DevHackDebug logo

[태그:] CVE-2017-11882

Security Newsletters, 2017 Dec 9th, 안드로이드 야누스(Janus) 外

Posted on by aDHDmin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 핵티비스트(Hacktivist)들이 이스라엘 공무원들의 이름, 이메일, 비밀번호와 미국 정부 사이트 목록을 온라인에 공개하고, 그들에 대한 공격을 요구하는 일이 있었다. 어나니머스(Anonymous)는 몇몇 사이트의 데이터를 유출했는데, 이는 그들의 중동에서의 정치 대한 미국의 간섭에 대항한 집단 보복으로 보인다. 어나니머스의 작전은 팔레스타인을 보호하고 도널드 트럼프가 예루살렘을 이스라엘의 수도로 인정하는 것(Donald Trump’s choice to recognize Jerusalem as the capital of Israel)에 대한 시위를 목표로 했다. 관련된 메시지가 사이버게릴라(cyberguerilla.com)에 게제되었다.
  • 인도 첩보기관(Indian Intelligence Bureau, IB)이 중국이 42개의 모바일 어플리케이션으로 감시하고 있는 상황을 우려해 군인들에게 삭제지시를 내렸다. 인도 정보기관이 중국 사이버 스파이가 유명 모바일 어플리케이션과 장치들을 사용해 인도의 보안 설비(security installations)에 대한 기밀정보를 수집하고 있다고 경고했다. 인도의 많은 사이버보안 전문가들은 궁국 군사 첩보 기관에 의한 스파이 행위 시도에 대한 우려를 표했다. 이 경고에는 42개의 중국의 유명 모바일 앱이 포함되어 있으며, WeChat, Truecaller, Weibo, UC Browser, UC News 등이 국가 보안에 심각한 위협이 될수 있다는 인도 첩보기관의 내용이 포함되어 있다.
  • 러시아 중앙은행(Central Bank of Russia)이 신년 연휴 이전에 금융기관에 대한 새로운 해커 공격에 대해서 경고했다. 중앙은행의 사이버 보안 부국장(Deputy Head of Cyber Security Department)인 Artem Sychev는 Cobalt Strike 바이러스를 사용하는 해커들의 공격이 줄어들었다고 발표했다. 그는 해커들이 연말에 은행 고객들이 엄청난 손실을 보게 만들 다른 공격을 준비하고 있을 것이라고 말했다.

Detailed News list

 

Malwares

Summaries

  • 이전에 Blind라는 이름으로 알려졌던 나폴레온(Napoleon) 랜섬웨어에 대한 Malwarebytes Lab의 분석보고서가 발표되었다. 이 랜섬웨어는 이전에는 Blind라는 이름으로 알려졌고, 최근에는 .napoleon 이라는 확장자를 사용하며 몇가지 변경사항이 확인되었다. 지금까지 이 새로운 변종의 유포방식은 확실하게 확인되지 않았다. Malwarebytes의 추정은 공격자들이 직접 해킹당한 컴퓨터에 드랍 및 설치한는 것으로 보고있다. 랜섬웨어가 설치되고 난 후에는 파일들 하나씩 암호화하며, 확장자에 email.lapoleon을 추가한다. HTA 형식의 랜섬노트를 남기며, Napoleon의 윈도우 화면은 Blind에 비해서 단순해졌다.
  • 앞서 정리했던 Locky와 유사한 Scarab 랜섬웨어가 피해 대상이 몸값 지불에 흥정을 할 수 있게 허락하고 있다는 기사가 나왔다. Scarab 랜섬웨어는 6월에 처음 발견되었는데, 11월에 들어서 갑자기 수백만개의 스팸메일을 통해 유포되었다. 이 이메일은 Locky 랜섬웨어를 매우 성공적으로 유포한 것으로 유명한 Necurs 봇넷에 의해 유포되었다.
  • 11월 30일에 애플이 조용히 macOS XProtect 악성코드 방지 시스템에 OSX.HiddenLotus.A.라 불리는 것에 대한 시그니처를 추가한 일이 있었다. 히든로터스(HiddenLotus)가 무엇인가에 대해서는 의문으로 남았으나, 같은날 Arnaud Abbati가 샘플을 찾아서 트위터에서 공유하며 정체가 밝혀졌다. 히든로터스는 드로퍼(dropper)로 Lê Thu Hà (HAEDC).pdf라는 파일이름을 사용했다. 이 파일은 이전에 문서파일 형태로 위장한 악성코드들 처럼 특별할 것 없어 보이지만, 실제로는 pdf 확장자를 사용한다. 하지만 인식되기로는 응용프로그램으로 인식되는데, 여기에는 pdf의 d 문자가 영어 알파벳 d가 아닌 로마 숫자 500을 의미하는 D의 소문자를 사용했다.
  • Eset에 따르면 인터넷 서비스 제공업체(ISP, Internet Service Provider)가 연관된 것으로 보이는 FinFisher 악성코드가 새로운 종류의 스파이웨어로 대체되었다. ESET에서 Win32/StrongPity2로 탐지된 이 스파이웨어는 StrongPity라 불리는 그룹의 스파이웨어와 유사하다.
  • 유명 블로깅 웹 어플리케이션인 워드프레스(WordPress)를 사용하는 사이트에서 키로거가 발경되었다. 수천개의 워드프레스 사이트가 사용자의 입력을 가로채는 악성코드에 감염된 것이 발견되었다. 이 감염은 cloudflare.solutions이라는 악성코드로 웹사이트가 감염되었던 지난 4월의 캠페인 중 일부이다. 과거에 탐지되었을 당시에는 암호화폐를 채굴하는 기능이 포함되어 있었으며, 지금은 키로깅 기능이 포함되어 있다. 기사가 작성될 당시 cloudflare.solutions 악성코드는 5,495개의 웹사이트에 감염되어 있었으며 이 숫자는 증가하고 있는 것으로 보인다. (8일에서 이어짐)
  • 전세계 수백만 시스템을 감염시켰던 Conficker 웜이 9년이 지난 지금도 여전히 활발히 활동중이다. 이 웜은 제조, 헬스케어, 정부 분야의 조직에 강력한 위협으로 남아 있을 정도로 악성코드 방지 시스템에 의해 지속적으로 탐지되고 있다. Conficker 웜이 처음 등장한 것은 2008년이다. 이번주에 트렌드 마이크로가 발표한 리포트에 따르면, Downad라 불리는 웜은 이번 해에만 330,000건이 탐지되고 차단되었다. 이 수치는 트렌드 마이크로가 Conficker를 2016년에는 3000,000건, 2015년에는 290,000건을 탐지하고 차단한 수치와 거의 일치한다. 2008년에 처음 등장한 Conficker 웜은 처음 등장시 전세계 약 900만대의 놀라운 숫자의 컴퓨터 시스템을 감염시켰다. (8일에서 이어짐)

