Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Security News
  • Contact

[태그:] CVE-2017-0199

Security Newsletters, 2017 Dec 8th, Process Doppelgänging 外

Posted on 2017-12-08 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats

Summaries

  • 이란과 관련된 것으로 추정되는 사이버 스파이 그룹이 최근 패치된 마이크로소프트 오피스(Office)의 취약점을 사용해 표적 기관에 악성코드 유포를 진행하고 있다고 파이어아이(FireEye)가 목요일 발표했다. 이 스파이 그룹은 파이어아이에서는 APT34로, 타 기관에서는 OilRig으로 지칭된 그룹이며 최소 2014년부터 활동해 온 것으로 추정된다. 이 그룹은 금융, 정부, 에너지, 통신, 화학 분야의 기관을 공격 대상으로 삼고 있으며 특히 중동에 위치한 기관을 대상으로 한다. 4월에는 보안연구가들이 마이크로소프트가 패치를 발표한 직후 오피스 취약점 CVE-2017-0199를 공격에 사용하는 것을 확인했으며, 이번에는 마이크로소프트가 11월 14일에 패치한 CVE-2017-11882를 사용한 공격을 진행하고 있다. 이 취약점은 오피스에 17년간 존재한 방정식 편집기 컴포넌트에 영향을 주는 취약점을 공격한다.
  • 시만텍(Symantec)이 새로운 Adwind RAT(Remote Access Trojan) 변종을 유포하는 스팸메일에 대해서 경고했다. 이 악성코드는 사용자의 행동을 모니터링하고, 키 입력을 기록하며 스크린샷을 찍거나, 악성 파일을 다운로드하고 비디오 및 음성을 녹음할 수 있다. Adwind는 AlienSpy, Frutas, Unrecom, Sockrat, jRAT라고도 불리는 크로스플랫폼(cross-platform) 다기능 원격제어 트로이다. Adwind 메일은 JAR 파일이나 ZIP 파일을 첨부파일로 포함해 유포되고 있다.
  • 브라질 전자상거래에서 흔히 사용되는 지불방식인 Boleto의 송장으로 위장한 스팸메일이 유포되고 있다. 이 스팸메일들은 보통 브라질 기관들을 대상으로 유포된다. 다른 여타 스팸메일들 처럼 이 캠페인은 윈도우즈 컴퓨터들을 감염시키고 정보를 훔치려는 목적을 가지고 있다. 그러나 특이하게 이 캠페인에서 감염된 컴퓨터는 IRC(Internet Relay Chat) 트래픽을 발생시키는데, 모든 감염된 호스트들은 #MSESTRE 채널에 참여한다. 브라질 공식언어인 포르투갈어로 mestre는 master 또는 teacher를 의미한다.

Detailed News list

  • APT 34 launches Spy Campaign
    • [InfoSecurityMagazine]
      Iranian State-Sponsored APT 34 Launches Spy Campaign with Just-Patched Microsoft Vulns
    • [FireEye]
      New Targeted Attack in the Middle East by APT34, a Suspected Iranian Threat Group, Using CVE-2017-11882 Exploit
    • [SecurityWeek]
      Iranian Cyberspies Exploit Recently Patched Office Flaw
  • Spam Emails spreading Adwind RAT
    • [CSOOnline]
      Over 1 million monthly spam emails spreading new Adwind RAT variants
  • Boleto Campaign targets Brazil
    • [PaloAltoNetworks]
      Master Channel: The Boleto Mestre Campaign Targets Brazil

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 트렌드마이크로(TrendMicro)의 리포트에 따르면, 전세계 수백만 시스템을 감염시켰던 Conficker 웜이 9년이 지난 지금도 여전히 활발히 활동중이다. 이 웜은 제조, 헬스케어, 정부 분야의 조직에 강력한 위협으로 남아 있을 정도로 악성코드 방지 시스템에 의해 지속적으로 탐지되고 있다. Conficker 웜이 처음 등장한 것은 2008년이다. 이번주에 트렌드 마이크로가 발표한 리포트에 따르면, Downad라 불리는 웜은 이번 해에만 330,000건이 탐지되고 차단되었다. 이 수치는 트렌드 마이크로가 Conficker를 2016년에는 3000,000건, 2015년에는 290,000건을 탐지하고 차단한 수치와 거의 일치한다. 2008년에 처음 등장한 Conficker 웜은 처음 등장시 전세계 약 900만대의 놀라운 숫자의 컴퓨터 시스템을 감염시켰다.
  • 유명 모바일 뱅킹 앱이 중간자(MitM, Man-in-the-Middle) 공격에 취약한 것으로 드러났다. 보안연구가들이 유명 뱅킹 앱에서 인증정보를 해커에게 노출시킬 수 잇는 취약점을 발견했다. 이 취약점은 버밍엄 대학교(University of Birmingham)의 보안 및 프라이버시 그룹(Security and Privacy Group)의 연구가에 의해 발견되었다. 이 연구가는 수백개의 iOS 및 Android 뱅킹 앱을 분석했다. 이 연구에서 다수의 뱅킹 앱이 MitM 공격에 취약한 것으로 드러났으며, 영향을 받는 앱에는 Allied Irish bank와 Co-op, HSBC, NatWest, Santander등이 포함된다.
  • 유명 블로깅 웹 어플리케이션인 워드프레스(WordPress)를 사용하는 사이트에서 키로거가 발경되었다. 수천개의 워드프레스 사이트가 사용자의 입력을 가로채는 악성코드에 감염된 것이 발견되었다. 이 감염은 cloudflare.solutions이라는 악성코드로 웹사이트가 감염되었던 지난 4월의 캠페인 중 일부이다. 과거에 탐지되었을 당시에는 암호화폐를 채굴하는 기능이 포함되어 있었으며, 지금은 키로깅 기능이 포함되어 있다. 기사가 작성될 당시 cloudflare.solutions 악성코드는 5,495개의 웹사이트에 감염되어 있었으며 이 숫자는 증가하고 있는 것으로 보인다.
  • 윈도우즈의 버젼 및 안티바이러스 제품과 관계없이 윈도우즈 장치를 감염시킬 수 있는 Process Doppelgänging 이라는 공격기법이 엔드포인트 보안 기업 enSiol의 보안연구가에 의해 확인되었다. 프로세스 도플갱잉(Process Doppelgänging)은 런던에서 열린 블랙햇 유럽 2017(Black Hat Europe 2017) 보안 컨퍼런스에서 시연되었으며, 파일을 사용하지 않는(fileless) 코드 인젝션 기술(code injection technique)이나. 이 기법은 악성이라 알려진 파일지라도 그 파일을 조작된 윈도우즈 핸들러의 파일 트랜젝션(transaction) 프로세스에 전달하는 방법이다. 이 공격에서는 NTFS 트랜잭션을 이용하는데, 정상적인 파일을 트랜잭션 컨텐스트에서 덮어쓰기(overwrite)한다. 그리고 트랜잭션 컨텍스트 내의 수정된 파일에서 섹션을 만들고, 프로세스를 생성한다. 이렇게 트랜잭션 중에 있는 파일을 스캔하는 것은 현재로서는 불가능 한 것으로 보이며, 트랜잭션을 취소(rollback)하게 되면 흔적이 남지 않게 된다.

