Security Newsletters, 2018 Feb 8th, 핫스팟실드VPN 정보 유출 취약점 外

Posted on 2018-02-08 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

ATM에 실제로 잭팟팅^{(Jackpotting)} 공격을 하던 범죄자들이 체포되었다. 악성코드를 사용해 ATM 기기의 현금을 모두 인출하도록 만드는 잭팟팅^{(Jackpotting)} 공격을 하던 용의자 두명이 코네티컷에서 체포되었다. 미 연방 당국은 두명을 체포해 기소했다. Citizen Bank에서는 자신들의 ATM에 공격이 진행중임을 탐지하여 경찰에 연락했고, 경찰은 근처에서 20달러 지폐로 90,000달러 이상을 지니고 있던 Fajin-Diaz와 Rodriguez를 찾아냈다. 이들의 차량에는 ATM jackpotting 공격에 사용되는 도구들과 전자장비들이 실려있었다. (6일에서 이어짐)

Detailed News list

ATM Jackpotting Attack
- _{[InfoSecurityMagazine]}
  Suspected ATM Jackpotting Fraudsters Arrested

Malwares

Summaries

구글 드라이브, 마이크로소프트 오피트265의 악성코드 탐지 기능을 회피할 수 있는 ShurL0ckr 랜섬웨어가 발견되었다. Godjue 랜섬웨어의 새로운 변종인 ShurL0ckr라는 이름의 랜섬웨어가 보안기업 Cylance에 의해 다크웹에서 확인되었다. 이 악성코드는 악성코드 탐지 기능을 내장한 유명 클라우드 플랫폼인 구글 드라이브와 마이크로소프트 오피스 365의 탐지기능을 우회할 수 있다. ShurL0ckr는 잘 알려진 Satan 랜섬웨어와 동일한 방식으로 동작하는 Zero-day ransomware-as-a-service로, 제작자가 디스크의 파일을 암호화하는 랜섬웨어 페이로드를 제작 및 유포하면 공격자가 수익의 일부를 지불하는 방식이다. Cylance가 VirusTotal을 통해 확인한 결과, 전체 67개의 안티바이러스 소프트웨어 중 오직 7%만 이 새로운 악성코드를 탐지했다.
안드로이드 기기를 공격하는 새로운 암호화폐 채굴 봇넷이 탐지되었다. 새로 발견된 암호화폐 채굴 봇넷이 안드로이드 기기를 열린 ADB 포트를 통해 공격하고 있다. Qihoo 360의 NetLab 연구자들이 밝혀낸 바에 따르면, 지난주 포트 5555번을 대상으로 하는 이 공격이 시작되었다. 5555번 포트는 안드로이드 장치의 adb 디버그 인터페이스다. NetLab에서는 이 공격이 Mirai 봇넷에서 가져온 스캐닝 코드를 사용해, 웜^(worm) 처럼 확산될 수 있다고 밝혔다. 감염된 봇들은 추가 확산을 위해 5555번 adb 포트를 스캔한다. (6일에서 이어짐)

Detailed News List

ShurL0ckr 랜섬웨어
- _{[InfoSecurityMagazine]}
  ShurL0ckr Ransomware Evades Malware Detection in Google Drive, O365
- _{[DarkReading]}
  New Zero-Day Ransomware Evades Microsoft, Google Cloud Malware Detection
ADB.Miner
- _{[HelpNetSecurity]}
  Android devices roped into new Monero-mining botnet

Exploits/Vulnerabilities

Summaries

핫스팟실드^{(Hotspot Shield)}에 사용자 정보를 유출시킬 수 있는 취약점이 존재하는 것으로 드러났다. 유명 VPN 클라이언트 프로그램인 Hotspot Shield에서 사용자의 IP및 기타 정보를 유출시킬 수 있는 취약점이 존재하는 것으로 확인되었다. Paulos Yibelo라는 보안 연구가가 블로그 포스트를 통해 Hotspot Shield의 취약점을 공개했다. 블로그 포스트에 따르면, Hotspot Shield는 VPN client와 통신하기 위한 웹서버를 하드코딩된 127.0.0.1 아이피의 895번 포트로 실행한다. 이 서버에서는 민감정보를 제공하는 JSONP 엔드포인트를 가지고 있고, 여기서 환경설정 데이터와 같은 다양한 정보들이 제공된다는 것이다.
워드프레스^(WordPress)에서 서비스거부^(DoS) 취약점이 발견되었다. CVE-2018-6389인 이 취약점은 워드프레스 사이트에 대량의 트래픽을 동원하지 않고도 서비스거부 상태를 일으킬 수 있다. 이스라엘의 IT보안 연구가 Barak Tawily가 발견한 이 취약점은 워드프레스의 가장 최근 버젼인 4.9.2를 포함해, 지난 9년간 릴리즈된 워드프레스의 거의 모든 버젼에 존재한다. (6일에서 이어짐)
NSA내의 해킹팀에 의해 개발되고 Shadow Brokers에 의해 유출되었던 NSA의 익스플로잇 중 세가지 ^{EternalSynergy, EternalRomance, EternalChampion}이 업데이트 되어 윈도우즈 2000부터 2016까지 시스템들에서 동작하도록 새로 작성된 것이 확인되었다. ^{EternalSynergy, EternalRomance, EternalChampion}은 NotPetya 공격에 일부로 사용된 바 있긴 하지만, ^EternalBlue처럼 공격자들에 의해 많이 사용되지는 않았다. 그 이유는 최근의 윈도우즈 버젼들에서 동작하지 않았기 때문인데, RiskSense의 보안 연구가인 Sean Dillon이 이 익스플로잇들을 지난 18년간 릴리즈된 윈도우즈 버젼에서 동작하도록 포팅을 하면서 이 문제들이(?) 해결되었다. 새롭게 업데이트된 버젼(?)은 메타스플로잇 프레임워크로 포팅되었다. (6일에서 이어짐)

