Security Newsletters, 2018 Feb 10th, 러시아 핵시설 암호화폐 채굴 적발 外

Posted on 2018-02-10 - 2018-02-10 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Malwares

Summaries

Cryakl 랜섬웨어로 인해 암호화된 파일을 복구할 수 있는 복호화 도구가 무료로 공개되었다. No More Ransom initiative가 복호화 키를 무료로 공개함에 따라, Cryakl 랜섬웨어로 인해 파일이 암호화된 피해자들은 몸값을 지불하지 않고도 파일을 복구할 수 있다. Cryakl 랜섬웨어는 2015년 9월부터 활동해 왔으며, 다른 랜섬웨어들과 마찬가지로 감염시킨 시스템의 파일들을 암호화하고 파일 복구를 위해 몸값을 지불 할 것을 요구한다.
훔친 신용카드 정보를 DNS 트래픽에 숨겨 유출하는 PoS 악성코드가 발견되었다. UDPoS라 명명된 이 악성코드는, 훔친 신용카드 정보를 DNS Request 트래픽을 사용해 외부로 전송한다. (9일에서 이어짐)

Detailed News List

Cryakl/Fantomas
- _{[KasperskyLab]}
  Cryakl/Fantomas victims rescued by new decryptor
- _[ZDNet]
  Ransomware: New free decryption key can save files locked with Cryakl
- _[TripWire]
  Cryakl Ransomware Decryption Keys Released by Belgian Federal Police
UDPoS
- _[TripWire]
  New ‘UDPoS’ Malware Exfiltrates Credit Card Details via DNS Server
- _{[SecurityAffairs]}
  UDPOS PoS malware exfiltrates credit card data DNS queries
- _{[TheHackerNews]}
  New Point-of-Sale Malware Steals Credit Card Data via DNS Queries

Exploits/Vulnerabilities

Summaries

닌텐도 스위치^{(Nintendo Switch)}의 부트롬^(BootROM)에서 취약점이 발견되었으며, 닌텐도 스위치에서 Linux OS를 구동할 수 있게 되었다. fail0verflow라는 이름의 해커그룹이 닌텐도 스위치에서 리눅스 배포판을 설치할 수 있는 취약점을 찾아냈다. fail0verflow는 트위터를 통해 데비안 리눅스 배포판을 실행중인 콘솔의 사진을 공개했다.
레노보^(Lenovo)에서 다수의 씽크패드^(ThinkPad) 모델에 영향을 미칠 수 있는 와이파이 취약점에 대해 경고했다. 금요일에 레노보가 자사의 ThinkPad 모델 25개에 영향을 미칠 수 있는, 치명적인 Broadcom의 취약점 두 건에 대하여 경고했다. 레노보에 따르면, WiFi 칩셋이 이미 지난 9월에 애플과 구글에 의해 패치된 바 있는 CVE-2017-11120과 CVE-2017-11121과 동일한 취약점을 가지고 있다.
넷기어^(NETGEAR) 라우터에서 다수의 취약점이 발견되었다. 넷기어 라우터의 여러 제품에서 인증 우회^{(remote authentication bypass)} 취약점이 발견되었다. 장비의 웹 기반 환경설정 인터페이스에 비밀번호 없이도 접근해 조작할 수 있는 취약점이다. URL에 &genie=1만 추가하면 되는 간단하지만 치명적인 취약점이다. (9일에서 이어짐)
워드프레스^(WordPress)에서 서비스거부^(DoS) 취약점이 발견되었다. CVE-2018-6389인 이 취약점은 워드프레스 사이트에 대량의 트래픽을 동원하지 않고도 서비스거부 상태를 일으킬 수 있다. 이스라엘의 IT보안 연구가 Barak Tawily가 발견한 이 취약점은 워드프레스의 가장 최근 버젼인 4.9.2를 포함해, 지난 9년간 릴리즈된 워드프레스의 거의 모든 버젼에 존재한다. (6일에서 이어짐)

Detailed News List

Nintendo Switch
- _{[SecurityAffairs]}
  fail0verflow hackers found an unpatchable flaw in Nintendo Switch bootROM and runs Linux OS
Lenovo ThinkPad WiFi
- _[ThreatPost]
  Lenovo Warns Critical WiFi Vulnerability Impacts Dozens of ThinkPad Models
NETGEAR
- _{[SecurityAffairs]}
  Researcher found multiple vulnerabilities in NETGEAR Routers, update them now!
- _{[SecurityWeek]}
  Flaws Affecting Top-Selling Netgear Routers Disclosed
WordPress DoS
- _{[InformationSecurityBuzz]}
  Serious DoS Flaw In WordPress
- _{[TheHackerNews]}
  WordPress Update Breaks Automatic Update Feature—Apply Manual Update

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

중국 경찰이 안면인식^{(Facial recognition)} 기능을 탑재한 안경을 사용할 예정이다. 이 안경은 주요 범죄와 관련된 10,000명의 수배자 정보 데이터베이스와 연결된 안면인식 기능을 탑재한다.

