malware infection
- _{[InformationSecurityBuzz]}
  Indiana Hospital Hit By Ransomware
- _{[InfoSecurityMagazine]}
  Ransomware Forces Indiana Doctors to Use Pen and Paper
OnePlus
- _{[EHackingNet]}
  OnePlus Site’s Payment System Hacked: Credit Card Detail Compromised
- _{[SecurityAffairs]}
  Customers reporting OnePlus payment website was hacked and reported credit card fraud
- _{[EHackingNews]}
  Customers Face Credit Card Misuse after using OnePlus webstore

Service Outage/Malfunction

Summaries

하와이의 탄도미사일 경고 문자 발송 실수에 이어 일본에서도 유사한 일이 발생했다. 일본 국영 방송국인 NHK는 가짜 경고에 대해 사과 방송을 내보냈다. 메시지는 화요일 저녁 7시 직전에 발송되었고, 공영방송의 앱과 웹사이트를 통해 전송되었다. 몇 분이 지나고 NHK는 잘못된 정보였다고 정정했다.

Detailed News List

False Alert
- _{[NakedSecurity]}
  It’s raining fake missiles: Japan follows Hawaii with mistaken alert
- _{[NakedSecurity]}
  Hawaii missile alert triggered by one wrong click

Crypto Currencies/Crypto Mining

Summaries

Blackwallet 서비스가 DNS 하이재킹으로 해킹당해, 사용자들의 계정으로부터 400,000 달러가 도난당했다. BlackWallet.co가 1월 13일 DNS 하이재킹으로 공격을 받았다. 그결과 공격자들이 사용자의 계정에서 40만 달러를 빼냈다. (16일에서 이어짐)

Detailed News List

Blackwallet
- _[HackRead]
  BlackWallet hacked: Hackers replace DNS server, steal $400k in Stellar
- _[ZDNet]
  $400,000 stolen in Lumens BlackWallet theft