Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] Dark Web

Security Newsletters, 2018 Mar 9th, Memcached 증폭공격 킬 스위치 外

Posted on 2018-03-09 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 북한의 사이버 스파이 그룹이 터키 금융 기관들을 대상으로 사이버 공격을 진행중이라는 리포트가 나왔다. 히든코브라(Hidden Corba)라고도 불리는 북한과 관련된 것으로 추정되는 해킹그룹이 터키의 금융 기관으로 눈을 돌린 것으로 보인다. McAfee는 목요일 리포트를 통해 이와같이 밝혔다. 맥아피가 발견한 악성코드는 Bankshot이라 명명되었으며 2017년에 발견되었고, 장악한 침해 시스템에서의 추후 공격을 위한 영속성 확보를 위해 설계되었다.
  • 평창 동계 올림픽에 대한 사이버 공격의 배후가 북한이 아니었으며, 북한으로 보이도록 의도적으로 위장한 공격이었다는 리포트가 이어졌다. 2018 동계 올림픽 인프라에 장애를 가져왔던 악성코드에 대한 면밀한 조사결과, 그 배후가 북한으로 보이도록 만들기 위한 의도가 있었는 리포트가 공개되었다. 평창동계올림픽 첫날 Olympic Destroyer라는 악성코드에 의해 매인 웹사이트가 다운되고 행사장 주변 WiFi 네트워크가 중단되며, 서버의 데이터가 지워지는 사태가 발생했었다. 그리고 이어지는 몇주간 여러 공격들이 Lazarus Group이라고도 알려진 북한 배후의 해킹그룹의 소행이라는 분석이 계속되었다. 그러나 이번에 카스퍼스키랩 엔지니어들은 Lazarus Group이 코드를 작성하지 않았다고 주장한다.

Detailed News list

  • NK Targeting Turkish Financial Orgs
    • [DarkReading]
      North Korea Threat Group Targeting Turkish Financial Orgs
    • [InfoSecurityMagazine]
      Hidden Cobra Coils and Strikes at Turkish Banks
    • [McAfee]
      Hidden Cobra Targets Turkish Financial Sector With New Bankshot Implant
  • False Flag
    • [DarkReading]
      Olympic Destroyer’s ‘False Flag’ Changes the Game
    • [TheRegister]
      Analysis suggests North Korea not behind Olympic Destroyer malware attack
    • [SecurityWeek]
      Sophisticated False Flags Planted in Olympic Destroyer Malware
    • [ThreatPost]
      Olympic Destroyer: A False Flag Confusion Bomb
    • [Securelist]
      OlympicDestroyer is here to trick the industry

 

Exploits/Vulnerabilities

Summaries

  • Memcached 취약점을 이용한 DDoS 증폭 공격에 관련된 기사가 이어지는 가운데, 이 공격을 중단시킬 수 있는 킬스위치(Killswitch)가 발견되었다는 기사가 공개되었다. Memcached의 취약점을 이용한 DDoS 공격이 나날이 신기록을 갱신하는 가운데, 누군가 증폭공격(amplification attack)의 개념증명(PoC, Proof-of-Concept)코드를 공개해 상황이 더 악화되는 것으로 보였다. GitHub은 최초 공격대상으로 1.35Tbps의 DDoS를 겪었으며, 알려지지 않은 미국의 회사는 1.7Tbps라는 사상최고치의 DDoS 공격을 당했다. 그러나 이번에는 Coreno Network Security에서 Kill Switch를 발견했으며, 이 DDoS 공격을 예방할 수 있다고 밝혔다. 연구자들에 따르면, 이번에 확인된 킬 스위치는 악성 페이로드를 포함한 취약한 서버의 캐시를 무효화해서, DDoS 공격을 제어하기 위한 명령을 공격자의 서버로 되돌려보낸다. Corero의 연구자들은 이미 공격 서버에 대해 테스트를 진행하고 100% 효과적임을 확인했다고 밝혔다.

Detailed News List

  • Killswitch for Memcached DDoS Attack
    • [InformationSecurityBuzz]
      On Discovery Of Memcached DDoS Attack Kill Switch
    • [InfoSecResources]
      Memcrashed – the dangerous trend behind the biggest-ever DDoS attack
    • [HackRead]
      Kill Switch Can Mitigate Massive DDoS Attacks Via Memcached Servers
    • [SecurityAffairs]
      Corero Network discovered a Kill Switch for Memcached DDoS attacks
    • [SecurityAffairs]
      Two PoC exploits for Memcached DDoS attacks have been released online
    • [WeLiveSecurity]
      New DDoS attack method breaks record again, adds extortion
    • [BankInfoSecurity]
      Memcached DDoS Attacks: 95,000 Servers Vulnerable to Abuse
    • [ZDNet]
      Memcached DDoS: This ‘kill switch’ can stop attacks dead in their tracks
    • [InfoSecurityMagazine]
      Memcached Flaw Kill Switch Could Foil DDoS-ers
    • [TheHackerNews]
      ‘Kill Switch’ to Mitigate Memcached DDoS Attacks — Flush ‘Em All

 

Vulnerability Patches/Software Updates

Summaries

  • Cisco에서 Cisco 제품 소프트웨어의 하드코딩된 비밀번호를 포함해 치명적인 취약점들을 수정했다. 최근 시스코에서 릴리즈한 보안 업데이트에 두가지 치명적인 취약점에 대한 권고문이 포함되었다. 첫번째는 하드코딩된 비밀번호로, CVE-2018-0141이다. 로컬의 공격자가 대상 장치를 완전하게 제어할 수 있는 취약점이다. 두번째 취약점은 CVE-2018-0147로, 자바 deserialization 취약점이다. Cisco Access Control System(ACS)에 영향을 미치며, 인증받지않은(unauthenticated) 원격의 공격자가 취약한 장비에서 임의의 명령을 root 권한으로 실행시킬 수 있다.