Detailed News List

Facial Recognition
- _{[NakedSecurity]}
  Chinese police get facial recognition glasses

Vulnerability Patches/Software Updates

Summaries

VMWare가 가상 어플라이언스들에서 Spectre 취약점을 수정했다. VMWare가 가상 어플라이언스 제품들에서 Meltdown 및 Spectre로 알려진 최근의 CPU 취약점에 대한 패치 및 대응방법을 릴리즈하기 시작했다. 목요일에 공개된 권고에 따르면, Meltdown과 Spectre가 여러 VMware Virtual Appliance들에 영향을 미치며, 여기에는 vCloud Usage Meter, Identity Manager, vCenter Server, vSphere Data Protection, vSphere Integrated Containers, vRealize Automation이 포함된다.
시스코가 자사의 ASA 방화벽을 공격하는 사례를 발견하고 고객들에게 위험을 고지했다. 시스코^(Cisco) 방화벽 취약점을 공격한 사례가 확인되었다. 시스코가 수요일에 최근 패치된 Adaptive Security Appliance^(ASA) 소프트웨어의 취약점에 대한 공격을 확인했다고 고객들에게 알렸다. 그외에 다른 정보는 아직 제공된 바 없다. 그러나 이번주 ASA 소프트웨어를 운영하는 장치에 서비스거부^{(DoS, Deinial-of-Service)}상태를 일으키는 개념증명^{(PoC, Proof-of-Concept)} 익스플로잇이 공개되었다는 것을 주목할만한 가치가 있다. (9일에서 이어짐)

Detailed News List

VMWare
- _{[SecurityWeek]}
  VMware Addresses Meltdown, Spectre Flaws in Virtual Appliances
- _{[TheRegister]}
  VMware sticks finger in Meltdown/Spectre dike for virtual appliances
Cisco ASA
- _[ThreatPost]
  Cisco Confirms Critical Firewall Software Bug Is Under Attack
- _[ZDNet]
  Cisco: Severe bug in our security appliances is now under attack

Data Breaches/Info Leakages

Summaries

애플의 부트로더 소스코드가 GitHub를 통해 유출되는 사고가 발생했다. 목요일에 공개한 성명문에서 애플은 유출을 인정했으나, 해당 소스코드가 3년 전 것이며 iOS 장치의 보안에는 아무런 영향이 없을 것이라 강조했다. (9일에서 이어짐)
스위스의 통신회사인 Swisscom의 고객 80만명의 정보가 유출되는 사고가 발생했다. 수요일에 스위스의 거대 통신기업인 Swisscom이 허가받지 않은 집단이 고객 데이터에 접근했다고 발표했다. 공격자들은 알려지지 않은 방법으로 파트너들의 인증정보를 획득한 후, 그 것을 이용해 이름, 실제 주소, 전화번호, 생일과 같은 연락처 정보에 접근했다. (9일에서 이어짐)

Detailed News List

Apple Bootloader
- _{[InformationSecurityBuzz]}
  Secret Apple Code Posted On Github
- _{[GrahamCluley]}
  Apple’s iOS source code leak – what you need to know
- _[ZDNet]
  It’s time to dump those old iPhones and iPads
- _{[InfoSecurityMagazine]}
  Apple Calms Nerves After GitHub Code Leak
- _{[SecurityAffairs]}
  The source code of the Apple iOS iBoot Bootloader leaked online
- _{[EHackingNews]}
  How source code leak put Apple in trouble
Swisscom
- _{[InformationSecurityBuzz]}
  Swisscom Data Breach
- _{[SecurityAffairs]}
  Swisscom data breach Hits 800,000 Customers, 10% of Swiss population

Crypto Currencies/Crypto Mining

Summaries

러시아의 핵 시설 과학자들이 연구시설의 슈퍼컴퓨터를 사용해 암호화폐를 채굴한 것이 적발되어 체포되었다. 러시아의 최고 핵무기 연구소의 엔지니어들이 암호화폐 채굴에 슈퍼컴퓨터를 사용한 것이 적발되어 체포되었다. Moscow 남동쪽의 Sarov에 위치한 이 연구소는 러시아 정부에서 운영하며, 1940년대 이후로 핵폭탄기술을 개발하고 있는 곳이다.

Detailed News List

Russian Nuclear Scientists
- _{[TheRegister]}
  Ruskie boffins blasted for using nuke bomb lab’s supercomputer to mine crypto-rubles
- _{[Graham Cluley]}
  Russian nuclear scientists arrested for allegedly hijacking supercomputer to mine Bitcoins
- _{[DarkReading]}
  Russian Authorities Arrest Engineers for Cryptocurrency Mining at Nuclear Weapons Site

Technologies/Technical Documents/Statistics/Reports

Summaries

7월부터 구글 크롬 브라우저에서 모든 HTTP페이지를 “안전하지 않은” 페이지로 인식하는 정책을 기본으로 적용한다. 크롬68 버젼부터 HTTPS 통신을 적용하지 않은 모든 사이트들은 ‘안전하지 않음’ 표시가 나타나게 된다. 구글에 따르면, 전세계 상위 100개 웹사이트중 81개가 HTTPS를 기본으로 사용하고 있다. (9일에서 이어짐)

Detailed News List

Google Chrome
- _{[BankInfoSecurity]}
  Google Set to Name and Shame Sites Lacking HTTPS
- _{[HelpNetSecurity]}
  Chrome will mark HTTP pages as “not secure”

Security Newsletters, 2018 Feb 8th, 핫스팟실드VPN 정보 유출 취약점 外

Posted on 2018-02-08 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

ATM에 실제로 잭팟팅^{(Jackpotting)} 공격을 하던 범죄자들이 체포되었다. 악성코드를 사용해 ATM 기기의 현금을 모두 인출하도록 만드는 잭팟팅^{(Jackpotting)} 공격을 하던 용의자 두명이 코네티컷에서 체포되었다. 미 연방 당국은 두명을 체포해 기소했다. Citizen Bank에서는 자신들의 ATM에 공격이 진행중임을 탐지하여 경찰에 연락했고, 경찰은 근처에서 20달러 지폐로 90,000달러 이상을 지니고 있던 Fajin-Diaz와 Rodriguez를 찾아냈다. 이들의 차량에는 ATM jackpotting 공격에 사용되는 도구들과 전자장비들이 실려있었다. (6일에서 이어짐)

