Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

• 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
• 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
• 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
• 번역된 한글 제목에 오역이 있을 수 있습니다.
• 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
• 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
• 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

• ATM에 실제로 잭팟팅^{(Jackpotting)} 공격을 하던 범죄자들이 체포되었다. 악성코드를 사용해 ATM 기기의 현금을 모두 인출하도록 만드는 잭팟팅^{(Jackpotting)} 공격을 하던 용의자 두명이 코네티컷에서 체포되었다. 미 연방 당국은 두명을 체포해 기소했다. Citizen Bank에서는 자신들의 ATM에 공격이 진행중임을 탐지하여 경찰에 연락했고, 경찰은 근처에서 20달러 지폐로 90,000달러 이상을 지니고 있던 Fajin-Diaz와 Rodriguez를 찾아냈다. 이들의 차량에는 ATM jackpotting 공격에 사용되는 도구들과 전자장비들이 실려있었다. (6일에서 이어짐)

Detailed News list

• ATM Jackpotting Attack
  • _{[InfoSecurityMagazine]}
    Suspected ATM Jackpotting Fraudsters Arrested

Malwares

Summaries

• 구글 드라이브, 마이크로소프트 오피트265의 악성코드 탐지 기능을 회피할 수 있는 ShurL0ckr 랜섬웨어가 발견되었다. Godjue 랜섬웨어의 새로운 변종인 ShurL0ckr라는 이름의 랜섬웨어가 보안기업 Cylance에 의해 다크웹에서 확인되었다. 이 악성코드는 악성코드 탐지 기능을 내장한 유명 클라우드 플랫폼인 구글 드라이브와 마이크로소프트 오피스 365의 탐지기능을 우회할 수 있다. ShurL0ckr는 잘 알려진 Satan 랜섬웨어와 동일한 방식으로 동작하는 Zero-day ransomware-as-a-service로, 제작자가 디스크의 파일을 암호화하는 랜섬웨어 페이로드를 제작 및 유포하면 공격자가 수익의 일부를 지불하는 방식이다. Cylance가 VirusTotal을 통해 확인한 결과, 전체 67개의 안티바이러스 소프트웨어 중 오직 7%만 이 새로운 악성코드를 탐지했다.
• 안드로이드 기기를 공격하는 새로운 암호화폐 채굴 봇넷이 탐지되었다. 새로 발견된 암호화폐 채굴 봇넷이 안드로이드 기기를 열린 ADB 포트를 통해 공격하고 있다. Qihoo 360의 NetLab 연구자들이 밝혀낸 바에 따르면, 지난주 포트 5555번을 대상으로 하는 이 공격이 시작되었다. 5555번 포트는 안드로이드 장치의 adb 디버그 인터페이스다. NetLab에서는 이 공격이 Mirai 봇넷에서 가져온 스캐닝 코드를 사용해, 웜^(worm) 처럼 확산될 수 있다고 밝혔다. 감염된 봇들은 추가 확산을 위해 5555번 adb 포트를 스캔한다. (6일에서 이어짐)

Detailed News List

• ShurL0ckr 랜섬웨어
  • _{[InfoSecurityMagazine]}
    ShurL0ckr Ransomware Evades Malware Detection in Google Drive, O365
  • _{[DarkReading]}
    New Zero-Day Ransomware Evades Microsoft, Google Cloud Malware Detection
• ADB.Miner
  • _{[HelpNetSecurity]}
    Android devices roped into new Monero-mining botnet