Detailed News List

Hotspot Shield
- _[ThreatPost]
  Hotspot Shield Vulnerability Could Reveal ‘Juicy’ Info About Users, Researcher Claims
- _{[HelpNetSecurity]}
  Hotspot Shield VPN flaw can betray users’ location
- _{[TheHackerNews]}
  Researcher Claims Hotspot Shield VPN Service Exposes You on the Internet
WordPress
- _{[NakedSecurity]}
  WordPress users – do an update now, and do it by hand!
- _{[GrahamCluley]}
  WordPress update stopped WordPress automatic updates from working. So update now
- _{[InformationSecurityBuzz]}
  Major WordPress Zero-Day Uncovered
NSA Exploits
- _{[InformationSecurityBuzz]}
  Leaked NSA Exploits Can Now Hack Any Windows Version
- _{[SecurityAffairs]}
  Researchers ported the NSA EternalSynergy, EternalRomance, and EternalChampion to Metasploit

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

우버_(Uber)가 2016년 데이터 침해사고 이후 GitHub 사용을 중단한다. 우버가 GitHub 계정에 다중인증^{(multifactor authentication)}을 사용하지 않았음을 인정했다. 그리고 오픈소스 프로젝트를 제외한 다른 프로젝트들은 GitHub 사용을 중단한다.
인기있는 RAT^{(Remote Access Trojan)}인 Luminosity가 호주, 유럽, 북미 당국의 연합작전을 통해 셧다운 되었다. Luminosity RAT은 공격자가 비밀리에 안티바이러스나 안티말웨어 프로그램을 비활성화 시켜 공격 대상을 감염시키고, 피해자들의 온라인 활동을 모니터링 하거나 키입력을 기록하고, 웹캠을 동작시켜 상대방을 감시하거나 로그인 정보와 같은 데이터를 훔칠 수 있게 한다. 유로폴에 따르면, 이 악성코드는 전 세계 78개국에 걸쳐 8,600명의 사용자를 가지고 있으며, 피해자들도 수천에 달한다. (6일에서 이어짐)

Detailed News List

Uber
- _{[InfoSecurityMagazine]}
  Uber CISO: “No Justification” for Failure to Disclose Massive Breach
- _{[TheRegister]}
  Uber quits GitHub for in-house code after 2016 data breach
Luminosity RAT
- _{[SecurityWeek]}
  Capable Luminosity RAT Apparently Killed in 2017
- _{[WeLiveSecurity]}
  UK-led police operation quashes Luminosity Link RAT

Vulnerability Patches/Software Updates

Summaries

Cisco가 ASA^{(Adaptive Security Appliance)}에 대한 새로운 패치를 릴리즈했다. Common Vulnerability Scoring System base score 10점 만점을 받았던 CVE-2018-0101에 대한 패치다. (7일에서 이어짐)
Adobe가 Flash 패치를 릴리즈했다. 어도비가 플래시 플레이어의 취약점을 수정하는 업데이트를 릴리즈했다. 원격의 공격자가 이 취약점을 공격해 영향을 받는 시스템을 장악 할 수 있는 취약점이다. (7일에서 이어짐)

Detailed News List

Cisco ASA
- _{[SecurityAffairs]}
  For the second time CISCO issues security patch to fix a critical vulnerability in CISCO ASA
- _{[DarkReading]}
  Cisco Issues New Patch for Critical ASA Vulnerability
- _[US-CERT]
  Cisco Releases Security Updates for Multiple Products
Adobe Flash
- _[ZDNet]
  Windows security: Microsoft issues Adobe patch to tackle Flash zero-day
- _{[BankInfoSecurity]}
  Flash Hack: Adobe Updates Plug-in After Zero-Day Attacks
- _{[SecurityAffairs]}
  Adobe rolled out an emergency patch that fixed CVE-2018-4878 flaw exploited by North Korea
- _{[InfoSecurityMagazine]}
  Adobe Issues Emergency Fix to Foil North Korean Hackers