Detailed News list

ATM Jackpotting Attack
- _{[InfoSecurityMagazine]}
  Suspected ATM Jackpotting Fraudsters Arrested

Malwares

Summaries

구글 드라이브, 마이크로소프트 오피트265의 악성코드 탐지 기능을 회피할 수 있는 ShurL0ckr 랜섬웨어가 발견되었다. Godjue 랜섬웨어의 새로운 변종인 ShurL0ckr라는 이름의 랜섬웨어가 보안기업 Cylance에 의해 다크웹에서 확인되었다. 이 악성코드는 악성코드 탐지 기능을 내장한 유명 클라우드 플랫폼인 구글 드라이브와 마이크로소프트 오피스 365의 탐지기능을 우회할 수 있다. ShurL0ckr는 잘 알려진 Satan 랜섬웨어와 동일한 방식으로 동작하는 Zero-day ransomware-as-a-service로, 제작자가 디스크의 파일을 암호화하는 랜섬웨어 페이로드를 제작 및 유포하면 공격자가 수익의 일부를 지불하는 방식이다. Cylance가 VirusTotal을 통해 확인한 결과, 전체 67개의 안티바이러스 소프트웨어 중 오직 7%만 이 새로운 악성코드를 탐지했다.
안드로이드 기기를 공격하는 새로운 암호화폐 채굴 봇넷이 탐지되었다. 새로 발견된 암호화폐 채굴 봇넷이 안드로이드 기기를 열린 ADB 포트를 통해 공격하고 있다. Qihoo 360의 NetLab 연구자들이 밝혀낸 바에 따르면, 지난주 포트 5555번을 대상으로 하는 이 공격이 시작되었다. 5555번 포트는 안드로이드 장치의 adb 디버그 인터페이스다. NetLab에서는 이 공격이 Mirai 봇넷에서 가져온 스캐닝 코드를 사용해, 웜^(worm) 처럼 확산될 수 있다고 밝혔다. 감염된 봇들은 추가 확산을 위해 5555번 adb 포트를 스캔한다. (6일에서 이어짐)

Detailed News List

ShurL0ckr 랜섬웨어
- _{[InfoSecurityMagazine]}
  ShurL0ckr Ransomware Evades Malware Detection in Google Drive, O365
- _{[DarkReading]}
  New Zero-Day Ransomware Evades Microsoft, Google Cloud Malware Detection
ADB.Miner
- _{[HelpNetSecurity]}
  Android devices roped into new Monero-mining botnet

Exploits/Vulnerabilities

Summaries

핫스팟실드^{(Hotspot Shield)}에 사용자 정보를 유출시킬 수 있는 취약점이 존재하는 것으로 드러났다. 유명 VPN 클라이언트 프로그램인 Hotspot Shield에서 사용자의 IP및 기타 정보를 유출시킬 수 있는 취약점이 존재하는 것으로 확인되었다. Paulos Yibelo라는 보안 연구가가 블로그 포스트를 통해 Hotspot Shield의 취약점을 공개했다. 블로그 포스트에 따르면, Hotspot Shield는 VPN client와 통신하기 위한 웹서버를 하드코딩된 127.0.0.1 아이피의 895번 포트로 실행한다. 이 서버에서는 민감정보를 제공하는 JSONP 엔드포인트를 가지고 있고, 여기서 환경설정 데이터와 같은 다양한 정보들이 제공된다는 것이다.
워드프레스^(WordPress)에서 서비스거부^(DoS) 취약점이 발견되었다. CVE-2018-6389인 이 취약점은 워드프레스 사이트에 대량의 트래픽을 동원하지 않고도 서비스거부 상태를 일으킬 수 있다. 이스라엘의 IT보안 연구가 Barak Tawily가 발견한 이 취약점은 워드프레스의 가장 최근 버젼인 4.9.2를 포함해, 지난 9년간 릴리즈된 워드프레스의 거의 모든 버젼에 존재한다. (6일에서 이어짐)
NSA내의 해킹팀에 의해 개발되고 Shadow Brokers에 의해 유출되었던 NSA의 익스플로잇 중 세가지 ^{EternalSynergy, EternalRomance, EternalChampion}이 업데이트 되어 윈도우즈 2000부터 2016까지 시스템들에서 동작하도록 새로 작성된 것이 확인되었다. ^{EternalSynergy, EternalRomance, EternalChampion}은 NotPetya 공격에 일부로 사용된 바 있긴 하지만, ^EternalBlue처럼 공격자들에 의해 많이 사용되지는 않았다. 그 이유는 최근의 윈도우즈 버젼들에서 동작하지 않았기 때문인데, RiskSense의 보안 연구가인 Sean Dillon이 이 익스플로잇들을 지난 18년간 릴리즈된 윈도우즈 버젼에서 동작하도록 포팅을 하면서 이 문제들이(?) 해결되었다. 새롭게 업데이트된 버젼(?)은 메타스플로잇 프레임워크로 포팅되었다. (6일에서 이어짐)