Exploits/Vulnerabilities

Summaries

• 핫스팟실드^{(Hotspot Shield)}에 사용자 정보를 유출시킬 수 있는 취약점이 존재하는 것으로 드러났다. 유명 VPN 클라이언트 프로그램인 Hotspot Shield에서 사용자의 IP및 기타 정보를 유출시킬 수 있는 취약점이 존재하는 것으로 확인되었다. Paulos Yibelo라는 보안 연구가가 블로그 포스트를 통해 Hotspot Shield의 취약점을 공개했다. 블로그 포스트에 따르면, Hotspot Shield는 VPN client와 통신하기 위한 웹서버를 하드코딩된 127.0.0.1 아이피의 895번 포트로 실행한다. 이 서버에서는 민감정보를 제공하는 JSONP 엔드포인트를 가지고 있고, 여기서 환경설정 데이터와 같은 다양한 정보들이 제공된다는 것이다.
• 워드프레스^(WordPress)에서 서비스거부^(DoS) 취약점이 발견되었다. CVE-2018-6389인 이 취약점은 워드프레스 사이트에 대량의 트래픽을 동원하지 않고도 서비스거부 상태를 일으킬 수 있다. 이스라엘의 IT보안 연구가 Barak Tawily가 발견한 이 취약점은 워드프레스의 가장 최근 버젼인 4.9.2를 포함해, 지난 9년간 릴리즈된 워드프레스의 거의 모든 버젼에 존재한다. (6일에서 이어짐)
• NSA내의 해킹팀에 의해 개발되고 Shadow Brokers에 의해 유출되었던 NSA의 익스플로잇 중 세가지 ^{EternalSynergy, EternalRomance, EternalChampion}이 업데이트 되어 윈도우즈 2000부터 2016까지 시스템들에서 동작하도록 새로 작성된 것이 확인되었다. ^{EternalSynergy, EternalRomance, EternalChampion}은 NotPetya 공격에 일부로 사용된 바 있긴 하지만, ^EternalBlue처럼 공격자들에 의해 많이 사용되지는 않았다. 그 이유는 최근의 윈도우즈 버젼들에서 동작하지 않았기 때문인데, RiskSense의 보안 연구가인 Sean Dillon이 이 익스플로잇들을 지난 18년간 릴리즈된 윈도우즈 버젼에서 동작하도록 포팅을 하면서 이 문제들이(?) 해결되었다. 새롭게 업데이트된 버젼(?)은 메타스플로잇 프레임워크로 포팅되었다. (6일에서 이어짐)

Detailed News List

• Hotspot Shield
  • _[ThreatPost]
    Hotspot Shield Vulnerability Could Reveal ‘Juicy’ Info About Users, Researcher Claims
  • _{[HelpNetSecurity]}
    Hotspot Shield VPN flaw can betray users’ location
  • _{[TheHackerNews]}
    Researcher Claims Hotspot Shield VPN Service Exposes You on the Internet
•  WordPress
  • _{[NakedSecurity]}
    WordPress users – do an update now, and do it by hand!
  • _{[GrahamCluley]}
    WordPress update stopped WordPress automatic updates from working. So update now
  • _{[InformationSecurityBuzz]}
    Major WordPress Zero-Day Uncovered
• NSA Exploits
  • _{[InformationSecurityBuzz]}
    Leaked NSA Exploits Can Now Hack Any Windows Version
  • _{[SecurityAffairs]}
    Researchers ported the NSA EternalSynergy, EternalRomance, and EternalChampion to Metasploit

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

• 우버_(Uber)가 2016년 데이터 침해사고 이후 GitHub 사용을 중단한다. 우버가 GitHub 계정에 다중인증^{(multifactor authentication)}을 사용하지 않았음을 인정했다. 그리고 오픈소스 프로젝트를 제외한 다른 프로젝트들은 GitHub 사용을 중단한다.
• 인기있는 RAT^{(Remote Access Trojan)}인 Luminosity가 호주, 유럽, 북미 당국의 연합작전을 통해 셧다운 되었다. Luminosity RAT은 공격자가 비밀리에 안티바이러스나 안티말웨어 프로그램을 비활성화 시켜 공격 대상을 감염시키고, 피해자들의 온라인 활동을 모니터링 하거나 키입력을 기록하고, 웹캠을 동작시켜 상대방을 감시하거나 로그인 정보와 같은 데이터를 훔칠 수 있게 한다. 유로폴에 따르면, 이 악성코드는 전 세계 78개국에 걸쳐 8,600명의 사용자를 가지고 있으며, 피해자들도 수천에 달한다. (6일에서 이어짐)