Detailed News List

  • Conficker won’t die
    • [DarkReading]
      Conficker: The Worm That Won’t Die
    • [TrendMicro]
      CONFICKER/ DOWNAD 9 Years After: Examining its Impact on Legacy Systems
  • Major Banking App
    • [SecurityAffairs]
      Major Banking Applications were found vulnerable to MiTM attacks over SSL
    • [TheHackerNews]
      Security Flaw Left Major Banking Apps Vulnerable to MiTM Attacks Over SSL
    • [ThreatPost]
      Banking Apps Found Vulnerable to MITM Attacks
    • [InformationSecurityBuzz]
      University Of Birmingham Found a Security Flaw That Had 10 Million Banking App Users At Risk
    • [DarkReading]
      Man-in-the-Middle Flaw in Major Banking, VPN Apps Exposes Millions
    • [InfoSecurityMagazine]
      UK Researchers Find Major Bank App Bug Affecting 10 Million
    • [ZDNet]
      Man-in-the-middle flaw left smartphone banking apps vulnerable
  • WordPress Keylogger
    • [SecurityWeek]
      Keylogger Found on 5,500 WordPress Sites
    • [SecurityAffairs]
      Thousands of WordPress sites infected with a Keylogger and cryptocurrency miner scripts
    • [Sucuri]
      Cloudflare[.]Solutions Keylogger on Thousands of Infected WordPress Sites
  • Process Doppelgänging
    • [HackRead]
      Process Doppelgänging attack affects all Windows version & evades AV products
    • [SecurityWeek]
      ‘Process Doppelgänging’ Helps Malware Evade Detection
    • [SecurityAffairs]
      Process Doppelgänging Attack allows evading most security software on all Windows Versions
    • [TheHackerNews]
      Process Doppelgänging: New Malware Evasion Technique Works On All Windows Versions
    • [ZDNet]
      Doppelgänging: How to circumvent security products to execute code on Windows

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 지난 달 미 검찰에 의해 HBO에 대한 해킹으로 기소된 Behzad Mesri가 이란 스파이 그룹과 관련이 있다는 기사가 나왔다. 보안기업 ClearSKy가 새로운 리포트를 공개했다. 이 리포트에서는 Charming Kitten또는 Newscaster, NewsBeef라는 이름으로 알려진 스파이 그룹의 활동을 자세히 다뤘다. 이 그룹은 2014년 부터 활동해 왔으며, 이란, 미국, 이스라엘, 영국 및 기타 여러국가의 여러 단체들을 공격 대상으로 삼았다. 그리고 이들의 공격 대상에는 종종 학술 연구, 인권 및 언론과 관련된 개인들도 포함되었다. (7일에서 이어짐)

Detailed News List

  • HBO Hacking linked to Iranian Hacking Group Charming Kitten
    • [SecurityAffairs]
      HBO hacker linked to the Iranian Charming Kitten APT group
    • [InformationSecurityBuzz]
      Iranian Hacker Charged For HBO Breach Part Of Charming Kitten Group
    • [EHackingNews]
      Iranian Hacking Group Creates Fake News Agency

 

Vulnerability Patches/Software Updates

Summaries

  • OpenSSL의 취약점이 패치되었다. OpenSSL 프로젝트가 목요일에 구글 연구가가 발견한 두가지 취약점이 패치된 OpenSSL 1.0.2n 버젼을 공개했다. 이 취약점은 구글 연구가 David Benjamin이 앞서 발표했던 OSS-Fuzz라는 퍼싱 서비스를 사용해 발견한 취약점이다. (11월 3일자 뉴스모음) 취약점 중 하나는 CVE-2017-3737이며, 다른 하나는 CVE-2017-3738이다.
  • 치명적인 취약점이 마이크로소프트(Microsoft)의 악성코드 보호 엔진(MPE, Malware Protection Engine)에서 발견되어 마이크로소프트가 목요일에 이에 대한 패치를 공개했다. 이 취약점은 공격자가 공격대상 컴퓨터를 완전히 장악할 수 있게 한다. 윈도우즈10용 윈도우즈 디펜더(Windows Defender)를 포함한 다양한 마이크로소프트의 보안 제품들이 영향을 받는다. 마이크로소프트 악성코드 보호 엔진은 마이크로소프트의 모든 제품의들의 안티바이러스 및 안티스파이웨어 프로그램에 핵심 기능을 제공한다. 마이크로소프트에 따르면, 아직까지 이 취약점이 실제 공격에 사용되고 있다는 흔적은 발견되지 않았다.
  • 크롬이 63 업데이트에서 더욱 강력한 보호기능을 제공한다. 어제 공개된 크롬 63에서는 기업 마켓을 겨냥한 새로운 보안 기능 개선사항들이 포함되었다. 그 첫번째로는 사이트 고립(site isolation) 기능이다. 크롬이 처음부터 사용해왔던 다중 프로세스 모델(multiple process model)의 한층 더 엄격한 버젼이다. 크롬은 여러가지 보안 및 안정화 이유로 다중 프로세스를 사용한다. 안정성면에서는 하나의 탭이 충돌하더라도 기타 다른 탭이나 브라우저 그 자체는 영향을 받지 않는다. 보안적인 면에서는 다중 프로세스를 사용함으로 인해서 악성코드가 하나의 사이트에서 다른 사이트의 비밀번호 입력과 같은 정보를 훔치기 어려워진다.

Detailed News List

  • OpenSSL patched
    • [SecurityWeek]
      Two Vulnerabilities Patched in OpenSSL
    • [OpenSSL]
      OpenSSL Security Advisory 07, Dec, 2017
  • Microsoft Releases Security Update
    • [US-CERT]
      Microsoft Releases Security Updates for its Malware Protection Engine
    • [CyberScoop]
      Critical vulnerability found in Microsoft Malware Protection Engine
  • Apple patches macOS, watchOS, tvOS
    • [TheRegister]
      Apple gets around to patching all the other High Sierra security holes
    • [SecurityWeek]
      Apple Patches Vulnerabilities in macOS, watchOS, and tvOS
    • [HelpNetSecurity]
      Apple users, it’s time for new security updates
    • [US-CERT]
      Apple Releases Security Updates
  • Chrome 63 offers even more protection
    • [TechRepublic]
      Google ups Chrome security for business users with new features and policies
    • [ARSTechnica]
      Chrome 63 offers even more protection from malicious sites, using even more memory
    • [US-CERT]
      Google Releases Security Update for Chrome
    • [SecurityWeek]
      Chrome Improves Security for Enterprise Use
    • [ZDNet]
      Chrome 63 vs Windows 10 Edge: Google steps up rivalry with site isolation security

 

Privacy

Summaries

  • 애플이 사용자의 프라이버시를 해치지 않으면서 사용자의 정보를 수집하고 있다고 주장했다. 애플은 최근 어떻게 사용자의 개인정보를 연관시키지 않으면서 정보를 수집하는지에 대해 밝혔다. 최근 애플의 머신러닝 저널에 공개된 포스트에 따르면, 애플은 민감 사용자 데이터를 그들 고객의 프라이버시를 지키면서도 수집할 수 있게하는 알고리즘을 개발했다. 사용자가 누군이지 드러내지 않으면서 정보를 얻기 위해서, 애플은 iOS10을 릴리즈하면서 차등 개인정보(local differential privacy)를 사용하는 시스템 구조(system architecture)를 개발했다. 포스트에 따르면 이 아이디어는 신중히 조정된 노이즈를 사용해 사용자 데이터를 가리는데 사용하는 것에 근원을 두고 있으며, 많은 사용자들이 데이터를 제공할 때, 추가된 잡음(noise)이 평균화되고(added averages out) 의미있는 정보가 나타난다. 지역 차등 프라이버시(local differential privacy)를 사용하면서 사용자 데이터는 장치에서 전송되기 전에 랜덤화(randomized)되고, 서버는 원본 데이터(raw data)를 보거나 수신할 수 없게 된다.