Detailed News List

Hotspot Shield
- _[ThreatPost]
  Hotspot Shield Vulnerability Could Reveal ‘Juicy’ Info About Users, Researcher Claims
- _{[HelpNetSecurity]}
  Hotspot Shield VPN flaw can betray users’ location
- _{[TheHackerNews]}
  Researcher Claims Hotspot Shield VPN Service Exposes You on the Internet
WordPress
- _{[NakedSecurity]}
  WordPress users – do an update now, and do it by hand!
- _{[GrahamCluley]}
  WordPress update stopped WordPress automatic updates from working. So update now
- _{[InformationSecurityBuzz]}
  Major WordPress Zero-Day Uncovered
NSA Exploits
- _{[InformationSecurityBuzz]}
  Leaked NSA Exploits Can Now Hack Any Windows Version
- _{[SecurityAffairs]}
  Researchers ported the NSA EternalSynergy, EternalRomance, and EternalChampion to Metasploit

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

우버_(Uber)가 2016년 데이터 침해사고 이후 GitHub 사용을 중단한다. 우버가 GitHub 계정에 다중인증^{(multifactor authentication)}을 사용하지 않았음을 인정했다. 그리고 오픈소스 프로젝트를 제외한 다른 프로젝트들은 GitHub 사용을 중단한다.
인기있는 RAT^{(Remote Access Trojan)}인 Luminosity가 호주, 유럽, 북미 당국의 연합작전을 통해 셧다운 되었다. Luminosity RAT은 공격자가 비밀리에 안티바이러스나 안티말웨어 프로그램을 비활성화 시켜 공격 대상을 감염시키고, 피해자들의 온라인 활동을 모니터링 하거나 키입력을 기록하고, 웹캠을 동작시켜 상대방을 감시하거나 로그인 정보와 같은 데이터를 훔칠 수 있게 한다. 유로폴에 따르면, 이 악성코드는 전 세계 78개국에 걸쳐 8,600명의 사용자를 가지고 있으며, 피해자들도 수천에 달한다. (6일에서 이어짐)

Detailed News List

Uber
- _{[InfoSecurityMagazine]}
  Uber CISO: “No Justification” for Failure to Disclose Massive Breach
- _{[TheRegister]}
  Uber quits GitHub for in-house code after 2016 data breach
Luminosity RAT
- _{[SecurityWeek]}
  Capable Luminosity RAT Apparently Killed in 2017
- _{[WeLiveSecurity]}
  UK-led police operation quashes Luminosity Link RAT

Vulnerability Patches/Software Updates

Summaries

Cisco가 ASA^{(Adaptive Security Appliance)}에 대한 새로운 패치를 릴리즈했다. Common Vulnerability Scoring System base score 10점 만점을 받았던 CVE-2018-0101에 대한 패치다. (7일에서 이어짐)
Adobe가 Flash 패치를 릴리즈했다. 어도비가 플래시 플레이어의 취약점을 수정하는 업데이트를 릴리즈했다. 원격의 공격자가 이 취약점을 공격해 영향을 받는 시스템을 장악 할 수 있는 취약점이다. (7일에서 이어짐)

Detailed News List

Cisco ASA
- _{[SecurityAffairs]}
  For the second time CISCO issues security patch to fix a critical vulnerability in CISCO ASA
- _{[DarkReading]}
  Cisco Issues New Patch for Critical ASA Vulnerability
- _[US-CERT]
  Cisco Releases Security Updates for Multiple Products
Adobe Flash
- _[ZDNet]
  Windows security: Microsoft issues Adobe patch to tackle Flash zero-day
- _{[BankInfoSecurity]}
  Flash Hack: Adobe Updates Plug-in After Zero-Day Attacks
- _{[SecurityAffairs]}
  Adobe rolled out an emergency patch that fixed CVE-2018-4878 flaw exploited by North Korea
- _{[InfoSecurityMagazine]}
  Adobe Issues Emergency Fix to Foil North Korean Hackers

Privacy

Summaries

스마트폰의 GPS기능이 꺼져 있어도, 사용자의 위치를 추적할 수 있는 방법이 확인되었다. 프린스턴 대학의 연구자들이 스마트폰에 저장된 비감각^{(non-sensory)} 및 감각^(sensory) 데이터(기압 및 시간대, 네트워크 상태, IP 주소 등)를 이용해 사용자의 위치를 추적할 수 있는 메커니즘을 고안해냈다. 이러한 데이터들은 사용자의 스마트폰에 저장되며, 어떤 응용프로그램이든 사용자의 허가 없이도 쉽게 접근할 수 있다. 연구원들은 GPS 기능이나, 기지국 정보/WiFi 네트워크의 SSID정보를 확인할 권한이 없는 응용프로그램을 사용했다.

Detailed News List

Tracking Location
- _{[HelpNetSecurity]}
  How to track smartphone users when they’ve turned off GPS
- _{[TheRegister]}
  Boffins crack smartphone location tracking – even if you’ve turned off the GPS

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

카스퍼스키에서 전세계 주유소^{(Gas station)}에서 사용하는 자동화 소프트웨어에서 원격의 해커가 공격할 수 있는 다수의 취약점들을 발견했다. 취약한 제품은 Orpak의 SiteOmat이다. 취약한 소프트웨어는 임베디드 리눅스 장치나 일반 PC에서 구동된다. 카스퍼스키의 연구원들은 1,000개 이상의 주유소가 인터넷으로부터의 원격 접근이 가능한 상태로 운영하는 것을 확인했으며, 이렇게 노출되어 있는 주유소중 절반 이상이 미국과 인도에 위치해 있는 것으로 나타났다. 확인된 취약점은 하드코딩된 인증정보 CVE-2017-14728, 크로스사이트스크립트^(XSS) CVE-2017-14850, SQL injection CVE-2017-14851, insecure communications CVE-2017-14852, 코드 인젝션 CVE-2017-14853, 원격 코드 실행 CVE-2017-14854 이다.

