Caution
This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
- 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.
Newsletters
Cyber Espionage/Cyber Operations/Cyber Threats
Summaries
- 지난 15일, 프루프포인트(Proofpoint)는 해커들이 PornHub에 노출되는 광고를 하이재킹해서 수백만 사용자를 악성코드에 감염시켰다는 리포트를 공개한 바 있다. Proofpoint가 조금 더 상세한 정보를 공개했다. 이 공격의 배후에 있는 해커들은 KovCoreG라고 알려진 해킹 그룹이며, Kovter라고 알려진 광고사기 악성코드를 사용한다. KovCoreG는 악성광고(Malvertising) 및 익스플로잇 킷 사용의 최전선에 있는 해킹그룹이다. 2011년 이 그룹은 Kovter라고 알려진 악성코드를 실험하기 시작했고, 2012년 늦게 탐지된 악성코드 샘플이 확인되었다. 이 종류의 악성코드는 가짜 광고들을 클릭해서 수익을 만들어낸다.
- 코발트(Cobalt) 그룹이 활동을 재개했다. 트렌드 마이크로(Trend Micro)의 최근 보고서에 따르면, 지난 6,7월 러시아 기업을 대상으로 백도어를 포함한 스팸 이메일 공격을 수행했던 코발트 그룹이 전략을 바꿔 다시 활동을 재개한 것으로 보인다. 최근의 캠페인에서 코발트는 두가지 다른 감염 체인을 사용한다. 하나는 매크로를 사용한 감염 체인이고, 두번째는 취약점 CVE-2017-8759를 사용한 감염 체인이다.
Detailed News list
- Porn Hub
- Cobalt Strikes Again
Malwares/Exploits/Vulnerabilities
Summaries
- 안드로이드 운영체제 롤리팝(Lolipop), 너겟(Nougat), 마시멜로우(Marshmallow)에서 MediaProjection 서비스의 치명적인 취약점이 발견되었다. 이 서비스는 사용자의 화면을 캡쳐하거나 시스템 오디오를 녹음하기 위해 만들어졌다. 최근 대다수의 안드로이드 장치들이 이 취약한 버젼의 안드로이드 OS를 사용하고 있어, 약 77.5%의 안드로이드 장치들이 위험에 노출되어 있는 것으로 보인다. 안드로이드의 MediaProjection 서비스가 존재한지는 오래 되었는데, 앱은 루트 권한이 필요하고 서비스를 사용하기 위해서는 장치의 릴리즈 키로 서명이 되어있어야 한다. 이것이 시스템 레벨의 어플리케이션으로만 이 서비스의 사용이 한정되었던 이유였다. 그러나 안드로이드 롤리팝 5.0이 릴리즈 되면서, 구글은 이 서비스를 모두가 사용할 수 있게 공개했고, 권한에 대한 보안을 철저히 하지 않았다. 그래서 어플리케이션은 이 서비스를 인텐트 콜(Intent call)을 사용해 접근할 수 있게 되었고, 안드로이드 악성코드 제작자들은 이 특정 기술을 수년동안 사용해왔으며 아직도 먹히고 있는 중이다.
- 구글 플레이스토어(Google Play Store)의 다수 안드로이드 음악 재생기 앱에서 악성코드가 발견되었다. 맥아피(McAfee)의 보안 연구가들이 무료 음악 재생기 앱에 악성코드들이 숨겨져 있는 것을 발견했다. 최초 연구자들은 “Aristole Music audio player 2017″에서 Grabos라 칭하는 악성코드를 발견했다. 5백만건 다운로드 된 앱이었으며, 23,000개의 별 다섯개 짜리 긍정적인 평가가 있었다. Grabos는 개인정보를 훔치고 감염된 장치의 안드로이드 버젼, 빌드 모델, 네트워크, 위치, 국가코드, SIM, 통신사업자, 언어, 시간대, 장치의 VPN 사용여부 등 과 같은 정보를 모으는 행위를 한다. 이 악성코드는 소셜 미디어 및 구글 앱의 설치여부도 확인하고, 정보가 모아지면 해당 정보를 C&C(Command-and-control) 서버로 암호화해서 보낸다.
Detailed News List
- Android Screen Capturing/Audio Recording Flaw
- Android Malware in hundreds of music player apps
Vulnerability Patches/Software Updates
Summaries
- 아마존 에코(Amazon Echo)와 구글 홈(Google Home)이 블루투스(Bluetooth) 취약점인 블루본(BlueBorne)에 대한 패치를 마쳤다. 블루본은 블루투스 기능을 탑재한 장치를 공격자와 페어링 하지 않아도 공격할 수 있으며, 탐색모드(discoverable mode)에 놓지 않고도 공격할 수 있는 위험한 취약점들 이었다. 전세계 가정에 1,500만 대 가량 설치된 아마존 에코와 전세계 약 500만 사용자를 가진 구글 홈 제품도 블루투스 기능을 탑재하여 이 블루본 공격에 대해 취약하다는 발표가 있었으나, 지난주 아마존과 구글이 이 취약점에 대한 패치를 진행했다. 각각 업데이트된 취약점은 에코에서 CVE-2017-1000251, CVE-2017-1000250. 구글 홈에서 CVE-2017-0785다.