Detailed News List

  • Apple collect your data
    • [TechRepublic]
      Apple claims it can collect your data without violating your privacy; here’s how
    • [ZDNet]
      Apple to iPhone, Mac users: Here’s why our data gathering doesn’t invade your privacy
    • [Apple Machine Learning Journal]
      Learning with Privacy at Scale

 

Data Breaches/Info Leakages

Summaries

  • 나이스해시(NiceHash)가 해킹당해 수천 비트코인을 도둑맞았다. 암호화폐 채굴 마켓인 나이스해시(NiceHash)가 해킹으로 전체 비트코인 지갑을 잃게 되었다고 발표했다. 나이스해시는 사용자들이 자신의 컴퓨터 사이클을 암호화폐 채굴을 위해 사고파는 마켓이다. 나이스해시는 수요일 정오에 성명을 발표했는데 NiceHash 웹 사이트에 보안 침해가 있었으며, 지불 시스템이 완전히 침해당해 나이스해시의 비트코인 지갑을 도둑맞았다고 발표했다. 나이스해시가 정확한 금액을 밝히지는 않았지만, 추정되는 금액은 약 6천만 달러에 달할 것으로 보인다.
  • 우버(Uber)가 해킹한 사람을 확인하고 추가 사고를 막기위해 정보 공개를 하지 않겠다는 약속을 받는 목적으로 10만 달러의 금액을 그들의 버그바운티 프로그램(bug bounty program)에서 지불한 것으로 로이터 통신이 보도했다. 로이터 통신이 이 침해사고에 대해 잘 알고있는 익명의 소식통으로부터 입수한 바에 따르면, 해커는 20세의 플로리다의 남성으로 우버는 이 사람의 컴퓨터에서 포렌식 수사를 진행했으며, 훔친 정보를 삭제한 것이 맞는지 확인하는 과정을 거쳤다.
  • 유명 키보드 앱이 3100만명의 사용자 개인정보를 수집하고 이 정보를 유출시키는 사고가 있었다. 문제는 앱 제조사의 데이터베이스가 비밀번호로 보호되고 있지 않았기 때문이었다. 서버는 전세계 4000만명 이상의 사용자가 사용하는 개인화 가능한 온스크린(on-screen) 키보드 앱인 AI.type의 공동설립자 Eitan Fitusi의 소유다. 서버가 비밀번호로 보호되어있지 않아서 누구나 사용자 레코드에 접근이 가능했고, 데이터베이스에는 577기가바이트 이상의 민감 정보가 존재했다. 해당 내용을 발견한 Kromtech Security Center에서 연락을 취한 후 보안설정이 되었으나, Fitusi는 이에대한 답변을 하지 않았다. 노출된 데이터는 사용자 이름, 이메일 주소, 앱 설치기간 이었고, 사용자의 도시와 국가와 같은 위치정보도 포함되어 있었다. 무료버젼을 사용하는 사용자 정보는 더 자세한 정보도 존재했다. 장치의 IMSI와 IMEI 번호, 장치의 제조번호 및 모델정보, 화면 해상도, 안드로이드 정보와 같은 중요 정보들도 존재했다. (6일에서 이어짐)

Detailed News List

  • NiceHash got Hacked
    • [InfoSecurityMagazine]
      $64m in Bitcoin Stolen from NiceHash Mining Platform
    • [SecurityAffairs]
      NiceHash: security breach leads to 60 million lost – Iceman is behind?
    • [NakedSecurity]
      NiceHash cryptomining exchange hacked; everything’s gone
    • [DarkReading]
      Bitcoin Miner NiceHash Hacked, Possibly Losing $62 Million in Bitcoin
    • [InformationSecurityBuzz]
      $60 Million Worth Of Bitcoin Stolen From Cryptocurrency Site
    • [TripWire]
      NiceHash Temporarily Ceases Operations Following Security Breach
    • [ZDNet]
      Bitcoin exchange NiceHash hacked, $68 million stolen
    • [SecurityAffairs]
      NiceHash Hacked – Crooks have allegedly stolen $60m worth of Bitcoin
    • [TheHackerNews]
      Largest Crypto-Mining Exchange Hacked; Over $70 Million in Bitcoin Stolen
    • [HelpNetSecurity]
      NiceHash suffers security breach, around $70 million in Bitcoin stolen
    • [HackRead]
      Cryptocurrency mining market NiceHash hacked; $67m might be stolen
    • [TheRegister]
      NiceHash diced up by hackers, thousands of Bitcoin pilfered
  • Uber Hacking
    • [DarkReading]
      Uber Used $100K Bug Bounty to Pay, Silence Florida Hacker: Report
    • [ZDNet]
      Uber paid 20-year-old man to hide hack, destroy data
    • [TheHackerNews]
      Uber Paid 20-Year-Old Florida Hacker $100,000 to Keep Data Breach Secret
    • [Reuters]
      Exclusive: Uber paid 20-year-old Florida man to keep data breach secret – sources
  • Keyboard App
    • [GrahamCluley]
      Oops! This Android keyboard app accidentally leaked 31 million users’ personal details
    • [WeLiveSecurity]
      Virtual keyboard app exposes personal data of 31 million users
    • [EHackingNews]
      Misconfigured Ai.Type Virtual Keyboard Database Exposes 31 Million Users’ Personal Data
    • [EHackingNews]
      Personal data of 31 million Android users of virtual keyboard app revealed

 

Industrial/Infrastructure/Physical System/HVAC/SCADA

Summaries

  • 다수의 산업용 지멘스(Siemens) 제품들에서 심각한 취약점이 발견되었다. 다수의 산업용 장비들에서 공격자가 원격으로 시스템을 서비스거부(DoS, Denial-of-Service) 상태로 만들 수 있는 취약점이 발견되었다. 이 취약점은 CyberX의 연구가들에 의해 지멘스에 보고되었으며, CVE-2017-12741로 높은 심각성(high severity)등급으로 분류되었다. 지멘스에 따르면 영향받는 제품들은 SIMATIC S7-200 Smart micro-PLCs for small automation applications, 일부 SIMATIC S7 CPUs, SIMATIC WinAC RTX 소프트웨어 컨트롤러(software controllers), SIMATIC ET 200 PROFINET 인터페이스 모듈(interface modules), SIMATIC PN/PN 커플러(couplers), SIMATIC Compact field units, PROFINET IO의 개발 도구(development kits), SIMOTION 동작 제어 시스템(motion control systems), SINAMICS 컨버터(converters), SINUMERIK CNC 자동화 제품(automation solutions), SIMOCODE 모터 관리 시스템(motor management systems), SIRIUS 3RW motor soft starters 다.

Detailed News List

  • Siemens Products
    • [SecurityWeek]
      Serious Flaw Found in Many Siemens Industrial Products
    • [Siemens]
      SSA-346262: Denial-of-Service in Industrial Products(PDF)

 

Internet of Things

Summaries

  • 다수의 차량을 포함한 온갖 기기들이 점차 더 많이 네트워크에 연결되기 시작하면서, 이를 걱정하는 기사들이 이어지고 있다. 해커들이 인터넷에 접속된 차량에 침입하게 되면 에어백이나 브레이크, 잠금장치 등을 무력화 할 수 있고 차량을 훔칠 수도 있다. 최근에 테슬라(Tesla)차량이 중국 해커들에 의해 해킹된 최근의 사건에 주목할만 하다.
  • 사토리(Satori)봇넷이라 이름 붙은, 라우터(Router)의 제로데이에 기반한 봇넷 공격이 임박했다고 하는 기사가 나왔다. 새로운 Mirai 변종이 공격준비가 끝났다는 것이다. 14개월 전 소스코드가 공개된 이후, 봇넷 운영자들은 새로운 버젼을 계속적으로 릴리즈해 왔다. 가장 최근의 변종에서는 근래에 발견된 가정 및 소규모 사무실용으로 많이 사용되는 라우터를 취약점을 공격하는 기능이 들어가있다. 이 취약점은 강력한 암호를 설정해 놓고너 원격 관리기능(remote administration)을 꺼 놓아도 공격가능하다. 영향을 받는 화웨이(Huawei) 장치 중 하나는 EchoLife Home Gateway이고 다른 하나는 Huawei Home Gateway다. 약 90,000에서 100,000대의 새로 감염된 장치들이 두 화웨이 라우터 모델 중 하나다. 새로운 악성코드는 다른 장치들을 대상으로 공격하기 위한 65,000개의 사용자 이름 및 비밀번호 사전을 갖추고있다. (6일에서 이어짐)

Detailed News List

  • Driverless cars
    • [UpstateBusinessJournal]
      Cybersecurity concerns surround the promise of driverless cars
    • [ZDNet]
      No, we’re not trying to get backdoors in smart homes, cars, says Germany
    • [EHackingNews]
      Rising peril of autonomous vehicles due to cyber attacks
  • Satori Botnet
    • [InformationSecurityBuzz]
      Satori Botnet

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • 안드로이드 랜섬웨어 킷(Android Ransomware Kits)이 다크넷에서 붐이 일고 있다. 이번해에 지금까지 5,000개 이상의 안드로이드 랜섬웨어 킷이 존재하는 것이 확인되었으며, 평균 가격은 $200이다. 대다수의 랜섬웨어 키트는 여전히 윈도우즈 시스템을 대상으로 하고있다. 그러나 새로나온 리포트에 따르면, 안드로이드 랜섬웨어 키트가 비싼 값에 거래되고 있으며, 그 판매량과 가격이 증가할 것으로 예상된다. 안드로이드 랜섬웨어 키트는 윈도우즈 랜섬웨어 키트가 평균 $10라는 가격에 판매되는 것에 비해 평균 $200라는 20배 높은 가격으로 판매되고 있다고 카본블랙(Carbon Black)이 발표했다. 이 랜섬웨어 키트의 가격은 $250에서 $850선이다.