Detailed News List

Gas Station
- _{[SecurityWeek]}
  Automation Software Flaws Expose Gas Stations to Hacker Attacks

Security Newsletters, 2018 Feb 7th, X.509 이용한 은닉채널 外

Posted on 2018-02-07 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

ATM에 실제로 잭팟팅^{(Jackpotting)} 공격을 하던 범죄자들이 체포되었다. 악성코드를 사용해 ATM 기기의 현금을 모두 인출하도록 만드는 잭팟팅^{(Jackpotting)} 공격을 하던 용의자 두명이 코네티컷에서 체포되었다. 미 연방 당국은 두명을 체포해 기소했다. Citizen Bank에서는 자신들의 ATM에 공격이 진행중임을 탐지하여 경찰에 연락했고, 경찰은 근처에서 20달러 지폐로 90,000달러 이상을 지니고 있던 Fajin-Diaz와 Rodriguez를 찾아냈다. 이들의 차량에는 ATM jackpotting 공격에 사용되는 도구들과 전자장비들이 실려있었다. (6일에서 이어짐)

Detailed News list

ATM Jackpotting attack
- _{[SecurityWeek]}
  Duo Charged Over ATM “Jackpotting” Attacks
- _{[BankInfoSecurity]}
  Feds Charge Two ATM Jackpotting Malware Suspects
- _{[TheRegister]}
  Cops find ATM spewing cash, car with dodgy plates, stack of $20 bills and hacking kit inside

Malwares

Summaries

안드로이드 기기를 공격하는 새로운 암호화폐 채굴 봇넷이 탐지되었다. 새로 발견된 암호화폐 채굴 봇넷이 안드로이드 기기를 열린 ADB 포트를 통해 공격하고 있다. Qihoo 360의 NetLab 연구자들이 밝혀낸 바에 따르면, 지난주 포트 5555번을 대상으로 하는 이 공격이 시작되었다. 5555번 포트는 안드로이드 장치의 adb 디버그 인터페이스다. NetLab에서는 이 공격이 Mirai 봇넷에서 가져온 스캐닝 코드를 사용해, 웜^(worm) 처럼 확산될 수 있다고 밝혔다. 감염된 봇들은 추가 확산을 위해 5555번 adb 포트를 스캔한다. (6일에서 이어짐)

Detailed News List

ADB.Miner
- _{[EHackingNews]}
  A New Botnet Targeting to Infect Android Devices with Malware that Mines the Monero Cryptocurrency
- _{[TheHackerNews]}
  Watch Out! New Cryptocurrency-Mining Android Malware is Spreading Rapidly
- _[ZDNet]
  ADB.Miner worm is rapidly spreading across Android devices
- _{[SecurityAffairs]}
  ADB.Miner, the Android mining botnet that targets devices with ADB interface open

Exploits/Vulnerabilities

Summaries

TLS/SSL 인증서를 이용해 방화벽에 탐지되지 않고 은닉채널^{(Covert channel)}을 만들 수 있는 취약점이 발견되었다. 인증서가 교환되는 방법을 하이재킹해 C&C 통신에 사용할 수 있는 방법이 발견되었다. 해당 내용을 발표한 연구가에 의하면, 아직까지 이 방법을 이용한 사례는 발견된 바 없다.
워드프레스^(WordPress)에서 서비스거부^(DoS) 취약점이 발견되었다. CVE-2018-6389인 이 취약점은 워드프레스 사이트에 대량의 트래픽을 동원하지 않고도 서비스거부 상태를 일으킬 수 있다. 이스라엘의 IT보안 연구가 Barak Tawily가 발견한 이 취약점은 워드프레스의 가장 최근 버젼인 4.9.2를 포함해, 지난 9년간 릴리즈된 워드프레스의 거의 모든 버젼에 존재한다. (6일에서 이어짐)
NSA내의 해킹팀에 의해 개발되고 Shadow Brokers에 의해 유출되었던 NSA의 익스플로잇 중 세가지 ^{EternalSynergy, EternalRomance, EternalChampion}이 업데이트 되어 윈도우즈 2000부터 2016까지 시스템들에서 동작하도록 새로 작성된 것이 확인되었다. ^{EternalSynergy, EternalRomance, EternalChampion}은 NotPetya 공격에 일부로 사용된 바 있긴 하지만, ^EternalBlue처럼 공격자들에 의해 많이 사용되지는 않았다. 그 이유는 최근의 윈도우즈 버젼들에서 동작하지 않았기 때문인데, RiskSense의 보안 연구가인 Sean Dillon이 이 익스플로잇들을 지난 18년간 릴리즈된 윈도우즈 버젼에서 동작하도록 포팅을 하면서 이 문제들이(?) 해결되었다. 새롭게 업데이트된 버젼(?)은 메타스플로잇 프레임워크로 포팅되었다. (6일에서 이어짐)
대한민국 사용자들을 노린 공격에서 플래시^(Flash)의 제로데이 익스플로잇이 확인되었다. KISA에 따르면, 최신의 플래시 플레이어 28.0.0.137과 그 이전버젼을 공격 대상으로 삼는 북한 해커들의 플래시 제로데이 취약점 공격이 확인되었다. 이 제로데이 취약점은 문서파일이나, 웹페이지, 플래시 파일을 포함한 이메일을 여는 것으로 공격당할 수 있다. 2017년 11월 중순부터 이러한 공격이 이어졌다. (2일에서 이어짐)