Privacy

Summaries

스마트폰의 GPS기능이 꺼져 있어도, 사용자의 위치를 추적할 수 있는 방법이 확인되었다. 프린스턴 대학의 연구자들이 스마트폰에 저장된 비감각^{(non-sensory)} 및 감각^(sensory) 데이터(기압 및 시간대, 네트워크 상태, IP 주소 등)를 이용해 사용자의 위치를 추적할 수 있는 메커니즘을 고안해냈다. 이러한 데이터들은 사용자의 스마트폰에 저장되며, 어떤 응용프로그램이든 사용자의 허가 없이도 쉽게 접근할 수 있다. 연구원들은 GPS 기능이나, 기지국 정보/WiFi 네트워크의 SSID정보를 확인할 권한이 없는 응용프로그램을 사용했다.

Detailed News List

Tracking Location
- _{[HelpNetSecurity]}
  How to track smartphone users when they’ve turned off GPS
- _{[TheRegister]}
  Boffins crack smartphone location tracking – even if you’ve turned off the GPS

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

카스퍼스키에서 전세계 주유소^{(Gas station)}에서 사용하는 자동화 소프트웨어에서 원격의 해커가 공격할 수 있는 다수의 취약점들을 발견했다. 취약한 제품은 Orpak의 SiteOmat이다. 취약한 소프트웨어는 임베디드 리눅스 장치나 일반 PC에서 구동된다. 카스퍼스키의 연구원들은 1,000개 이상의 주유소가 인터넷으로부터의 원격 접근이 가능한 상태로 운영하는 것을 확인했으며, 이렇게 노출되어 있는 주유소중 절반 이상이 미국과 인도에 위치해 있는 것으로 나타났다. 확인된 취약점은 하드코딩된 인증정보 CVE-2017-14728, 크로스사이트스크립트^(XSS) CVE-2017-14850, SQL injection CVE-2017-14851, insecure communications CVE-2017-14852, 코드 인젝션 CVE-2017-14853, 원격 코드 실행 CVE-2017-14854 이다.

Detailed News List

Gas Station
- _{[SecurityWeek]}
  Automation Software Flaws Expose Gas Stations to Hacker Attacks

Security Newsletters, 2018 Feb 7th, X.509 이용한 은닉채널 外

Posted on 2018-02-07 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

ATM에 실제로 잭팟팅^{(Jackpotting)} 공격을 하던 범죄자들이 체포되었다. 악성코드를 사용해 ATM 기기의 현금을 모두 인출하도록 만드는 잭팟팅^{(Jackpotting)} 공격을 하던 용의자 두명이 코네티컷에서 체포되었다. 미 연방 당국은 두명을 체포해 기소했다. Citizen Bank에서는 자신들의 ATM에 공격이 진행중임을 탐지하여 경찰에 연락했고, 경찰은 근처에서 20달러 지폐로 90,000달러 이상을 지니고 있던 Fajin-Diaz와 Rodriguez를 찾아냈다. 이들의 차량에는 ATM jackpotting 공격에 사용되는 도구들과 전자장비들이 실려있었다. (6일에서 이어짐)

Detailed News list

ATM Jackpotting attack
- _{[SecurityWeek]}
  Duo Charged Over ATM “Jackpotting” Attacks
- _{[BankInfoSecurity]}
  Feds Charge Two ATM Jackpotting Malware Suspects
- _{[TheRegister]}
  Cops find ATM spewing cash, car with dodgy plates, stack of $20 bills and hacking kit inside

Malwares

Summaries

안드로이드 기기를 공격하는 새로운 암호화폐 채굴 봇넷이 탐지되었다. 새로 발견된 암호화폐 채굴 봇넷이 안드로이드 기기를 열린 ADB 포트를 통해 공격하고 있다. Qihoo 360의 NetLab 연구자들이 밝혀낸 바에 따르면, 지난주 포트 5555번을 대상으로 하는 이 공격이 시작되었다. 5555번 포트는 안드로이드 장치의 adb 디버그 인터페이스다. NetLab에서는 이 공격이 Mirai 봇넷에서 가져온 스캐닝 코드를 사용해, 웜^(worm) 처럼 확산될 수 있다고 밝혔다. 감염된 봇들은 추가 확산을 위해 5555번 adb 포트를 스캔한다. (6일에서 이어짐)

Detailed News List

ADB.Miner
- _{[EHackingNews]}
  A New Botnet Targeting to Infect Android Devices with Malware that Mines the Monero Cryptocurrency
- _{[TheHackerNews]}
  Watch Out! New Cryptocurrency-Mining Android Malware is Spreading Rapidly
- _[ZDNet]
  ADB.Miner worm is rapidly spreading across Android devices
- _{[SecurityAffairs]}
  ADB.Miner, the Android mining botnet that targets devices with ADB interface open