Detailed News List

  • Android Ransomware Kit
    • [DarkReading]
      Android Ransomware Kits on the Rise in the Dark Web

 

Crypto Currencies/Crypto Mining

Summaries

  • StorageCrypt 랜섬웨어가 SambaCry 익스플로잇을 사용해 NAS 장치들을 노리고있다. 새로운 종류의 랜섬웨어가 5월에 패치된 SambaCry 취약점을 사용해 NAS(Network-Attached Storage) 장치를 노리고 있다. StorageCrypt라 명명된 이 랜섬웨어는 0.4에서 2비트코인을 암호화 파일을 풀어주는 것에 대한 몸값으로 요구한다. NAS 장치를 감염시키기 위해서 StroageCrypt는 리눅스 삼바(Samba) 취약점(CVE-2017-7494)을 이용한다. (7일에서 이어짐)

Detailed News List

  • StorageCrypt
    • [SecurityAffairs]
      The StorageCrypt ransomware is the last malware in order of time exploiting SambaCry to target NAS Devices

 

Posted in Security, Security NewsTagged Adwind RAT, Android Ransomware Kits, APT34, Bug Bounty Program, Charming Kitten, cloudflare.solutions, Conficker, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, CVE-2017-0199, CVE-2017-11882, CVE-2017-3737, CVE-2017-3738, CVE-2017-7494, Cyber Espionage, DarkNet, Deep web, Industrial Control System, Information Leakage, Internet of Things, IoT, Keylogger, Malware, Malware Protection Engine, Man-in-the-Middle Attack, Mirai, MITM, NewsBeef, Newscaster, OilRig, OpenSSL, OSS-Fuzz, Patches, PLC, Privacy, Process Doppelgänging, SambaCry, Satori Botnet, StorageCrypt, Underground Market, VulnerabilityLeave a comment

Security Newsletters, Nov 17th, 2017

Posted on 2017-11-17 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats

Summaries

  • 중동의 목표(Entities in the Middle East)를 노리고 오랫동안 지속되고 있는 표적 공격들이 여러 연구가들의 분석에도 불구하고 명확해지지 않는다고 팔로 알토 네트웍스(Palo Alto Networks)가 밝혔다. 흙탕물(MuddyWater)이라고 명명된 이 공격은, 2017년 2월에서 부터 10월까지 일어났던 공격에서 아주 혼란스러운 상황을 만들어 놓아서 이러한 별명이 붙었다. 이 작전에서는 다양한 종류의 악성 문서가 사용되어 사우디 아라비아(Saudi Arabia), 이라크(Iraq), 이스라엘(Israel), 아랍 에미레이트(United Arab Emirates), 조지아(Geogia), 인도(India), 파키스탄(Pakistan), 터키(Turkey), 미국(United States)의 목표들을 공격했다. 연구자들은 이 공격이 천천히 진화하는 파워쉘(PowerShell) 기반의 첫번째 단계 백도어 POWERSTATS를 사용한다고 밝혔다.
  • 카스퍼스키 랩(Kaspersky Lab)이 NSA 사고에 대한 더 자세한 정보를 공개했다. 목요일에 카스퍼스키 랩은 러시아 해커가 미국 국가안보국(NSA, National Security Agency)에 속한 데이터를 자사 소프트웨어를 악용해 훔쳤다고 주장되는 사건에 대한 더 자세한 조사결과를 공개했다. 월스트리트저널(The Wall Street Journal) 이 지난달 보도했던 이 사건 기사에서 월스트리트저널은 카스퍼스키가 러시아 정부가 파일을 획득하는데 도움을 주었거나, 해커가 카스퍼스키 랩의 도움 없이 해당 소프트웨어의 취약점을 악용했다고 주장했다. 목요일에 공개된 더 리포트에서 카스퍼스키는 이 사고는 2014년 9월 11일에서 11월 17일 사이에 일어났다고 밝혔다. 2014년 9월 카스퍼스키의 제품이 이퀘이젼그룹(Equation Group)과 관련된 악성코드를 탐지했다. 그리고 카스퍼스키 소프트웨어는 악성으로 추정되는 파일이 담긴 자료를 더 자세한 분석을 위해 카스퍼스키 회사의 시스템으로 업로드했다. 이 자료에는 Equation 악성코드의 소스코드와 자료 분류 마크(비밀, 대외비 등)가 포함된 문서 4개가 포함되어 있었다.
  • 가짜뉴스(Fake news)가 비즈니스 모델이 되어 수익을 위해 이용되고 있다. 보안 기업 Digital Shadow가 가짜 미디어 사이트/가짜 리뷰/소셜미디어 봇 제작이나 상업 제품/서비스의 광고나 폄하를 자동으로 하는 계정을 만들어주는 서비스에 대한 리포트를 내놓았다. 이 도구들은 소셜미디어 봇을 제어하는 $7짜리 시험판 부터 가능하다.
  • 원격데스크탑프로토콜(RDP, Remote Desktop Protocol)을 사용해 손수 랜섬웨어(Ransomware)를 설치하는 사이버 범죄자들에 대한 기사도 이어지고 있다. 소포스(Sophos)에서는 네트워크에 공개된 RDP를 대상으로, NLBrute와 같은 도구들로 공격해 원격으로 관리자 계정에 접속 한 뒤 공격 도구 및 랜섬웨어를 내려받아 직접 공격 및 설치하는 사이버 범죄자들에 대하여 보고서를 발표했다.
  • 북한의 사이버 공격 및 그에 사용되는 악성코드에 대한 경고가 이어지고 있다. US-CERT와 미 연방수사국(FBI, Federal Bureau of Investigation)은 북한의 히든코브라(Hidden Cobra) 작전 및 FALLCHILL 악성코드를 사용한 사이버 공격에 대한 정보를 공개한 바 있다.

Detailed News list

  • MuddyWater
    • [SecurityWeek] Middle East ‘MuddyWater’ Attacks Difficult to Clear Up
  • NSA Incident
    • [SecurityWeek] Kaspersky Shares More Details on NSA Incident
    • [DarkReading] 121 Pieces of Malware Flagged on NSA Employee’s Home Computer
    • [MotherBoard] Internal Kaspersky Investigation Says NSA Worker’s Computer Was Infested with Malware
    • [SecurityBrief] ‘Leaker’ behind massive NSA breach possibly still working at agency
    • [NakedSecurity] Shadow Brokers cause ongoing headache for NSA
    • [Bloomberg] Russian Hackers Aren’t the NSA’s Biggest Problem
    • [TheRegister] Kaspersky: Clumsy NSA leak snoop’s PC was packed with malware
    • [CyberScoop] Kaspersky: NSA worker’s computer was packed with malware
    • [BBC] Kaspersky defends its role in NSA breach
  • Fake News Business Model
    • [SecurityWeek] ‘Fake news’ Becomes a Business Model: Researchers
  • Delivery Ransomware via RDP
    • [DarkReading] Crooks Turn to Delivering Ransomware via RDP
    • [NakedSecurity] Ransomware-spreading hackers sneak in through RDP
    • [NakedSecurity] Ransomware via RDP – how to stay safe! [VIDEO]
  • Hidden Cobra, FALLCHILL
    • [eWEEK] North Korea Getting Ready Wage a Global Cyber War, Experts Say
    • [eWEEK] Researcher Provides Insight Into North Korea Cyber-Army Tactics