Detailed News List

 

Exploits/Vulnerabilities

Summaries

  • 이번주 구글이 공격자가 대상 앱의 서명 검증 인증서에 영향을 미치지 않으면서도 앱에 악의적인 코드를 주입할 수 있는 취약점을 수정했다. 이 방법은 공격자가 신뢰하는 제작사에서 만든 것처럼 보이는 서명된 어플리케이션을 사용해 장비의 악성코드방지 기능을 우회하고 권한을 상승시킬 수 있는 취약점이다. 이 취약점은 야누스(Janus)라고 이름이 붙었으며, GuardSqure의 CTO인 Eric Lafortune에 의해 발견되었다. 이 취약점은 7월에 CVE-2017-13156 번호가 부여되었다. 구글은 이 취약점을 12월자 안드로이드 보안 패치의 일부로 수정했다.
  • 마이크로소프트 오피스(Microsoft Office)의 보안 취약점이 해킹 그룹에 의해 익스플로잇(Exploit)으로 활용되는데에 채 일주일이 걸리지 않는다는 기사가 나왔다. 파이어아이(FireEye)가 목요일에 공개한 연구 결과에 따르면, 지난달에 마이크로소프트가 오피스의 원격 코드 실행(remote code execution) 취약점(CVE-2017-11882)을 공개한지 일주일도 안되서, 이란의 해커들이 피싱 이메일을 통해 중동 정부 기관을 공격하는데 이 취약점을 사용했다.
  • 마이크로소프트(Microsoft)사의 오피스(Office)에 17년간 존재한 방정식 편집기(Equation Editor)의 취약점에 대한 기사가 계속해서 이어진 가운데, 해당 취약점에 대한 분석 보고서가 팔로알토네트웍스(Palo Alto Networks)의 Unit42에 의해 공개되었다.
  • 30개 이상의 유명 이메일 클라이언트에 영향을 미치는 Email 스푸핑 취약점이 발견되었다. 다른 사람이 보낸 메일인 것처럼 위장할 수 있는 취약점이 발견되었다. MailSploit이라는 이름이 붙은 이 취약점은 Apple Mail(macOS, iOS, watchOS), Mozilla Thunderbird, Microsoft email clients, Yahoo Mail, ProtonMail 및 기타 메일클라이언트들에 영향을 미친다. 이 클라이언트들에 DKIM이나 DMARC와 같은 스푸핑 방지 메커니즘이 구현되어 있지만, MailSploit은 이메일 클라이언트와 웹 인터페이스가 From 헤더를 파싱하는 것을 이용한다. (6일에서 이어짐)