Exploits/Vulnerabilities

Summaries

TLS/SSL 인증서를 이용해 방화벽에 탐지되지 않고 은닉채널^{(Covert channel)}을 만들 수 있는 취약점이 발견되었다. 인증서가 교환되는 방법을 하이재킹해 C&C 통신에 사용할 수 있는 방법이 발견되었다. 해당 내용을 발표한 연구가에 의하면, 아직까지 이 방법을 이용한 사례는 발견된 바 없다.
워드프레스^(WordPress)에서 서비스거부^(DoS) 취약점이 발견되었다. CVE-2018-6389인 이 취약점은 워드프레스 사이트에 대량의 트래픽을 동원하지 않고도 서비스거부 상태를 일으킬 수 있다. 이스라엘의 IT보안 연구가 Barak Tawily가 발견한 이 취약점은 워드프레스의 가장 최근 버젼인 4.9.2를 포함해, 지난 9년간 릴리즈된 워드프레스의 거의 모든 버젼에 존재한다. (6일에서 이어짐)
NSA내의 해킹팀에 의해 개발되고 Shadow Brokers에 의해 유출되었던 NSA의 익스플로잇 중 세가지 ^{EternalSynergy, EternalRomance, EternalChampion}이 업데이트 되어 윈도우즈 2000부터 2016까지 시스템들에서 동작하도록 새로 작성된 것이 확인되었다. ^{EternalSynergy, EternalRomance, EternalChampion}은 NotPetya 공격에 일부로 사용된 바 있긴 하지만, ^EternalBlue처럼 공격자들에 의해 많이 사용되지는 않았다. 그 이유는 최근의 윈도우즈 버젼들에서 동작하지 않았기 때문인데, RiskSense의 보안 연구가인 Sean Dillon이 이 익스플로잇들을 지난 18년간 릴리즈된 윈도우즈 버젼에서 동작하도록 포팅을 하면서 이 문제들이(?) 해결되었다. 새롭게 업데이트된 버젼(?)은 메타스플로잇 프레임워크로 포팅되었다. (6일에서 이어짐)
대한민국 사용자들을 노린 공격에서 플래시^(Flash)의 제로데이 익스플로잇이 확인되었다. KISA에 따르면, 최신의 플래시 플레이어 28.0.0.137과 그 이전버젼을 공격 대상으로 삼는 북한 해커들의 플래시 제로데이 취약점 공격이 확인되었다. 이 제로데이 취약점은 문서파일이나, 웹페이지, 플래시 파일을 포함한 이메일을 여는 것으로 공격당할 수 있다. 2017년 11월 중순부터 이러한 공격이 이어졌다. (2일에서 이어짐)

Detailed News List

Flaw in TLS/SSL Certificates
- _{[InfoSecurityMagazine]}
  Flaw in TLS/SSL Certificates Allows Covert Data Transfer
- _{[SecurityWeek]}
  TLS-Abusing Covert Data Channel Bypasses Network Defenses
- _{[SecurityAffairs]}
  Abusing X.509 Digital Certificates to establish a covert data exchange channel
- _{[TheRegister]}
  X.509 metadata can carry information through the firewall
WordPress
- _[Imperva]
  CVE-2018-6389 WordPress Parameter Resource Consumption Remote DoS
- _{[SecurityWeek]}
  One Computer Can Knock Almost Any WordPress Site Offline
- _{[InformationSecurityBuzz]}
  Serious DoS Flaw Spotted In WordPress Platform
NSA Exploits
- _{[SecurityWeek]}
  NSA-Linked Hacking Tools Ported to Metasploit
Adobe flash
- _{[TheRegister]}
  Adobe: Two critical Flash security bugs fixed for the price of one
- _{[DarkReading]}
  Adobe Patches Flash Zero-Day Used in South Korean Attacks
- _{[SecurityWeek]}
  Adobe Patches Flash Zero-Day Exploited by North Korean Hackers

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

인기있는 RAT^{(Remote Access Trojan)}인 Luminosity가 호주, 유럽, 북미 당국의 연합작전을 통해 셧다운 되었다. Luminosity RAT은 공격자가 비밀리에 안티바이러스나 안티말웨어 프로그램을 비활성화 시켜 공격 대상을 감염시키고, 피해자들의 온라인 활동을 모니터링 하거나 키입력을 기록하고, 웹캠을 동작시켜 상대방을 감시하거나 로그인 정보와 같은 데이터를 훔칠 수 있게 한다. 유로폴에 따르면, 이 악성코드는 전 세계 78개국에 걸쳐 8,600명의 사용자를 가지고 있으며, 피해자들도 수천에 달한다. (6일에서 이어짐)
33세의 영국인 활동가인 Lauri Love는 2013년에 미 육군 및 NASA, 그리고 기타 여러 연방 기관에 대한 사이버 범죄 혐의로 기소되었다. 그리고 Love는 영국에서 체포되었다가 보석금을 내고 풀려났으나, 미국에서의 재판을 위한 송환을 놓고 다퉈왔다. 그리고 결국 미국으로의 송환을 하지 않는다는 법원의 결정이 내려졌다. (6일에서 이어짐)