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 루트권한을 얻을 수 있는 앱이 사전에 설치되어 있었던 원플러스(OnePlus) 기기에서 또 다른 수상한 사전설치(Pre-installed) 앱이 발견되었다. 이 앱은 시스템 로그를 수집한다. 원플러스로그킷(OnePlusLogKit) 이라 명명된 이 앱은 두번째 발견된 사전설치(pre-installed) 앱으로, 앨리엇 앤더슨(Elliot Anderson, MR.ROBOT 드라마 주인공 이름)계정을 사용하는 트위터 사용자에 의해 발견되었다. OnePlusLogKit은 시스템 수준(level)의 응용프로그램으로 원플러스 스마트폰의 다양한 정보를 수집하게 되어있다. 수집하는 정보는 WiFi/NFC/BlueTooth/GPS 위치 로그, 모뎀 시그널/데이터 로그, 실행중인 프로세스/서비스 목록, 배터리 상태, 기기에 저장된 모든 비디오 및 이미지를 포함한 미디어 데이터베이스 정보다.
  • 구글이 보안연구가에게 10만 달러의 상금을 벌게 해줬던 크롬OS(Chrome OS)의 코드실행 취약점 정보를 공개했다. 2015년 3월 구글은 크롬박스(Chromebox)나 크롬북(Chromebook)을 게스트 모드(Guest mode)에서 웹페이지를 통해 영구히 장악할 수 있는 익스플로잇에 10만 달러의 상금을 지불하겠다고 발표한 바 있다. 그에 앞서 구글은 그런 익스플로잇에 5만 달러를 제공했었다. 그리고 인터넷에서 Gzob Qq라는 이름을 쓰는 연구가가 구글에게 9월 18일에 크롬박스(Chromebox)나 크롬북(Chromebook) 장치들에서 사용하는 크롬OS(Chrome OS) 운영체제 에서 영구적인 코드 실행이 가능한 일련의 취약점들을 찾았다고 알려왔다. Gzob Qq는 구글에게 개념증명(Proof-of-Concept) 익스플로잇을 보냈고, 구글은 10월 27일에 업데이트를 통해 패치했다. 그리고 10월 11일에 연구자에게 10만 달러의 보상이 제공될 것임을 알려왔다. 이런 사례는 처음이 아니며, 이전에도 발견한 취약점에 대해 구글이 여러차례 보상을 한 바 있다.
  • Terdot 뱅킹 트로이(banking trojan)가 사이버 스파이(Cyber espionage) 도구로 활용될 수 있다. 비트디펜더(Bitdefender)가 리포트를 통해 Terdot 뱅킹 트로이가 정보 유출(information stealing) 기능을 탑재함에 따라 쉽게 사이버 스파이 도구로 변화할 수 있다고 밝혔다. Terdot은 2011년 온라인에 유출된 제우스(ZeuS) 소스코드에 기반한 악성코드다. 이 악성코드는 작년 10월 다시 활동을 재개했으며, 비트디펜더는 이 악성코드를 지속적으로 추적해왔다. Terdot은 중간자공격(MitM, Man-in-the-Middle Attack)을 위한 프록시(Proxy)로 기능하며 로그인 정보나 신용카드 정보 등을 훔치거나 방문하는 웹페이지에 HTML을 주사(Injecting HTML)하기 위해 제작되었다. 그러나 애초에 뱅킹 트로이를 목적으로 악성코드가 제작되었지만, Terdot의 능력은 본래의 목적 그 이상으로 활용될 수 있다고 밝혔다.
  • 맥아피(McAfee)의 안티해킹 서비스가 사용자들을 뱅킹 악성코드로 인도하는 사고가 있었다. 악성코드는 제3자 웹사이트에 올라와 있었지만, 맥아피의 ClickProtect와 관련된 도메인을 사용해 공유되었다. 이 링크는 사용자를 cp.mcafee.com 도메인을 통해 악성 워드 문서로 사용자를 리다이렉트 시켰고, 이 파일을 다운로드 받고 열어본 사람은 Emotet 뱅킹 악성코드에 감염되었다. 맥아피는 이에 대해서 문제를 조사중이라고 밝히며 또한 기능은 정상적으로 잘 동작했다고 말했다. 최초 최종목적지 주소는 악성코드 전파 장소로 분류되지 않았지만, 그날 늦게 맥아피의 Threat Intelligence Service가 해당 웹을 위협으로 판단하고 평판정보를 낮음(low risk)에서 높음(high risk)로 변경해 고객들이 해당 사이트로 접근할 수 없게 막았다고 대변인은 말했다.

Detailed News List

  • OnePlus
    • [TheHackerNews] Another Shady App Found Pre-Installed on OnePlus Phones that Collects System Logs
    • [HackRead] Another preinstalled app found on OnePlus that could collect user data
    • [BleepingComputer] Second OnePlus Factory App Discovered. This One Dumps Photos, WiFi & GPS Logs
    • [ZDNet] OnePlus: We’ll fix flawed app that lets attackers root our phones
  • Chrome OS Flaws
    • [SecurityWeek] Google Discloses Details of $100,000 Chrome OS Flaws
  • Terdot Banking Trojan
    • [SecurityWeek] Terdot Banking Trojan Could Act as Cyber-Espionage Tool
    • [BitDefender] Terdot: Zeus-based malware strikes back with a lbask from the past (PDF)
    • [DarkReading] Terdot Banking Trojan Spies on Email, Social Media
    • [SecurityAffairs] Terdot Banking Trojan is back and it now implements espionage capabilities
    • [InfoSecurityMagazine] Zeus Spawn ‘Terdot’ is a Banking Trojan with a Twist
    • [TheRegister] New, revamped Terdot Trojan: It’s so 2017, it even fake-posts to Twitter
    • [ZDNet] This banking malware wants to scoop up your email and social media accounts, too
  • McAfee
    • [ZDNet] McAfee’s own anti-hacking service exposed users to banking malware

 

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

  • 백악관이 제로데이(Zero-day) 취약점 공개 절차에 투명성을 제공하는 방안을 제시했다. 수요일 미 정부는 VEP(Vulnerabilities Equities Policy) 프로그램에 더 큰 투명성(Transparency)을 가져오는 변화를 소개했다. 이 절차는 미 정부 기관들이 찾아낸 소프트웨어 취약점을 공개할 것인지 여부를 결정하는 프로세스다. 백악관 사이버보안 코디네이터인 롭 조이스(Rob Joyce)는 왜 모든 발견내역이 공개되지 않는지를 설명했다. 그는 공개되지 않는다는 점에는 변화가 없지만, 그 결정 과정에 더 큰 투명성을 도입한다고 말했다.

Detailed News List

  • Zero-day Disclosure Process, VEP
    • [SecurityWeek] White House Cyber Chief Provides Transparency Into Zero-Day Disclosure Process
    • [DarkReading] White House Releases New Charter for Using, Disclosing Security Vulnerabilities
    • [ThreatPost] White House Releases VEP Disclosure Rules

 

Patches/Updates

Summaries

  • 아파치 카우치디비(CouchDB)의 심각한 취약점이 패치되었다. 지난주 공개된 아파치 카우치DB 업데이트에서 공격자가 악용할 수 있는 권한상승 및 코드실행 공격 취약점이 패치되었다. 카우치DB는 문서지향(document-oriented) 오픈소스 데이터베이스 관리 시스템으로, NPM 등에서 사용되고 있다. 취약점은 CVE-2017-12635로 공격자가 관리자가 아닌 권한으로 관리자 권한을 획득하고 궁극적으로는 임의의 코드를 실행할 수 있다.
  • 시스코(Cisco)의 협업 제품인 Voice Operating System(VOS)에서 심각한 취약점들이 발견되었다. 시스코에 따르면, 이 취약점들은 VOS에 기반한 제품들의 업그레이드 방식에 영향을 미친다. CVE-2017-12337 번호가 부여된 취약점은, 인증되지 않은 공격자가 원격으로 이 취약점을 공격하여 해당 장비의 루트 권한의 제어권을 획득할 수 있다.

