Caution
This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
- 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.
Newsletters
Malwares
Summaries
- 중국 사이버 범죄조직에서 이미 500만대의 안드로이드 기기들을 감염시킨 거대 봇넷(Botnet)을 만들었다. 체크포인트(Check Point)의 연구원들에 의해 사이버 범죄자들이 감염된 기기에서 지속적으로 광고를 노출시키는 RottenSys라는 악성코드로 안드로이드 기기들을 감염시키고 있음을 확인했다. RottenSys 악성코드는 탐지회피를 위해 두가지 방법을 사용한다. 첫번째로는 설정된 시간까지 작동을 지연시키는 기능을 가지고 있으며, 처음에는 어떠한 악성행위도 하지 않는 드롭퍼(Dropper)를 사용한다.
- Qrypter RAT이 전세계 243개 기관을 2월에만 전세계 243개 기관을 노렸다. Qarallax, Quaverse, QRAT, Qontroller라고도 불리는 이 원격제어트로이(RAT, Remote Access Trojan)의 새로운 변종이 전세계에 걸쳐 2백여개 기관에 유포되었다. 이 악성코드는 Forcepoint에 의해 이미 몇 년 전에 발견되었다. 최초로 분석된 것은 2016년 6월 스위스에서 미국 비자를 신청한 개인들을 노린 공격 이후였다. Qrypter RAT의 제작자는 Malware-as-a-Service(MAAS) 플랫폼을 운영하는 QUA R&D라는 언더그라운드 그룹이다. Qrypter RAT은 자바기반의 원격제어트로이로 ROT기반의 C&C 서버들을 이용한다. 이 악성코드는 악성 스팸 캠페인을 통해 유포되고, 지난 2월에 연구원들에 의해 목격된 세 건의 캠페인에서 243개 기관을 공격했다.
- PinkKite라 명명된 새로운 판매시점관리(PoS, Point-of-Sale)시스템 악성코드가 탐지되었다. 처음 확인된 것은 2017년 Kroll Cyber Security의 연구원들에 의해서였다. 12월에 끝난 9달 간의 대규모 POS 악성코드 캠페인을 조사한 결과다. 지난 금요일에 열린 Kaspersky Lab의 Security Analyst Summit에서 발표한 Courtney Dayter와 Matt Bromiley에 따르면, 이 캠페인이 PinkKite가 처음 탐지된 캠페인인 것으로 추정된다. PinkKite는 6K가 안되는 크기로, TinyPOS나 AbaddonPOS와 같은 기타 다른 소형 POS 악성코드와 유사하다. PinkKite는 메모리 스크래핑 및 데이터 검증 도구를 내장하고 있다. Dayter에 따르면, PinkKite가 다른 악성코드와 차별점을 갖는 부분은 내장된 영속성 메커니즘, 하드코딩된 이중 XOR암호화, 데이터 유출을 위해 사용하는 백엔드 인프라다. 일반적으로 POS 악성코드는 데이터를 C2 서버로 직접보내는데 반해, PinkKite 배후의 범죄자들은 대한민국, 캐나다, 네덜란드에 위치한 세 곳의 정보센터(Clearinghouses)로 데이터를 전송했다. (15일에서 이어짐)
Detailed News List
- RottenSys Botnet
- Qrypter RAT
- [SecurityAffairs]
Qrypter RAT hits 243 organizations worldwide in February - [SecurityWeek]
Qrypter RAT Hits Hundreds of Organizations Worldwide
- [SecurityAffairs]
- PinkKite
- [ITSecurityGuru]
New PoS malware PinkKite takes flight - [TripWire]
Unique Data Exfiltration Method Makes PinkKite POS Malware Stand Out - [SecurityAffairs]
Experts discovered a new tiny Pos Malware dubbed Pinkkite
- [ITSecurityGuru]
Exploits/Vulnerabilities
Summaries
- 캐나다 밴쿠버에서 열린 CanSecWest 컨퍼런스의 Pwn2Own 첫날에 마이크로소프트의 Edge, 오라클의 VirtualBox, 애플의 Safari가 해킹당했다. Pwn2Own의 첫날에는 오직 4명만이 참가했다. 두번째 날은 Safari 두건, Mozilla Firefox 대상 한 건해서 총 세번의 도전이 예정되어있다. 작년의 약 30여명의 참가자 수, 3일로 늘어났던 일정, 51건의 취약점 기록 및 80만달러의 총 상금이라는 최고기록에 비하면 적은 수치다. Pwn2Own을 주관하는 ZDI(Zero Day Initiative)는 많은 수의 화이트햇 해커들이 등록했지만, 그들의 취약점이 마이크로소프트의 최신 보안 업데이트에 의해 패치되는 등의 다양한 이유로 대회에서 제외될 수 밖에 없었다고 밝혔다.
- Hotspot Shield, PureVPN, ZenMate와 같은 유명 VPN 서비스에서 사용자의 IP를 노출시키는 취약점이 발견되었다. VPN Mentor에 따르면, VPN Mentor는 해커 세 명과 테스트를 진행했고 세가지 VPN서비스 모두가 사용자의 IP주소를 유출한다는 결론을 내렸다. 이번에 발견된 취약점은 데스크탑이나 스마트폰 앱이 아닌 크롬 브라우저 플러그인에 존재하는 취약점이다. 발견된 취약점들은 CVE-2018-7878, CVE-2018-7879, CVE-2018-7880이다. (15일에서 이어짐)
- AMD 칩에서 새로운 취약점이 발견되었다. 이스라엘의 사이버보안기업 CTS Labs에서 웹사이트를 만들어 AMD의 EPYC, Ryzen, Ryzen Pro, Ryzen 프로세서들의 13개 보안 취약점 정보를 공개했다. 이 칩들은 노트북, 모바일 기기, 서버등에 사용된다. 취약점에는 공격자가 악성코드를 AMD의 칩에 주입할 수 있도록 하는 백도어들이 포함되어 있다. 이런 악성코드들은 공격자에게 AMD 프로세서를 장악하고, 네트워크 인증정보를 훔치거나, 악성코드를 설치하고 보호된 메모리 영역을 읽고 쓸 수 있게 한다. CTS Labs는 취약점 정보를 amdflaws.com이라는 웹사이트를 통해 공개했다. (14일에서 이어짐)
Detailed News List
- Pwn2Own
- [CSOOnline]
Pwn2Own: Microsoft Edge and Apple Safari fall on day 1 - [SecurityWeek]
Edge, VirtualBox, Safari Hacked at Pwn2Own 2018
- [CSOOnline]
- VPN Services
- [TheHackerNews]
Warning – 3 Popular VPN Services Are Leaking Your IP Address - [SecurityAffairs]
VPN leaks affect 3 Major VPN vendors, only Hotspot Shield promptly fixed it - [TheRegister]
VPN tests reveal privacy-leaking bugs
- [TheHackerNews]
- AMD
- [Threatpost]
Hyperbole Swirls Around AMD Processor Security Threat - [InformationSecurityBuzz]
AMD Ryzen & EPYC Vulnerabilities - [SecurityWeek]
CTS Labs Provides Clarifications on AMD Chip Flaws - [EHackingNews]
Researchers Discover Critical Flaws Inside AMD’s Processors - [ITSecurityGuru]
Researchers Who Found AMD CPU Flaws Explain Chaotic Disclosure - [TheSecurityLedger]
Damning Report Has AMD Investigating Critical Vulnerabilities in Ryzen, EPYC Chips
- [Threatpost]