Detailed News List

Luminosity RAT
- _{[SecurityAffairs]}
  Crime ring linked to Luminosity RAT dismantled by an international law enforcement operation
Lauri Love
- _[TechDirt]
  Hacker Lauri Love Wins Extradition Appeal; Won’t Be Shipped Off To The US
- _[ZDNet]
  Hacking suspect Lauri Love wins landmark appeal against US extradition
- _{[InfoSecurityMagazine]}
  Alleged US Government Hacker Love Wins Extradition Case
- _{[BankInfoSecurity]}
  British Hacking Suspect Avoids Extradition
- _{[SecurityAffairs]}
  Popular British hacktivist Lauri Love will not be extradited to US, UK Court Ruled

Vulnerability Patches/Software Updates

Summaries

Cisco가 ASA^{(Adaptive Security Appliance)}에 대한 새로운 패치를 릴리즈했다. Common Vulnerability Scoring System base score 10점 만점을 받았던 CVE-2018-0101에 대한 패치다.
Adobe가 Flash 패치를 릴리즈했다. 어도비가 플래시 플레이어의 취약점을 수정하는 업데이트를 릴리즈했다. 원격의 공격자가 이 취약점을 공격해 영향을 받는 시스템을 장악 할 수 있는 취약점이다.

Detailed News List

Cisco
- _[ThreatPost]
  Cisco Issues New Patches for Critical Firewall Software Vulnerability
- _[ZDNet]
  Cisco: You need to patch our security devices again for dangerous ASA VPN bug
- _{[HelpNetSecurity]}
  Cisco issues new, complete fixes for critical flaw in enterprise security appliances
- _{[SecurityWeek]}
  Cisco Reissues Patches for Critical Firewall Flaw
Adobe Flash
- _[US-CERT]
  Adobe Releases Security Updates for Flash Player

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

40년된 OpenVMS 시스템에서 취약점이 발견되어, 그에 대한 패치가 릴리즈 되었다. Digital Equipment Corporation의 VAX 및 Alpha 프로세서를 사용하는 40년된 OpenVMS 운영체에서 권한 상승^{(privilege-escalation)}이 가능한 취약점에 대한 패치가 공개되었다. HP에 의해 서포트되고 있는 이 운영체제는 안정성으로 유명하며, 역사적으로 핵발전소 및 공정 관리 시스템과 같은 고가용성^{(high availability)}을 요구하는 핵심 비즈니스 시스템에 사용되어 왔다. 권한상승 취약점인 CVE-2017-17842에 대한 패치가 공개되었다. 취약점에 대한 자세한 세부내용은, 관리자들이 영향을 받는 시스템을 패치할 시간을 제공한 뒤 3월에 공개될 예정이다.

Detailed News List

OpenVMS
- _[ZDNet]
  Mission-critical system alert: 40-year-old OpenVMS hit by exploitable bug

Security Newsletters, 2018 Feb 1st, Monero 채굴하는 Smominru Botnet 外

Posted on 2018-02-01 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

Lizard Squad 그룹이 그룹을 만든 Zachary Buchta가 체포되며 끝난 것으로 여겨졌었으나, BitBotPein이라는 이름으로 여전히 활동중이라는 리포트가 발표되었다. ZingBox의 연구가들이 BigBotPein 그룹이 Lizard Squad의 새로운 이름이며, 이들과 Mirai 악성코드와 연관되어 있다는 강한 증거를 가지고 있다는 리포트를 발표했다. Lizard Squad는 소니 플레이스테이션 및 Xbox Live, Blizzard의 Warcraft의 네트워크 장애를 일으킨 사건에 책임이 있다. 수년간 많은이들이 Lizard Squad가 서비스했던 LizardStresser DDoS 서비스를 이용했으며, 운영진이 체포되면서 끝이났다. ZingBox의 연구가들이 수집한 정보에 따르면, Lizard Squad 해커들과 Mirai는 둘다 같은 우크라이나^(Ukrainian) 호스팅 서비스를 사용했다. 그리고, 연구가들은 BigBotPein이 Lizard Squad와 관린되어 있다는 점을 2017년 말에 있었던 또다른 Mirai 사건과 관련된 도메인을 분석하여 찾아냈다. 이 도메인이 Lizard Squad와 관련된 개인의 이름으로 등록되어 있었던 것이다.