Detailed News List

  • Apache CouchDB
    • [SecurityWeek] Critical Vulnerabilities Patched in Apache CouchDB
  • Cisco Voice Operating System
    • [SecurityWeek] Critical Flaw Exposes Cisco Collaboration Products to Hacking
    • [SecurityAffairs] Cisco issued a security advisory warning of a flaw in Cisco Voice Operating System software

 

Privacy

Summaries

  • 왓츠앱의 보낸 메시지 삭제 기능이 실제로는 삭제되지 않는다는 기사가 나왔다. 왓츠앱(WhatsApp)은 최근 메시지 전송 취소기능을 소개한 바 있다. 메시지를 잘못 보냈을 경우 해당 메시지를 취소하면 ‘이 메시지는 삭제되었습니다(This message was deleted)‘라고 바뀌며 화면상에 보이지 않게 된다. 이는 문자 메시지외에 사진, 동영상, GIF, 보이스 메시지에도 적용된다. 그러나 실제로는 스냅챗(Snapchat)이 영구히 삭제된다(disappeared forever)고 말했던 것과 다르게 스마트폰에 저장되었던 것 처럼, 왓츠앱 메시지도 기기에 그대로 남아있으며 쉽게 접근할 수 있다는 것이다.
  • 아이폰의 페이스아이디 기사는 여전히 계속되고 있다. 최초 애플이 광고했던 바와는 확연히 다르게, 3D 프린터로 만들어낸 가면과 닮은 얼굴로도 인증이 뚫려버려서 기사는 꽤 오래 지속될 것으로 보인다.

Detailed News List

  • WhatsApp Messages
    • [NakedSecurity] Deleted WhatsApp sent messages might not be gone forever
    • [Android Jefe] How to SEE a deleted WhatsApp message after 7 minutes
    • [WeLiveSecurity] Think you deleted that embarrassing WhatsApp message you sent? Think again
    • [eHackingNews] WhatsApp: Deleted messages can be read using Third-Party app
  • Apple FaceID
    • [NakedSecurity] Apple’s Face ID security fooled by simple face mask

 

Data Breaches/Info Leakages

Summaries

  • 로스엔젤레스에 위치한 의류 소매업체인 Forever 21이 신용카드 정보에 허가되지 않은 접근이 있었다고 발표했다. Forever 21은 고객들에게 자사의 카드지불 시스템에 대한 조사를 시작했다고 공지했다. Forever 21은 2015년에 암호화 및 토큰화 시스템을 구현했으나 몇몇 Forever 21 매장의 일부 PoS(Point-of-Sale) 장치들의 암호화가 동작하지 않고 있었다고 밝혔다.
  • 유명 드론 제작사인 DJI가 SSL과 펌웨어 키를 GitHub에 몇년간이나 공개해 왔던 것으로 드러났다. 중국의 드론 제조사인 DJI가 .com 도메인 HTTPS 인증서(certificate)의 비밀키(Private key)를 GitHub에 4년간이나 공개해온 것으로 드러났다. SSL 비밀키는 DJI 소유의 GitHub 리포지토리에서 발견되었다. AWS 계정 인증정보와 펌웨어 AES 암호화 키 역시 노출되었는데, 잘못 설정되어 공개되어있는 AWS S3 버켓 정보도 있었다. DJI는 해당 HTTPS 인증서를 회수(Revoked)조치 하고 9월달에 새로운 인증서를 발급받았다.
  • Cash Converters가 데이터 유출 사고가 있었다고 인정했다. Cash Converters는 사용자이름, 비밀번호, 주소 정보가 제3자에 의해 접근되었을 가능성이 있다고 언급했다. 이 데이터 침해 사고는 2017년 9월에 교체된 구 영국(UK)사이트의 정보가 노출되었다. Cash Converters는 사람들이 보석이나 전자기기 등을 현금으로 거래하는 사이트다.

Detailed News List

  • Forever 21
    • [NakedSecurity] Forever 21 informs customers of a potential data breach
    • [SCMedia] Forever 21 reports data breach, failed to turn on POS encryption
    • [HotForSecurity] Forever 21 clothing stores hit by credit card data breach after encryption failure
  • DJI
    • [TheRegister] Drone maker DJI left its private SSL, firmware keys open to world+dog on GitHub FOR YEARS
  • Cash Converters
    • [BBC] Cash Converters reveals customer data breach
    • [TheRegister] Pawnbroker pwnd: Cash Converters says hacker slurped customer data

 

Internet of Things

Summaries

  • 최근에 공개된 수십억 대의 안드로이드, iOS, 윈도우즈, 리눅스 장치들에 영향을 미치는 일련의 치명적인 블루투스 취약점들이, 수백만 대의 구글 홈(Google Home)이나 아마존 에코(Amazon Echo)와 같은 목소리로 제어되는 개인비서(Personal assistant) 장치들 에서도 발견되었다. 블루본 공격은 총 8개의 블루투스 구현 취약점을 공격하는 정교한 공격법에 붙여진 이름이다. 이 공격법은 범위내에 있는 공격자가 대상 장치에서 악의적인 코드를 실행하거나 민감한 정보의 탈취, 제어권 장악, 중간자 공격 수행을 할 수 있게 한다.
  • 몇년에 걸친 규제 단속에도 불구하고 일부 보안 카메라가 여전히 해커에게 무방비로 공개되어 있다는 결과가 나왔다. 메릴랜드(Maryland)에 위치한 사이버보안 스타트업인 ReFirm이 미국내에서 TRENDnet, Belkin, Dahua 제조사에 의해 판매되는 인터넷 연결 제품들에서 취약점을 찾아냈다고 밝혔다. 이 취약점은 보안 카메라의 비디오 피드에 자유로이 접근할 수 있는 취약점이다.
  • 자기 자동차의 인포테인먼트 시스템(infotainment system)을 조사한 보안연구가의 놀라운 결과가 공개되었다. 자기차의 시스템을 조사한 이 연구가는 현대 소프트웨어 보안 원칙이 반영되지 않은 설계로 만들어 졌다고 말했다. 사용자의 스마트폰으로 부터 취득한 수많은 개인정보를 저장하고 있다는 것이다. 차량의 인포테인먼트 기기에서 코드를 실행시키는 것이 특별히 제작된 스크립트를 넣은 USB 플래시 드아리브를 접속시키는 정도로 아주 쉬우며, 시스템이 이 파일을 자동으로 읽고 전체 관리자 권한으로 실행시킨다. 또 이 연구자는 전화 기록, 연락처, 문자메시지, 이메일 메시지, 모바일 폰의 디렉토리 목록까지 차량에 동기화되어 인포테인먼트 기기에 평문으로 영구적으로 저장되는 중대한 프라이버시 문제를 찾아냈다.

Detailed News List

  • Amazon Echo/Google Home
    • [TheHackerNews] Bluetooth Hack Affects 20 Million Amazon Echo and Google Home Devices
    • [SecurityWeek] Amazon Echo, Google Home Vulnerable to BlueBorne Attacks
    • [Armis] BlueBorne Attack
    • [Armis] BlueBorne Cyber Threat Impacts Amazon Echo and Google Home
    • [ZDNet] ​Google Home and Amazon Echo hit by big bad Bluetooth flaws
  • Vulnerable Security Cameras
    • [TheWashingtonPost] Years after regulatory crackdown, some security cameras still open to hackers
  • Car Infotainment System
    • [MotherBoard] Researchers Hack Car Infotainment System and Find Sensitive User Data Inside

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 싱가폴에서 경찰을 사칭한 웹사이트를 통해 $60,000의 사기 피해가 일어났다. 11월 13일에 60세의 여성이 사기에 넘어가 일생동안 저축한 $60,000 가량의 금액을 잃어버리는 사건이 발생했다. 이 사건은 싱가폴 경찰(SPF, Singapore Police Force)이라 주장한 누군가의 전화 한통으로 시작되었다. 전화에서 은행 계좌가 돈세탁 등의 악의적인 목적으로 사용되고 있다고 하며 개인정보 및 은행 정보를 요구했다. 그리고 수사가 진행중이므로 누구에게도 이 내용을 발설하지 말라며 경고했다. 그리고 이튿날 가짜 경찰 웹사이트로 연결되는 링크를 받았고, 결국엔 $60,000에 달하는 금액이 사라졌다.