Detailed News List

• Uber
  • _{[InfoSecurityMagazine]}
    Uber CISO: “No Justification” for Failure to Disclose Massive Breach
  • _{[TheRegister]}
    Uber quits GitHub for in-house code after 2016 data breach
• Luminosity RAT
  • _{[SecurityWeek]}
    Capable Luminosity RAT Apparently Killed in 2017
  • _{[WeLiveSecurity]}
    UK-led police operation quashes Luminosity Link RAT

Vulnerability Patches/Software Updates

Summaries

• Cisco가 ASA^{(Adaptive Security Appliance)}에 대한 새로운 패치를 릴리즈했다. Common Vulnerability Scoring System base score 10점 만점을 받았던 CVE-2018-0101에 대한 패치다. (7일에서 이어짐)
• Adobe가 Flash 패치를 릴리즈했다. 어도비가 플래시 플레이어의 취약점을 수정하는 업데이트를 릴리즈했다. 원격의 공격자가 이 취약점을 공격해 영향을 받는 시스템을 장악 할 수 있는 취약점이다. (7일에서 이어짐)

Detailed News List

• Cisco ASA
  • _{[SecurityAffairs]}
    For the second time CISCO issues security patch to fix a critical vulnerability in CISCO ASA
  • _{[DarkReading]}
    Cisco Issues New Patch for Critical ASA Vulnerability
  • _[US-CERT]
    Cisco Releases Security Updates for Multiple Products
• Adobe Flash
  • _[ZDNet]
    Windows security: Microsoft issues Adobe patch to tackle Flash zero-day
  • _{[BankInfoSecurity]}
    Flash Hack: Adobe Updates Plug-in After Zero-Day Attacks
  • _{[SecurityAffairs]}
    Adobe rolled out an emergency patch that fixed CVE-2018-4878 flaw exploited by North Korea
  • _{[InfoSecurityMagazine]}
    Adobe Issues Emergency Fix to Foil North Korean Hackers

Privacy

Summaries

• 스마트폰의 GPS기능이 꺼져 있어도, 사용자의 위치를 추적할 수 있는 방법이 확인되었다. 프린스턴 대학의 연구자들이 스마트폰에 저장된 비감각^{(non-sensory)} 및 감각^(sensory) 데이터(기압 및 시간대, 네트워크 상태, IP 주소 등)를 이용해 사용자의 위치를 추적할 수 있는 메커니즘을 고안해냈다. 이러한 데이터들은 사용자의 스마트폰에 저장되며, 어떤 응용프로그램이든 사용자의 허가 없이도 쉽게 접근할 수 있다. 연구원들은 GPS 기능이나, 기지국 정보/WiFi 네트워크의 SSID정보를 확인할 권한이 없는 응용프로그램을 사용했다.

Detailed News List

• Tracking Location
  • _{[HelpNetSecurity]}
    How to track smartphone users when they’ve turned off GPS
  • _{[TheRegister]}
    Boffins crack smartphone location tracking – even if you’ve turned off the GPS

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

• 카스퍼스키에서 전세계 주유소^{(Gas station)}에서 사용하는 자동화 소프트웨어에서 원격의 해커가 공격할 수 있는 다수의 취약점들을 발견했다. 취약한 제품은 Orpak의 SiteOmat이다. 취약한 소프트웨어는 임베디드 리눅스 장치나 일반 PC에서 구동된다. 카스퍼스키의 연구원들은 1,000개 이상의 주유소가 인터넷으로부터의 원격 접근이 가능한 상태로 운영하는 것을 확인했으며, 이렇게 노출되어 있는 주유소중 절반 이상이 미국과 인도에 위치해 있는 것으로 나타났다. 확인된 취약점은 하드코딩된 인증정보 CVE-2017-14728, 크로스사이트스크립트^(XSS) CVE-2017-14850, SQL injection CVE-2017-14851, insecure communications CVE-2017-14852, 코드 인젝션 CVE-2017-14853, 원격 코드 실행 CVE-2017-14854 이다.

Detailed News List

• Gas Station
  • _{[SecurityWeek]}
    Automation Software Flaws Expose Gas Stations to Hacker Attacks