Detailed News list

Lizard Squad
- _[HackRead]
  Lizard Squad is alive and continuing activities as BigBotPein: Report

Exploits/Vulnerabilities

Summaries

CT나 MRI와 같은 의료기기가 치명적인 위협에 노출되어 있다. MRI나 CT와 같은 핵심 의료기기들이 사이버공격에 취약하다고 보안연구가들이 경고했다. PC외에도 네트워크에 연결된 의료기기들에 대한 사이버 보안에 대해 주목한 것은 심박조절기에 치명적인 쇼크를 일으킬 수 있는 버그가 발견된 2012년으로 거슬러 올라간다. 그 후로 수년간 수천개의 의료기기들에서 취약점들이 발견되었다. 이번에 이스라엘의 Beersheba의 Ben-Gurion 대학교의 연구가들이 발표한 리포트에서는, MRI^{(Magnetic Resonance Imaging)}나 CT^{(Computed Tomography)}와 같은 의료 영상 장비들이 더욱더 사이버 공격에 취약해지고 있다고 밝혔다.
멜트다운 및 스펙터 취약점과 그 패치에 대한 기사가 계속해 이어지고 있다.

Detailed News List

Medical equipment
- _{[InformationSecurityBuzz]}
  Medical Imaging Devices Are Vulnerable To Cyber-Attacks
- _[ZDNet]
  CT, MRI machines face the greatest risk of cyberattack, researchers warn
- _{[InfoSecurityMagazine]}
  Vulnerable Medical Imaging Devices Open the Door to Death
Meltdown/Spectre
- _{[SecurityWeek]}
  Malware Exploiting Spectre, Meltdown Flaws Emerges
- _{[InfoSecInstitute]}
  Meltdown and Spectre Patches: a story of delays, lies, and failures
- _[ZDNet]
  AMD vs Spectre: Our new Zen 2 chips will be protected, says CEO
- _{[SecurityWeek]}
  New AMD Processors to Include Protections for Spectre-like Exploits

Vulnerability Patches/Software Updates

Summaries

모질라에서 파이어폭스^(FireFox) 브라우저의 원격 코드 실행 취약점을 패치했다. 모질라에서 파이어폭스 브라우저 58버젼에 대한 보안 업데이트 릴리즈를 통해, 원격 공격자가 임의의 코드를 실행할 수 있는 치명적인 취약점을 수정했다. 이 취약점은 CVE-2018-5124으로 파이어폭스 56버젼부터 58버젼까지 영향을 미친다.
시스코 시스템즈^{(Cisco Systems)}에서 월요일에 VPN의 치명적인 취약점을 수정하는 패치를 릴리즈했다. 시스코에 따르면, 이 취약점은 인증받지않은 원격의 공격자가 영향을 받는 장치에서 코드를 실행시킬 수 있다. 게다가 이 취약점 CVE-2018-0101은 CVSS 점수 10점을 받아서 더 주목을 받고있다. (31일에서 이어짐)
Oracle Micros의 PoS^{(Point-of-Sale)}에서 기업의 전체 비즈니스 데이터를 침해하고 다운로드받을 수 있는 취약점이 발견되었다. 이 취약점은 인증받지 않은 원격의 공격자가 PoS 서버의 데이터베이스를 읽고 쓸수 있는 접근권한을 획득할 수 있게한다. Oracle은 이 취약점이 이달 초의 분기^(Quarterly) 패치 스케쥴에서 패치되었다고 밝혔다. (31일에서 이어짐)

Detailed News List

Mozilla
- _{[SecurityAffairs]}
  Mozilla fixes a critical remote code execution vulnerability in Firefox
- _{[TheHackerNews]}
  Update Your Firefox Browser to Fix a Critical Remotely Exploitable Flaw
- _[ZDNet]
  Firefox 58.0.1: Mozilla releases fix for critical HTML hijack flaw
- _{[HelpNetSecurity]}
  Mozilla plugs critical and easily exploitable flaw in Firefox
- _{[SecurityWeek]}
  Mozilla Patches Critical Code Execution Flaw in Firefox
- _[CyberScoop]
  Firefox vulnerability allowing for arbitrary code execution is fixed
- _{[TheRegister]}
  Unsanitary Firefox gets fix for critical HTML-handling hijack flaw
Oracle PoS
- _{[SecurityWeek]}
  Remotely Exploitable Vulnerability Could Impact 300,000 Oracle PoS Systems
- _{[TheHackerNews]}
  Critical Oracle Micros POS Flaw Affects Over 300,000 Payment Systems
- _{[TheRegister]}
  Oracle point-of-sale system vulnerabilities get Big Red cross
- _{[SecurityAffairs]}
  Once again, Oracle MICROS PoS have been breached
Cisco VPN
- _{[InformationSecurityBuzz]}
  Cisco Warns Of A Critical Vulnerability In Its SSL VPN Solution

Data Breaches/Info Leakages

Summaries

호주의 차량 공유 서비스 GoGet의 사용자 데이터베이스에 침입하고 서비스를 불법으로 이용한 해커가 체포되었다. 1월 30일 수사관들이 가택 수색영장을 집행했고, 37세의 남성을 체포해 기소했다. 그리고 컴퓨터 및 노트북 등을 압수했다고 밝혔다.
Fortune 500 기업의 유출된 인증정보^{(Credentials)}가 웹상에 올라온 것이 발견되었다는 연구 결과가 나왔다. 인증정보 모니터링 기업인 Vericlouds에 따르면, 포춘 500대 기업의 직원들의 계정정보가 유출되어 온라인에 존재한다. 이 연구에서 포춘 500 개입들 직원들의 10%의 이메일 인증정보가 유출된 것으로 나타났다. (31일에서 이어짐)