Detailed News List

  • Fake Police Website Scam
    • [HackRead] Woman scammed for $60,000 through fake Police website

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • NSA와 CIA의 익스플로잇들이 유출되어 공개되고 미 정부의 VEP(Vulnerabilities Equities Policy) 프로세스가 공개된 와중에, 기타 다른 정부들도 자신들의 제로데이 익스플로잇을 가지고 있을 것이라는 믿음에는 이제 의심의 여지가 없다. 그러나 이에 대한 정보는 알려진 바가 거의 없었다. 그러나 레코디드퓨처(Recorded Future)가 오늘 발표한  보고서에 따르면, 중국 정부와 관계가 있을 수 있는 APT 그룹이 사용하는 심각한 취약점들에 대한 정보는 공개를 늦추고 있다는 결과를 내놓았다. 중국에는 중국 국가 안보부(MSS, Chinese Ministry of State Security)에서 운영하는 보안 취약점 데이터베이스(CNNVD, China’s National Vulnerability Database)가 있다. 이 데이터베이스는 일반적으로 미국의 유사한 NVD(National Vulnerability Database)와 비교할 때 취약점을 더 빨리 공개한다. 그러나 몇몇 경우에서 느린 경우가 발견되었는데, 이 ‘아웃라이어’들의 경우가 놀라운 결과를 보여준다. 첫번째 경우는 CVE-2017-0199로 WannaCry와 NotPetya 대란에서 사용된 익스플로잇이다. 상세정보가 NVD에서 2017년 4월 12일에 공개되었고 CNNVD에서는 50일 이후까지 발표되지 않았다. WannaCry 대란은 주로 북한 해커들과 연관되어 왔으나, 연구자들은 TA459라고 알려진 중국의 그룹도 동일한 취약점을 동일한 시기에 러시아 및 벨라루스(Belarus)의 군대 및 항공(Aerospace) 기관들에 사용했다고 지적했다. 두번째 경우는 CVE-2016-10136과 CVE-2016-10138 이다.

Detailed News List

  • China Vulnerability Disclosures
    • [SecurityWeek] China May Delay Vulnerability Disclosures For Use in Attacks
    • [CyberScoop] China hides homegrown hacks from its vulnerability disclosure process
    • [InfoSecurityMagazine] Beijing Delays Bug Reports While Hackers Exploit Flaws — Report

 

Posted in Security, Security NewsTagged BlueBorne, Car Infotainment System, China's National Vulnerability Database, CNNVD, CVE-2016-10136, CVE-2016-10138, CVE-2017-0199, CVE-2017-12337, CVE-2017-12635, Cyber Espionage, Equation Group, FaceID, Fake news, FALLCHILL, Hidden Cobra, Internet of Things, IoT, Malware, MITM, MuddyWater, National Vulnerability Database, NVD, OnePlusLogKit, Patches, Policy, POWERSTATS, Privacy, Private Key Leakage, Ransomware, RDP, Remote Desktop Protocol, Scam, TA459, Terdot, VEP, Vulnerabilities Equities Policy, Vulnerability, WannaCry, ZeuSLeave a comment

Security Newsletters, 31, Oct, 2017

Posted on 2017-10-31 - 2017-10-31 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operation/Cyber Intelligence

Summaries

  • 중동 및 북아프리카(MENA, Middle East and North Africa)를 대상으로 하는 가자(Gaza) 사이버범죄집단(Cybergang)이 새로운 도구들을 확보해 활동을 확대할 것으로 보인다고 카스퍼스키랩(Kaspersky Lab)이 전했다. 새로운 도구는 마이크로소프트 엑세스(Microsoft Access)의 최근 취약점인 CVE-2017-0199를 공격하는 익스플로잇과 최소 하나의 안드로이드 스파이웨어, 악성코드를 대상에게 유포하기 위한 매우 지정학적으로 민감한 스피어피싱 문서가 이에 해당한다. 가자 사이버범죄집단은 지속적으로 정부기관, 정유 및 가스 기업, 대사관, 외교관, 언론기관을 지난 몇년간 공격해왔고 최근들어 이러한 공격을 확대해 가고 있는 것으로 보인다.
  • 페이스북의 유튜브 링크로 위장한 클릭낚시(Clickbait)와 가짜뉴스 경고. 페이스북에서 전달되는 링크에 대해서 특별히 더 조심할 필요가 있다. 스패머(spammer)들이 공유된 링크 주소를 속일 수 있기 때문이다. 사용자에겐 정상적인 링크로 보이게 하면서 가짜 뉴스 웹사이트나 악성코드, 악성 컨텐츠로 리다이렉트 되도록 링크를 조작할 수 있다. 페이스북에서 Open Graph meta tags를 수집하면서 og:url값의 주소와 실제 공유하는 링크 주소 일치여부를 확인하지 않아 발생한다. 그러나 페이스북은 Linkshim이라는 URL검사 시스템에 의해 클릭한 URL에 대한 진단이 수행되므로 취약점에 해당하지 않는다고 이 문제를 취약점으로의 분류하기를 거절했다.

Detailed News list

  • Gaza Cybergang
    • [DarkReading] 가자 사이버범죄집단, 새로운 도구로 작전을 확장한다
      Gaza Cybergang Acquires New Tools, Expands Operations
    • [SecurityWeek] Hamas 관련된 가자 사이버범죄집단, 새로운 범죄도구와 대상 생겼다
      Hamas-Linked ‘Gaza Cybergang’ Has New Tools, Targets
  • Facebook Clickbait
    • [theHackerNews] 페이스북의 유뷰브 링크로 위장한 가짜링크 주의
      Wait, Do You Really Think That’s A YouTube URL? Spoofing Links On Facebook

 

Malware/Exploit/Vulnerability

Summaries

  • Sage 랜섬웨어가 분석 방해 기능을 갖췄다. Fortinet의 보고서에 따르면, Sage 랜섬웨어가 권한상승 및 탐지우회를 위한 새로운 기능을 추가했다. 2017년 초 활발히 활동하다 최근 6개월 이상 별다른 활동을 보이지 않았던 Sage 랜섬웨어가 분석방해 기능과 권한상승 기능을 추가한 샘플이 발견되며 새로운 주목을 받았다. 악성 자바스크립트 첨부파일을 포함한 스팸메일로 배포되는 Sage 랜섬웨어가 Locky 랜섬웨어와 동일한 유포 인프라구조를 공유한다는 사실도 드러났다. 악성 매크로를 포함한 문서파일로도 유포되고 있으며 info 및 top 도메인을 활용한다.
  • 정보를 유출하는 “Catch-All” 악성 크롬 확장기능이 퍼지고 있다. WhatsApp의 사진으로 위장한 피싱 메일이 악성 크롬 확장기능을 유포하고 있으며, 사진대신 드롭퍼(dropper)를 다운로드하게 한다. 이 드롭퍼가 실행되면 가짜 Adobe PDF Reader Installer 화면을 보여주며 설치하게 한다. 이 인스톨러는 md0.exe, md1.exe라는 두 실행 파일을 설치하는데, md0은 윈도우즈 방화벽을 비활성화 하고, 구글 크롬의 모든 프로세스를 종료한다. 그리고 세이프브라우징 다운로드 보호기능 같은 여러 보안기능을 해제한다. 일단 이 행위들이 성공하면 구글 크롬의 런쳐(launcher)파일을 교체하고, 이 확장기능은 웹에서 전송되는 데이터를 악성코드 C&C서버로 Ajax를 통해 전송한다.