Detailed News List

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 구글이 자사의 투명성 리포트(Transparency Report) 중 National Security Letter 섹션을 확대하여, National Security Letters(NSLs)의 새로운 사례로 FBI로 부터 받은 것들을 공개하겠다고 밝혔다. 새로운 NSLs의 서브섹션은 세 컬럼으로 이루어져 있다. NSL 그 자체에 대한 링크와, NSL이 발행된 날짜, FBI가 발행한 문서에 대한 링크다. 가장 최근의 공개된 문서의 날짜는 2017년 9월 25일로 되어있다. 공개된 내용에 따르면, FBI는 NSL을 전자 통신 개인정보 보호법(Electronic Communications Privacy Act, ECPA)에 따라 비공개 요구(non-disclosure requirement)와 함께 발행했다. 이 문서는 구글이 FBI로 부터 특정 날짜에 수신한, 구글의 고객 계정에 대한 정보 요청 NSL을 공개할 수 있도록 허락했으며, 요청한 FBI 요원의 이름 및 전화번호는 삭제되었다. 구글은 또한 대상 사용자 계정도 삭제했다. 가장 오래된 NSL은 2009년의 여러 Gmail 계정에 대한 것이다. 이 문서에서는 구글에게 이름, 주소, 서비스 기간 정보를 요구하고 있다.
  • 구글이 접근성 서비스(Accessibility Services) API를 사용하는 앱에 대하여 그 기능을 제거하라고 알림을 발표하고 유예기간 이후에는 지키지 않는 앱을 마켓에서 제외시키겠다고 했던 기사가 있었다. 구글이 접근성 서비스 제거를 위해 개발자들에게 주었던 이 유예기간을 30일 더 연장했다.
  • 영국 법원에서 직원이 일으킨 대규모 데이터 유출 사건에 회사는 무고하지만, 그럼에도 불구하고 보상금(compensation)을 지불해야 한다고 밝혔다. 유럽연합에 개인정보 보호에 대해서는 상대적으로 강력한 법률이 존재한다는 것은 잘 알려진 사실이다. 이전에도 정리했던 기사에서 영국 슈퍼마켓 체인인 모리슨스(Morrisons)는 2014년에 99,998 명의 직원들이 개인정보가 담긴 파일이 파일 공유 웹사이트에 공개되는 사건이 있었다. 이 파일에는 이름, 주소, 성별, 생일, 전화번호, 은행 계좌 번호, 급여 정보가 있었다. 추후 수사를 통해 밝혀진 사실은, 이 내용들은 2013년에 있었던 징계(disciplinary) 절차에 앙심을 품은 Andrew Skelton이라는 모리슨스의 IT 수석 감사관(senior IT auditor)에 의한 것이었다.

Detailed News List

 

Vulnerability Patches/Software Updates

Summaries

  • 애플이 홈킷(HomeKit) 장비에 영향을 미치는 취약점을 패치했다. 애플에 따르면, 스마트자물쇠(SmartLock)나 차고문 제어장치(Garage door openers)와 같은 홈킷(HomeKit) 장치들의 허가되지 않은 원격 제어를 허용할 수 있는, 홈핏 프레임워크의 미공개 취약점이 수정되었다. 이 취약점은 최초 9to5Mac이 목요일에 보도했다. 발표자료에 따르면, 이 취약점은 HomeKit 사용자의 iCloud 계정과 연결되어 있는, 최신 iOS 11.2를 사용하는 iPhone이나 iPad가 필요하다.
  • 치명적인 취약점이 마이크로소프트(Microsoft)의 악성코드 보호 엔진(MPE, Malware Protection Engine)에서 발견되어 마이크로소프트가 목요일에 이에 대한 패치를 공개했다. 이 취약점은 공격자가 공격대상 컴퓨터를 완전히 장악할 수 있게 한다. 윈도우즈10용 윈도우즈 디펜더(Windows Defender)를 포함한 다양한 마이크로소프트의 보안 제품들이 영향을 받는다. 마이크로소프트 악성코드 보호 엔진은 마이크로소프트의 모든 제품의들의 안티바이러스 및 안티스파이웨어 프로그램에 핵심 기능을 제공한다. 마이크로소프트에 따르면, 아직까지 이 취약점이 실제 공격에 사용되고 있다는 흔적은 발견되지 않았다. (8일에서 이어짐)
  • OpenSSL의 취약점 두가지가 패치되었다. OpenSSL 프로젝트가 목요일에 구글 연구가가 발견한 두가지 취약점이 패치된 OpenSSL 1.0.2n 버젼을 공개했다. 이 취약점은 구글 연구가 David Benjamin이 앞서 발표했던 OSS-Fuzz라는 퍼싱 서비스를 사용해 발견한 취약점이다. (11월 3일자 뉴스모음) 취약점 중 하나는 CVE-2017-3737이며, 다른 하나는 CVE-2017-3738이다. (8일에서 이어짐)