Detailed News List

Car Sharing Service
- _[ZDNet]
  Security consultant granted bail after ‘hacking’ GoGet systems
- _[HackRead]
  Hacker compromised user data & illegally used car sharing service 33 times
- _[TripWire]
  Man Arrested for Allegedly Hacking Car-Sharing Company Database
- _[ZDNet]
  GoGet fleet booking system accessed, alleged attacker charged
- _{[TheRegister]}
  Car-share biz GoGet became data share biz after 2017 hack attack
Fortune 500
- _{[InformationSecurityBuzz]}
  Dark Web Contains Trove Of Over 2.7 Million Leaked Email Credentials Of Fortune 500 Employees

Social Engineering/Phishing/Con/Scam

Summaries

사이버 범죄자들이 동업자(?)들의 랜섬웨어에 지불된 몸값을 훔치는 일이 벌어지고 있다. 랜섬웨어 제작자들은 TOR 브라우저를 설치할 수 없거나, 설치하기 원치 않는 사람들을 위해서 onion.top, onion.to와 같은 서비스를 통해 일반 브러우저로 TOR 네트워크를 사용할 수 있는 프록시^(Proxy) 서비스로 피해자들을 유도한다. 그런데 onion.top 프록시에서 MITM^{(Man-in-the-Middle)} 공격을 통해 특정 랜섬웨어에서 사용하는 비트코인 지갑 주소를 자신들의 비트코인 주소로 바꿔치기 하는 것이 보안기업 Proofpoint에 의해 확인되었다. (31일에서 이어짐)

Detailed News List

TOR Proxy
- _{[InfoSecurityMagazine]}
  Hackers Steal Ransomware Payments from Fellow Crims
- _{[SecurityAffairs]}
  Cybercriminals Stealing From Cybercriminals Ransomware Victims Left Stranded
- _{[GrahamCluley]}
  Bitcoin hijack steals from both ransomware authors AND their victims
- _[HackRead]
  Tor Proxy Used By Cybercriminals To Initiate Bitcoin Theft

Crypto Currencies/Crypto Mining

Summaries

모네로^(Monero) 암호화폐를 채굴하는 Smominru 봇넷이 해커에게 360만 달러를 벌어주었다는 리포트가 나왔다. Proofpoint의 연구에 따르면, Smominru라는 이름의 모네로 채굴 봇넷이 감염된 기기들에서 몰래 모네로 코인을 채굴해 봇넷을 운영하는 해커에게 수백만 달러를 벌어주었다. 봇넷 운영자는 8,900 모네로 코인을 채굴했으며, 이는 360만 달러 규모로, 주당 24모네로(8500달러)를 번 셈이다. 연구가들은 Smominru 봇넷이 확산되는 것을 2017년 5월에 확인했다. 현재는 윈도우즈 호스트를 526,000대 이상의 감염시켰으며, Smominru 봇넷은 NSA에서 개발하고 Shadow brokers 해킹그룹이 유출한 EternalBlue 익스플로잇을 사용한다. 이 봇넷의 C&C 인프라는 SharkTech라는 호스팅 및 DDoS 보호 서비스를 이용하고있다. SharkTech에서는 이에 대하여 아무런 반응도 내놓지 않았다.

Detailed News List

Smominru
- _[CyberScoop]
  Monero mining botnet ‘Smominru’ earns hackers $3.6 million

Security Newsletters, 2018 Jan 31st, CISCO CVE-2018-0101 취약점 外

Posted on 2018-01-31 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

미국에서 ATM에 대한 잭팟팅^{(Jackpotting)} 공격이 최초로 확인되었다. ATM에 악의적인 소프트웨어나 하드웨어를 설치해 현금을 인출할 수 있게 하는 잭팟팅^{(Jackpotting)} 공격은 유럽과 아시아에서는 오랫동안 은행을 위협해온 공격이었다. 그간 미국에서는 목격되지 않았으나, 이번주에 미국에서도 이러한 공격이 확인되면서 Secret Service에서는 이 공격에 대해 금융기관들에게 경고하기 시작했다. (29일에서 이어짐)

Detailed News list

ATM Jackpotting Attacks
- _{[KrebsOnSecurity]}
  Drugs Tripped Up Suspects In First Known ATM “Jackpotting” Attacks in the US
- _{[SecurityWeek]}
  ATM Jackpotting Attacks Strike in U.S.
- _{[NakedSecurity]}
  Secret Service warning: Jackpotting ATM attacks reach the US
- _{[SecurityAffairs]}
  Crooks target ATMs with Ploutus-D malware, these are the first confirmed cases of Jackpotting in US
- _{[TheRegister]}
  Crooks make US ATMs spew million-plus bucks in ‘jackpotting’ hacks
- _[HackRead]
  Jackpotting attacks hit U.S. ATMs; spit out cash in seconds