Detailed News List

Flaw in TLS/SSL Certificates
- _{[InfoSecurityMagazine]}
  Flaw in TLS/SSL Certificates Allows Covert Data Transfer
- _{[SecurityWeek]}
  TLS-Abusing Covert Data Channel Bypasses Network Defenses
- _{[SecurityAffairs]}
  Abusing X.509 Digital Certificates to establish a covert data exchange channel
- _{[TheRegister]}
  X.509 metadata can carry information through the firewall
WordPress
- _[Imperva]
  CVE-2018-6389 WordPress Parameter Resource Consumption Remote DoS
- _{[SecurityWeek]}
  One Computer Can Knock Almost Any WordPress Site Offline
- _{[InformationSecurityBuzz]}
  Serious DoS Flaw Spotted In WordPress Platform
NSA Exploits
- _{[SecurityWeek]}
  NSA-Linked Hacking Tools Ported to Metasploit
Adobe flash
- _{[TheRegister]}
  Adobe: Two critical Flash security bugs fixed for the price of one
- _{[DarkReading]}
  Adobe Patches Flash Zero-Day Used in South Korean Attacks
- _{[SecurityWeek]}
  Adobe Patches Flash Zero-Day Exploited by North Korean Hackers

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

인기있는 RAT^{(Remote Access Trojan)}인 Luminosity가 호주, 유럽, 북미 당국의 연합작전을 통해 셧다운 되었다. Luminosity RAT은 공격자가 비밀리에 안티바이러스나 안티말웨어 프로그램을 비활성화 시켜 공격 대상을 감염시키고, 피해자들의 온라인 활동을 모니터링 하거나 키입력을 기록하고, 웹캠을 동작시켜 상대방을 감시하거나 로그인 정보와 같은 데이터를 훔칠 수 있게 한다. 유로폴에 따르면, 이 악성코드는 전 세계 78개국에 걸쳐 8,600명의 사용자를 가지고 있으며, 피해자들도 수천에 달한다. (6일에서 이어짐)
33세의 영국인 활동가인 Lauri Love는 2013년에 미 육군 및 NASA, 그리고 기타 여러 연방 기관에 대한 사이버 범죄 혐의로 기소되었다. 그리고 Love는 영국에서 체포되었다가 보석금을 내고 풀려났으나, 미국에서의 재판을 위한 송환을 놓고 다퉈왔다. 그리고 결국 미국으로의 송환을 하지 않는다는 법원의 결정이 내려졌다. (6일에서 이어짐)

Detailed News List

Luminosity RAT
- _{[SecurityAffairs]}
  Crime ring linked to Luminosity RAT dismantled by an international law enforcement operation
Lauri Love
- _[TechDirt]
  Hacker Lauri Love Wins Extradition Appeal; Won’t Be Shipped Off To The US
- _[ZDNet]
  Hacking suspect Lauri Love wins landmark appeal against US extradition
- _{[InfoSecurityMagazine]}
  Alleged US Government Hacker Love Wins Extradition Case
- _{[BankInfoSecurity]}
  British Hacking Suspect Avoids Extradition
- _{[SecurityAffairs]}
  Popular British hacktivist Lauri Love will not be extradited to US, UK Court Ruled

Vulnerability Patches/Software Updates

Summaries

Cisco가 ASA^{(Adaptive Security Appliance)}에 대한 새로운 패치를 릴리즈했다. Common Vulnerability Scoring System base score 10점 만점을 받았던 CVE-2018-0101에 대한 패치다.
Adobe가 Flash 패치를 릴리즈했다. 어도비가 플래시 플레이어의 취약점을 수정하는 업데이트를 릴리즈했다. 원격의 공격자가 이 취약점을 공격해 영향을 받는 시스템을 장악 할 수 있는 취약점이다.

Detailed News List

Cisco
- _[ThreatPost]
  Cisco Issues New Patches for Critical Firewall Software Vulnerability
- _[ZDNet]
  Cisco: You need to patch our security devices again for dangerous ASA VPN bug
- _{[HelpNetSecurity]}
  Cisco issues new, complete fixes for critical flaw in enterprise security appliances
- _{[SecurityWeek]}
  Cisco Reissues Patches for Critical Firewall Flaw
Adobe Flash
- _[US-CERT]
  Adobe Releases Security Updates for Flash Player

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

40년된 OpenVMS 시스템에서 취약점이 발견되어, 그에 대한 패치가 릴리즈 되었다. Digital Equipment Corporation의 VAX 및 Alpha 프로세서를 사용하는 40년된 OpenVMS 운영체에서 권한 상승^{(privilege-escalation)}이 가능한 취약점에 대한 패치가 공개되었다. HP에 의해 서포트되고 있는 이 운영체제는 안정성으로 유명하며, 역사적으로 핵발전소 및 공정 관리 시스템과 같은 고가용성^{(high availability)}을 요구하는 핵심 비즈니스 시스템에 사용되어 왔다. 권한상승 취약점인 CVE-2017-17842에 대한 패치가 공개되었다. 취약점에 대한 자세한 세부내용은, 관리자들이 영향을 받는 시스템을 패치할 시간을 제공한 뒤 3월에 공개될 예정이다.

Detailed News List

OpenVMS
- _[ZDNet]
  Mission-critical system alert: 40-year-old OpenVMS hit by exploitable bug

Security Newsletters, 2018 Feb 6th, 개선된 세가지 NSA 익스플로잇 外

Posted on 2018-02-06 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

ATM에 실제로 잭팟팅^{(Jackpotting)} 공격을 하던 범죄자들이 체포되었다. 악성코드를 사용해 ATM 기기의 현금을 모두 인출하도록 만드는 잭팟팅^{(Jackpotting)} 공격을 하던 용의자 두명이 코네티컷에서 체포되었다. 미 연방 당국은 두명을 체포해 기소했다. Citizen Bank에서는 자신들의 ATM에 공격이 진행중임을 탐지하여 경찰에 연락했고, 경찰은 근처에서 20달러 지폐로 90,000달러 이상을 지니고 있던 Fajin-Diaz와 Rodriguez를 찾아냈다. 이들의 차량에는 ATM jackpotting 공격에 사용되는 도구들과 전자장비들이 실려있었다.