Detailed News List

 

Data Breaches/Info Leakages

Summaries

  • 자전거 공유(bicycle-sharing) 플랫폼인 oBike의 싱가폴 및 전세계 13개국 사용자들의 개인정보 데이터가 유출됐다. 회사 대변인에 따르면, 데이터 유출은 친구를 oBike 플랫폼으로 초대하는 어플리케이션 프로그래밍 인터페이스(application programming interface)의 문제(gap)로 인해 발생했다. 초대 코드를 친구에게 보내고 자전거 사용 정보를 소셜네트워크에서 공유하는 기능을 사용하는 과정에서, 사용자가 인지하지 못한 상태로 개인정보에 대한 접근권한을 허용한 것이다. 이 사고는 최소 2주간 지속되었다.
  • 가상 키보드(virtual keyboard) 어플리케이션인 ai.type 앱의 개인정보 수집 데이터 유출에 대한 기사가 이어지고 있는 가운데, Have I Been Pwned 사이트를 통해 숫자가 공개되었다. 총 2천만건의 정보가 유출되었다. 유출된 정보는 주소록의 연락처 정보, 장치에 설치된 어플리케이션 목록, 통신사 이름, 생일, 장치정보, 이메일 주소, 성별, 위치정보, IMEI(International Mobile Equipment Identity) 번호, IMSI(International Mobile Subscriber Identity) 번호, IP주소, 이름, 전화번호, 프로필 사진, 소셜미디어 프로필 이다. (6일에서 이어짐)

Detailed News List

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • ICS-CERT에 따르면 Rockwell Automation이 FactoryTalk 제품에서 높은 등급의 서비스거부(DoS, Denial of Service) 취약점을 패치했다. 이 취약점은 2.90이나 그 이전버젼의 FactoryTalk Alarms and Events(FTAE)에 영향을 미친다. 이 FactoryTalk Services Platform 컴포넌트는 Studio 5000 Logix Designer PLC 프로그래밍 및 설정 도구(programming and configuration tool)와 FactoryTalk View SE HMI(Human Machine Interface) software에 의해 설치된다. FTAE는 View SE HMI 시스템을 통해 알람과 이벤트의 일관된 뷰를 제공한다. 이 제품은 전세계 주요 산업기반시설, 엔터테인먼트, 자동차, 식품, 음료, 식수, 상하수도과 같은 분야에서 사용된다. 보안 취약점은 이름이 알려지지 않은 회사에 의해 Rockwell Automation에게 제보되었고, 취약점 번호 CVE-2017-14022가 부여되었다. 이 취약점은 인증받지 않은 사용자가 원격으로 조작된 패킷을 TCP 403포트로 보내 이 제품의 이력 보관 서비스(history archiver service)가 멈추게(stall) 하거나 종료되게(terminate) 할 수 있다.

Detailed News List

 

Crypto Currencies/Crypto Mining

Summaries

  • 비트코인 가격이 계속적으로 치솟음에 따라, 점점 더 많은 사이버 범죄자들이 유명 암호화폐를 거리해는 사람들을 대상으로 눈길을 돌리고 있다. 가장 최근의 비트코인 사용자 그룹을 특정한 악성코드 배포 방식이 Fortinet 연구가들에 의해 밝혀졌다. 이메일을 통해, Gunthy가 개발한 새로운 비트코인 거래 봇인 Gunbot을 무료로 사용해 보라는 홍보내용이 전달된다. 이 이메일은 VB 스크립트를 첨부하고 있는데, 이 스크립트는 실행되면 JPEG 이미지처럼 보이는 파일을 다운로드 한다. 이 파일은 실제로는 PE 바이너리로, 최종적으로는 수많은 실행파일들을 내려받아 시스템에 설치한다. 이 파일들 중 하나는 악성코드가 시스템이 리부팅 되어도 실행될 수 있게 하며, 다른 하나는 Orcus RAT 서버가 설치된다.
  • 가장 큰 암호화폐 채굴 시장인 나이스해시(NiceHash)가 해킹사실을 인정했다. 나이스캐시는 다른사람의 컴퓨팅 파워를 구매하거나, 유사 비트코인들(altcoins)을 채굴하고 비트코인으로 지불받을 수 있는 암호화폐 채굴 시장이다. 나이스해시(NiceHash)는 해킹으로 전체 비트코인 지갑을 잃게 되었다고 발표했다. 나이스해시는 수요일 정오에 성명을 발표했는데 NiceHash 웹 사이트에 보안 침해가 있었으며, 지불 시스템이 완전히 침해당해 나이스해시의 비트코인 지갑을 도둑맞았다고 발표했다. 나이스해시가 정확한 금액을 밝히지는 않았지만, 추정되는 금액은 약 6천만 달러에 달할 것으로 보인다. (8일에서 이어짐)

Detailed News List