Vulnerability Patches/Software Updates

Summaries

시스코 시스템즈^{(Cisco Systems)}에서 월요일에 VPN의 치명적인 취약점을 수정하는 패치를 릴리즈했다. 시스코에 따르면, 이 취약점은 인증받지않은 원격의 공격자가 영향을 받는 장치에서 코드를 실행시킬 수 있다. 게다가 이 취약점 CVE-2018-0101은 CVSS 점수 10점을 받아서 더 주목을 받고있다.
Oracle Micros의 PoS^{(Point-of-Sale)}에서 기업의 전체 비즈니스 데이터를 침해하고 다운로드받을 수 있는 취약점이 발견되었다. 이 취약점은 인증받지 않은 원격의 공격자가 PoS 서버의 데이터베이스를 읽고 쓸수 있는 접근권한을 획득할 수 있게한다. Oracle은 이 취약점이 이달 초의 분기^(Quarterly) 패치 스케쥴에서 패치되었다고 밝혔다.

Detailed News List

CISCO
- _[ThreatPost]
  Cisco Patches Critical VPN Vulnerability
- _[CSOOnline]
  Cisco VPN remote code execution flaw rated 10 out of 10 for severity
- _[ZDNet]
  Cisco: This VPN bug has a 10 out of 10 severity rating, so patch it now
- _{[SecurityAffairs]}
  Cisco ASA software is affected by a flaw with 10 out of 10 severity rating. Patch it asap
- _[TripWire]
  Cisco Fixes 10.0 CVSS-Scored RCE Bug Affecting Its ASA Software
- _{[SecurityWeek]}
  Cisco Patches Critical Code Execution Flaw in Security Appliances
- _{[TheRegister]}
  Ugly, perfect ten-rated bug hits Cisco VPNs
Oracle Micros PoS
- _[ZDNet]
  Oracle Micros point-of-sale system vulnerability puts business data at risk

Data Breaches/Info Leakages

Summaries

Fortune 500 기업의 유출된 인증정보^{(Credentials)}가 웹상에 올라온 것이 발견되었다는 연구 결과가 나왔다. 인증정보 모니터링 기업인 Vericlouds에 따르면, 포춘 500대 기업의 직원들의 계정정보가 유출되어 온라인에 존재한다. 이 연구에서 포춘 500 개입들 직원들의 10%의 이메일 인증정보가 유출된 것으로 나타났다.
온라인으로 공유하는 피트니스 트래킹^{(Fitness tracking)} 앱의 데이터에서 군사기지의 정보까지 노출되고 있다는 기사가 공개되었다. 핏빗^(Fitbit)이나 Garmin등과 같은 웨어러블 장치들에서 수집 및 공유되는 데이터에서 민감정보가 노출된다는 것이다. 전세계 사용자들로부터 수집된 활동 정보를 표시한 히트맵^{(heat map)}에서 사용자들의 활동 패턴을 통해 군사시설의 위치나 군대의 정찰, 전진기지의 위치 등이 노출되고 있다는 다수의 보안연구가 및 기자들의 발표가 이어지고 있다. (30일에서 이어짐)

Detailed News List

Fortune 500
- ^[TripWire]
  Study: Alarming Number of Fortune 500 Credentials Found in Data Leaks
Fitness Tracking App
- _{[InformationSecurityBuzz]}
  Fitness Tracking App Strava Reveals Location Of Secret US Army Bases
- _{[WeLiveSecurity]}
  Privacy of fitness tracking apps in the spotlight after soldiers’ exercise routes shared online
- _{[NakedSecurity]}
  Secret military bases revealed by fitness app Strava
- _[ZDNet]
  Troops not at risk over Strava breach: Australian Defence Force

Social Engineering/Phishing/Con/Scam

Summaries

사이버 범죄자들이 동업자(?)들의 랜섬웨어에 지불된 몸값을 훔치는 일이 벌어지고 있다. 랜섬웨어 제작자들은 TOR 브라우저를 설치할 수 없거나, 설치하기 원치 않는 사람들을 위해서 onion.top, onion.to와 같은 서비스를 통해 일반 브러우저로 TOR 네트워크를 사용할 수 있는 프록시^(Proxy) 서비스로 피해자들을 유도한다. 그런데 onion.top 프록시에서 MITM^{(Man-in-the-Middle)} 공격을 통해 특정 랜섬웨어에서 사용하는 비트코인 지갑 주소를 자신들의 비트코인 주소로 바꿔치기 하는 것이 보안기업 Proofpoint에 의해 확인되었다.

Detailed News List

Stealing bitcoin from rivals
- _{[TheRegister]}
  Scammers become the scammed: Ransomware payments diverted with Tor proxy trickery
- _[ZDNet]
  Ransomware: Now crooks are stealing bitcoin ransom payments intended for rivals