Detailed News list

ATM Jackpotting attack
- _[CyberScoop]
  Oh, banks have cameras? Two men arrested for ATM jackpotting scheme must’ve forgot
- _{[DarkReading]}
  Two Suspects Arrested in ‘Jackpotting’ Attack in Connecticut

Malwares

Summaries

안드로이드 기기를 공격하는 새로운 암호화폐 채굴 봇넷이 탐지되었다. 새로 발견된 암호화폐 채굴 봇넷이 안드로이드 기기를 열린 ADB 포트를 통해 공격하고 있다. Qihoo 360의 NetLab 연구자들이 밝혀낸 바에 따르면, 지난주 포트 5555번을 대상으로 하는 이 공격이 시작되었다. 5555번 포트는 안드로이드 장치의 adb 디버그 인터페이스다. NetLab에서는 이 공격이 Mirai 봇넷에서 가져온 스캐닝 코드를 사용해, 웜^(worm) 처럼 확산될 수 있다고 밝혔다. 감염된 봇들은 추가 확산을 위해 5555번 adb 포트를 스캔한다.
MacUpdate 해킹을 통해 유포되는 새로운 맥OS의 암호화폐 채굴 악성코드가 확인되었다. (3일에서 이어짐)

Detailed News List

Crypto-mining botnet targets Android Devices
- _{[SecurityWeek]}
  Crypto-mining Botnet Targets Android Devices
- _[ThreatPost]
  New Monero Crypto Mining Botnet Leverages Android Debugging Tool
MacUpdate
- _{[SecurityWeek]}
  MacUpdate Distributes Mac Crypto-Mining Malware
- _{[HelpNetSecurity]}
  Mac crypto miner distributed via MacUpdate, other software download sites

Exploits/Vulnerabilities

Summaries

워드프레스^(WordPress)에서 서비스거부^(DoS) 취약점이 발견되었다. CVE-2018-6389인 이 취약점은 워드프레스 사이트에 대량의 트래픽을 동원하지 않고도 서비스거부 상태를 일으킬 수 있다. 이스라엘의 IT보안 연구가 Barak Tawily가 발견한 이 취약점은 워드프레스의 가장 최근 버젼인 4.9.2를 포함해, 지난 9년간 릴리즈된 워드프레스의 거의 모든 버젼에 존재한다.
NSA내의 해킹팀에 의해 개발되고 Shadow Brokers에 의해 유출되었던 NSA의 익스플로잇 중 세가지 ^{EternalSynergy, EternalRomance, EternalChampion}이 업데이트 되어 윈도우즈 2000부터 2016까지 시스템들에서 동작하도록 새로 작성된 것이 확인되었다. ^{EternalSynergy, EternalRomance, EternalChampion}은 NotPetya 공격에 일부로 사용된 바 있긴 하지만, ^EternalBlue처럼 공격자들에 의해 많이 사용되지는 않았다. 그 이유는 최근의 윈도우즈 버젼들에서 동작하지 않았기 때문인데, RiskSense의 보안 연구가인 Sean Dillon이 이 익스플로잇들을 지난 18년간 릴리즈된 윈도우즈 버젼에서 동작하도록 포팅을 하면서 이 문제들이(?) 해결되었다. 새롭게 업데이트된 버젼(?)은 메타스플로잇 프레임워크로 포팅되었다.
지난 주 10점 만점을 받아 주목을 받았던 시스코^(Cisco) ASA의 원격 코드 실행 취약점이 시스코의 조사결과, 발표 내용보다 더 심각한 것으로 보인다는 기사가 공개되었다. 지난주에 공개되었던 이 취약점은 Adaptive Security Appliance 장치에 영향을 미치는 취약점이다. 시스코의 조사에 따르면 보안 패치가 문제점 전체를 수정하지 못하는 것이 확인되었으며 그에 따라 새로운 패치를 공개했다.
아마존의 키^(Key) 서비스에 대한 새로운 취약점이 공개되었다. 지난 11월 아마존이 택배 배달부와 같은 사람들에게 원격으로 출입문을 개방해 줄 수 있는 키 서비스를 공개한 이후 해커가 키 서비스의 카메라를 비활성화 할 수 있다는 취약점이 발표된 바 있다. 이번에는 택배 배달원의 일회용 비밀번호가 사용되고 난 후 어떻게 잠긴 출입문을 접근할 수 있는지를 시연하는 동영상이 트위터를 통해 공개되었다. 자세한 기술적인 내용은 공개되지 않았다. 동영상에서 공격자는 아마존 키를 제어할 수 있는, WiFi 기능을 가진 소형PC로 보이는 ‘드랍박스^(Dropbox)‘라는 기기를 사용하는 것으로 보인다.
대한민국 사용자들을 노린 공격에서 플래시^(Flash)의 제로데이 익스플로잇이 확인되었다. KISA에 따르면, 최신의 플래시 플레이어 28.0.0.137과 그 이전버젼을 공격 대상으로 삼는 북한 해커들의 플래시 제로데이 취약점 공격이 확인되었다. 이 제로데이 취약점은 문서파일이나, 웹페이지, 플래시 파일을 포함한 이메일을 여는 것으로 공격당할 수 있다. 2017년 11월 중순부터 이러한 공격이 이어졌다. (2일에서 이어짐)