- 아마존(Amazon)이 지난달 공개한 키 서비스(Amazon Key)는 클라우드 캠(Cloud Cam)이라는 인터넷 카메라와 스마트 자물쇠(Smart lock)를 연계하여, 택배 배송과 같은 손님이 주인이 부재중일 때 찾아온 경우 집 주인이 원격으로 모니터링하며 정문을 개방하거나 잠글 수 있는 서비스다. 그러나 클라우드 캠의 접속이 끊어지도록 공격하여, 외부 침입자가 카메라에 잡히지 않고도 집에 침입 할 수 있는 취약점이 있었다. 아마존은 이 취약점에 대해 카메라가 특정시간 이상 오프라인이 될 경우 사용자에게 알림이 전송되도록 되어있다고 밝혔다. 그리고 이번주 말 경에 배달과정에서 카메라가 오프라인이 되는 경우 더 빨리 알릴 수 있는 소프트웨어 업데이트를 예정하고 있으며, 만약 Wi-Fi가 비활성화 되어있거나 카메라가 온라인이 아니면 절대 잠금장치를 개방하지 않게 한다고 밝혔다.
Detailed News List
- Amazon Echo & Google Home patched BlueBorne
- [NakedSecurity] Amazon Echo and Google Home patched against BlueBorne threat
- Amazon Key Service
- [NakedSecurity] Amazon to fix Key home security vulnerability
Privacy
Summaries
- 우리가 인터넷 브라우져에서 입력하는 많은 데이터들 중에는 비밀번호, 카드번호, 이름, 의료정보 등 민감한 정보들이 존재한다. 그리고 이러한 정보들이 암호화되거나 안전하게 전달 또는 보관될 것이라 생각하지만 그렇지 않다는 기사가 나왔다. 프린스턴 대학교(Princeton University) 컴퓨터 공학(Department of Computer Science)의 Steven Englehardt, Gunes Acar, Arvind Narayanan은 “세션 리플레이(Session Replay)” 서비스를 웹사이트 소유주에게 제공하는 7개 회사의 스크립트들을 분석했다. 그리고 민감한 사용자 데이터가 지속적으로 그들에게 노출되고 있는 것을 확인했다. 세션 리플레이 스크립트는 사용자가 방문하는 페이지의 모든 항목들에서 키입력, 마우스 움직임, 스크롤 움직임을 감시하고 제3자 서버로 전송한다. 누적 통계값(aggregate statistics)을 제공하는 전형적인 분석 서비스와는 다르게, 이 스크립트들은 개인의 브라우징 세션을 녹화하고 재생하는 것을 의도로 만들어졌다고 연구자들은 말했다.
Detailed News List
- Session Replay
- [HelpNetSecurity] Sites using session replay scripts leak sensitive user data
Data Breaches/Info Leakages
Summaries
- 잘못 설정한 아마존 S3 버킷(Bucket)으로 인해 그간의 온라인 감시활동을 노출시켜버린 미 국방부(DoD, The Department of Defense)에 대한 기사가 이어지고 있다. 국방부는 소셜 미디어, 뉴스 사이트, 웹 포럼으로부터 공개된 인터넷 포스트 수십억 건을 수집했으며, 이들을 아마존 S3 리포지토리에 저장하고 있었다. 그러나 이 서비스를 비공개로 설정하지 않았고, 아마존 AWS 계정이 있는 사람들은 접속하여 데이터를 다운로드 할 수 있었다. 노출된 세개의 버킷 중 하나에는 지난 8년간 스크랩된 18억 건의 포스트 정보들이 있었다. 다수의 정보가 뉴스 사이트, 웹 포럼, 페이스북/트위터와 같은 소셜미디어 에서 수집된 정보였다. 국방부(DoD)는 즉각적인 대응을 하지 않았지만, 펜타곤은 CNN에게 실수로 데이터 유출이 있었음을 인정했다.
Detailed News List
- Pentagon Exposes Web-Monitoring Operation
- [PCMag] Pentagon Accidentally Exposes Web-Monitoring Operation
- [TheRegister] Massive US military social media spying archive left wide open in AWS S3 buckets
- [CSOOnline] Pentagon contractor spied on social media, left data unsecured in cloud
- [ARSTechnica] Pentagon contractor leaves social media spy archive wide open on Amazon