Detailed News List

  • Sage ransomware
    • [SecurityWeek] Sage 랜섬웨어 분석방지를 위한 기능들 추가
      Sage Ransomware Gets Anti-Analysis Capabilities
    • [Fortinet] 우회기능 갖춘 Sage 2.2 랜섬웨어 더 많은 국가를 대상으로 한다
      Evasive Sage 2.2 Ransomware Variant Targets More Countries
  • Chrome extension
    • [HelpNetSecurity] 악성 크롬 확장기능이 데이터를 훔친다
      Malicious Chrome extension steals all data
    • [SANS ICS] “Catch-All” 구글 크롬 악성 확장기능이 Post 데이터를 훔친다
      “Catch-All” Google Chrome Malicious Extension Steals All Posted Data

 

Security Breach/Info Leakage

Summaries

  • 구글의 내부 버그트래킹 시스템의 버그로, 심각한 취약점 정보들이 노출되었다. 구글 내부에서 사용하고 있는 이슈 트래커인 버가나이저(Buganizer)는 구글 제품 및 서비스에 대한 이슈를 기록/관리하는 시스템이다. 외부 사용자는 극히 제한된 정보만 열람할 수 있으나, 보안연구가 Alex Birsan이 취약점을 찾아냈다. Birsan은 구글의 메일주소로 위장하여 시스템의 백엔드에 접근할 수 있었다. 그 결과 Birsan은 수천개의 버그리포트를 확인할 수 있었으며, 몇몇은 최우선순위(Priority zero)에 해당하는 취약점이었다. 이 취약점에 대하여 Birsan은 구글로부터 $15,600의 보상금을 받았다.
  • 영국 퀸즈 파크(Queens Park)의 일버트 스트릿(Ilbert Street)에서 발견된 USB 스틱에서 히스로(Heathrow) 공항에 대한 기밀정보 파일들이 발견되었다. 앞선 30일자 보도와 동일한 내용이다. 매우 민감한 자료들이 USB 스틱에 저장된 채 버려져 있는 것이 발견되었으며, 해당 저장장치에는 2.5GB의 암호화되지 않은 데이터들이 들어있었다. 저장된 것은 지도, 사진, 동영상 등의 파일들이었는데, 거기에는 왕비를 포함한 외국 VIP들, 내각 각료(cabinet members)들에 대한 보호조치들과 같은 극히 민감한 정보들이 포함되어 있었다.
  • Dark Overload 해커그룹에 의해 노출되었던 성형외과의 고객정보에 대해서 정보 공개에 대한 위협과 함께 몸값을 요구하고 나섰다. Dark Overload 해커그룹은 정보를 유출당한 London Bridge Plastic Surgery(LBPS) 클리닉이 요구사항을 들어주지 않을경우 사진들을 공개하겠다고 협박했다. Dark Overload는 이전에도 미 의료기관, 학교에 대한 공격 및 넷플릭스를 공격해 미공개된 에피소드를 유출시킨 사건 등에 연관된 해커그룹이다.

Detailed News List

  • Google Bug Database Flaws
    • [DarkReading] 구글 버그 데이터베이스 취약점으로 심각한 취약점 정보 노출
      Google Bug Database Flaws Expose Severe Vulnerabilities
  • Heathrow USB Stick
    • [HackRead] 런던 길위에 떨어진 USB 스틱에 히스로 공항 보안데이터 및 여왕에 대한 자료 발견
      USB Stick with Heathrow Security and Queen’ Data Found on London Street
    • [SecurityWeek] 히스로 공항, 어떻게 런던 길위에서 보안데이터가 발견되었는가 밝힐 수사 진행중
      Heathrow Probes How Security Data Found on London Street
  • London Bridge Plastic Surgery
    • [HackRead] 런던 성형외과 환자정보 공개 협박
      The Dark Overlord hacks plastic surgery clinic; demands ransom

 

Crypto Currency

Summaries

  • 구글 플레이스토어에서 모네로 채굴하는 악성 앱이 세 건 발견되었다. 트렌드 마이크로의 보안연구가들이 동적 자바스크립트 로딩과 네이티브 코드 인젝션을 통해 탐지를 회피하는 어플리케이션을 찾아냈다. Recitiamo Santo Rosario라는 이름의 종교관련 어플리케이션과 WiFi 보안, 자동차 배경화면을 제공하는 어플리케이션 이었다.

Detailed News List

  • Monero mining malware apps
    • [HackRead] 모네로 채굴 악성 앱 발견
      Three Monero Mining Malware Apps Found on Play Store
    • [HelpNetSecurity] 구글플레이에 등록되어있는 암호화폐 채굴하는 스크립트가 심어진 어플리케이션들
      Cryptocurrency-mining script planted in apps on Google Play

 

Patch/Update

Summaries

  • 오라클이 Identity Manager의 치명적인 취약점을 수정했다. 취약점 번호 CVE-2017-10151은 오라클에 아무런 사용자 상호작용 없이, 네트워크에서 HTTP를 통해 Oracle Identity Manager를 공격할 수 있는 익스플로잇이다. 이 취약점은 HTTP를 통해 접근할 수 있는 기본 계정이 존재해서 발생한다.

Detailed News List

  • Oracle
    • [SecurityWeek] 오라클 Identity Manager의 취약점 수정
      Oracle Patches Critical Flaw in Identity Manager

 

Technology/Technical Document/Report

Summaries

  • 파이어폭스 58에서 캔버스 핑거프린팅(Canvas fingerprinting) 차단기능을 제공한다. 쿠키를 사용하지 않고 사용자를 구분 및 추척할 수 있는 기술 중 하나인 캔버스 핑거프린팅에 대한 차단 기능이 2018년 1월에 발표될 Firefox 58에 추가될 예정이다. 캔버스 핑거프린팅은 웹사이트나 광고회사에서 온라인 행위들을 추적하기 위해 사용하는 방법 중 하나로, HTML5 엘리먼트인 canvas에서 다양한 정보를 추출해서 사용한다. Canvas 엘리먼트를 사용하는 방법으로 사용자가 알지 못하는 사이에 브라우저, 운영체제, 설치된 그래픽 하드웨어 등의 정보를 추출해 사용자를 추적할 수 있었다.

Detailed News List

  • Firefox 58 & Canvas
    • [DigitalTrends] Firefox 58, 캔버스 핑거프린팅 막는다
      Firefox 58 to block ‘canvas fingerprinting,’ a new way for sites to track users
    • [NakedSecurity] Firefox, 캔버스 ‘슈퍼쿠키’ 막는다
      Firefox takes a bite out of the canvas ‘super cookie’
    • [HelpNetSecurity] Firefox 곧 canvas기반의 브라우저 핑거프린팅 막는다
      Firefox will soon block canvas-based browser fingerprinting attempts

 

Deep Web/DarkNet/Onion

Summaries

  • –

Detailed News List

  • –

 

Industrial/Infrastructure/Physical System/HVAC

Summaries

  • –

Detailed News List

  • –

 

Legislation/Politics/Policy/Regulation/Law Enforcement

Summaries

  • –

Detailed News List

  • –

 

Internet of Things

Summaries

  • –

Detailed News List

  • –

 

Social Engineering

Summaries

  • –

Detailed News List

  • –

 

Privacy

Summaries

  • –

Detailed News List

  • –
Posted in Security, Security NewsTagged Canvas fingerprinting, Catch-All, Clickbait, Crypto Currency, CVE-2017-0199, CVE-2017-10151, Cyber Espionage, Dark Overload, Data Breach, Heathrow, Locky, Malware, MENA, Monero, Ransomware, SageLeave a comment

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org

Biohacking

  • Nootropics Reddit
  • A Beginner's Guide to Nootropics
  • Psychonaut WIKI
  • Supplements Reddit
  • StackAdvice Reddit
Proudly powered by WordPress | Theme: micro, developed by DevriX.