Detailed News List

WordPress DoS flaw
- _{[SecurityAffairs]}
  Almost all WordPress websites could be taken down due to unpatched CVE-2018-6389 DoS flaw
- _{[TheHackerNews]}
  Unpatched DoS Flaw Could Help Anyone Take Down WordPress Websites
3 NSA exploits
- _[CSOOnline]
  3 leaked NSA exploits tweaked to work on all Windows versions since Windows 2000
- _[TripWire]
  Three Leaked NSA Exploits Rewritten to Affect All Windows OSes Since Windows 2000
Cisco ASA Remote Code Execution
- _[CyberScoop]
  Cisco investigation reveals ASA vulnerability is worse than originally thought
- _[Cisco]
  Understanding the Attack Vectors of CVE-2018-0101 – Cisco ASA Remote Code Execution and Denial of Service Vulnerability
Amazon Key
- _{[SecurityAffairs]}
  Hacking Amazon Key – Hacker shows how to access a locked door after the delivery
- _{[TheRegister]}
  Knock, knock. Who’s there? Another Amazon Key door-lock hack
Flash Zero-Day
- _{[MalwarebytesLabs]}
  New Flash Player zero-day comes inside Office document
- _{[InfoSecurityMagazine]}
  Adobe Flash Zero-Day Spotted in the Wild
- _{[SecurityAffairs]}
  Cisco and FireEye Pointing Finger at North Korea Hacking Group For Adobe Flash 0-Day In The Wild
- _{[GrahamCluley]}
  It’s time to say ‘Welcome to dumpsville Adobe Flash’, as new unpatched flaw exploited by criminals
- _{[HelpNetSecurity]}
  About the Flash zero-day currently exploited in the wild
- _{[SecurityWeek]}
  Flash Zero-Day Attacks Analyzed by FireEye, Cisco
- _[ZDNet]
  South Korea identifies Flash 0-day in the wild

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

Kelihos 봇넷 운영자가 스페인에서 미국으로 송환^(extradited)되었다. 37세의 러시아 국적의 Lavashov는 2017년 4월에 스페인 당국에 의해 체포되어 그 이후로 쭉 구금되어 왔다. 러시아는 미국으로의 그의 송환을 저지하려는 시도를 하기도 했다. Levashov는 자신이 푸틴의 United Russia 정당에서 일했으며, 미국으로 송환되면 죽임을 당할 것이라 두려워 하기도 했다. 미 당국에 따르면 Levashov는 Kelihos 봇넷을 운영했고, 이를 통해 스팸을 발송하거나 개인정보를 수집하고, 기타 다른 악성코드를 유포했다.
인기있는 RAT^{(Remote Access Trojan)}인 Luminosity가 호주, 유럽, 북미 당국의 연합작전을 통해 셧다운 되었다. Luminosity RAT은 공격자가 비밀리에 안티바이러스나 안티말웨어 프로그램을 비활성화 시켜 공격 대상을 감염시키고, 피해자들의 온라인 활동을 모니터링 하거나 키입력을 기록하고, 웹캠을 동작시켜 상대방을 감시하거나 로그인 정보와 같은 데이터를 훔칠 수 있게 한다. 유로폴에 따르면, 이 악성코드는 전 세계 78개국에 걸쳐 8,600명의 사용자를 가지고 있으며, 피해자들도 수천에 달한다.
33세의 영국인 활동가인 Lauri Love는 2013년에 미 육군 및 NASA, 그리고 기타 여러 연방 기관에 대한 사이버 범죄 혐의로 기소되었다. 그리고 Love는 영국에서 체포되었다가 보석금을 내고 풀려났으나, 미국에서의 재판을 위한 송환을 놓고 다퉈왔다. 그리고 결국 미국으로의 송환을 하지 않는다는 법원의 결정이 내려졌다.

Detailed News List

Lavashov
- _{[SecurityWeek]}
  Alleged Kelihos Botnet Mastermind Extradited to U.S.
- _{[BankInfoSecurity]}
  Accused Russian Botnet Mastermind Extradited to US
- _{[KrebsOnSecurity]}
  Alleged Spam Kingpin ‘Severa’ Extradited to US
Luminosity
- _[HackRead]
  Authorities shut down Luminosity RAT used by buyers in 78 countries
- _[ZDNet]
  LuminosityLink spyware giving attackers total control of your PC is taken out by cops
- _{[SecurityWeek]}
  Hackers Linked to Luminosity RAT Targeted by Law Enforcement
- _{[HelpNetSecurity]}
  Investigation uncovers Luminosity Link RAT distributors, victims are in the thousands
Lauri Love
- _{[BankInfoSecurity]}
  British Hacking Suspect Avoids Extradiction
- _{[TheRegister]}
  Lauri Love judgment: Extradition would be ‘oppressive’ and breach forum bar
- _{[GrahamCluley]}
  Lauri Love won’t be extradited to the United States to face hacking charges
- _{[NakedSecurity]}
  Alleged hacker Lauri Love avoids US extradition: “Try him in England”
- _{[TheHackerNews]}
  British Hacker ‘Lauri Love’ will not be extradited to US, Court Rules
- _[HackRead]
  British Hacker Lauri Love will not be extradited to the United States
- _{[SecurityWeek]}
  UK Judges Block US Extradition of Alleged Hacker Lauri Love
- _[TripWire]
  Lauri Love Won’t Be Extradited to the United States for Alleged Hacking Crimes
- _{[TheRegister]}
  Accused Brit hacker Lauri Love will NOT be extradited to America