Detailed News List

  • Cisco
    • [TheHackerNews]
      Hard-Coded Password in Cisco Software Lets Attackers Take Over Linux Servers
    • [SecurityAffairs]
      Hardcoded password and Java deserialization flaws found in Cisco products
    • [ZDNet]
      Cisco: Update now to fix critical hardcoded password bug, remote code execution flaw
    • [HelpNetSecurity]
      Cisco fixes critical flaw in its Secure Access Control System
    • [TheRegister]
      Sigh. Cisco security kit has Java deserialisation bug and a default password SNAFU

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • 독일 경찰이 다크웹 마켓 Hansa를 수사하는 과정에서 어떻게 관리자 권한을 획득할 수 있었는지에 대해서 자세한 내용을 공개했다. Hansa 다크웹 마켓에 대한 체포는 독일 경찰에 의해 국영방송으로 생중계 되었다. 이는 수사관들이 사이트를 운영하고 있었기에 가능했다. 그리고 지난 목요일 어떻게 이런일이 가능했는지에 대해 공개했다. 2016년 비트디펜더(Bitdefender)는 독일경찰에게 Hansa가 네덜란드에서 호스팅되고 있음을 귀띔해줬다. 이 소식을 들은 독일은, 여러 단계로 나누어 Hansa의 명성을 무너뜨리고, 모든 공급업자를 확인하며, 그들의 BitCoin을 압수할 계획을 세웠다. 2016년 10월, 경찰은 Hansa의 private 서버의 복사본을 만들어 그들 자체 네트워크내에 재구성했다. 그리고 관리자 페이지와 독일국적의 사이트 운영자 두명의 채팅로그를 확보했다.

Detailed News List

  • Dutch police and Hansa
    • [TheRegister]
      Dutch police detail how they became the admins for Hansa dark web market

 

Crypto Currencies/Crypto Mining

Summaries

  • 새로운 채굴 악성코드가 발견되었다. 이 악성코드는 단 몇시간만에 50만대 이상의 컴퓨터를 감염시키는 확산 속도를 보여줬다. Dofoil 또는 Smoke Loader라 명명된 이 악성코드는 감염된 윈도우즈 컴퓨터에서 일렉트로니움 코인을 채굴하는 암호화폐 채굴기를 드랍한다. 3월 6일 윈도우즈 디펜더에서 갑작스레 8만대의 Dofoil 변종이 탐지되어 Microsoft Defender research department에 경고가 발령되었다. 이후 12시간동안 40만대 이상의 감염이 기록되었다. 연구팀에서는 러시아, 터키, 우크라이나에 걸쳐 진행된 이 확산이 암호화폐 채굴 페이로드를 운반하며, 탐지 회피를 위해 적법한 윈도우즈 바이너리로 위장한 것을 확인했다.

Detailed News List

  • Mining Malware
    • [InfoSecurityMagazine]
      Massive Coin-Mining Attempt Targets Nearly Half a Million PCs
    • [TheHackerNews]
      New Cryptocurrency Mining Malware Infected Over 500,000 PCs in Just Few Hours

 

Posted in Security, Security NewsTagged Amplification attack, Bankshot, Crypto Currency, Cryptocurrency Mining, CVE-2018-0141, CVE-2018-0147, Cyber Espionage, Dark Web, DDoS, Distributed Denial of Service, Dofoil, False Flag, Lazarus Group, Olympic Destroyer, Patches, Smoke Loader, VulnerabilityLeave a comment

Security Newsletters, 2018 Jan 29th, phpBB 감염된 패키지 다운로드 外

Posted on 2018-01-29 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 유명한 오픈소스 웹 포럼 어플리케이션인 phpBB의 다운로드 링크가 침해당해 몇시간 동안 감염된 버젼을 다운로드하게 만든 사고가 있었다. 신원이 알려지지 않은 해커가 변경한 다운로드 URL은 두개로, phpBB 3.2.2 full package와 phpBB 3.2.1 -> 3.2.2 자동 업데이터 URL이다. 이렇게 변경된 링크는 1월 26일 UTC 12:02 PM 부터 UTC 15:03 PM 까지 약 세 시간 동안 제공되었다. 이 시간동안 phpBB를 다운로드 받은 사용자는 감염된 파일을 다운로드 받았을 수 있다. 아직까지 해커가 어떻게 다운로드 URL을 변경했는지에 대해서는 알려지지 않았다.
  • 미국에서 ATM에 대한 잭팟팅(Jackpotting) 공격이 최초로 확인되었다. ATM에 악의적인 소프트웨어나 하드웨어를 설치해 현금을 인출할 수 있게 하는 잭팟팅(Jackpotting) 공격은 유럽과 아시아에서는 오랫동안 은행을 위협해온 공격이었다. 그간 미국에서는 목격되지 않았으나, 이번주에 미국에서도 이러한 공격이 확인되면서 Secret Service에서는 이 공격에 대해 금융기관들에게 경고하기 시작했다.
  • 구글 더블클릭(DoubleClick)을 악용해 암호화폐 채굴기를 유포하는 말버타이징(Malvertising) 캠페인이 확인되었다. 여기에는 CoinHive 스크립트 외에도, 사설 풀(pool)의 별도 웹 마이너도 사용되었다. 공격자들은 구글의 더블클릭을 악용(abused)한다. (27일에서 이어짐)
  • 이란 해커들이 새로운 백도어를 가지고 IIS 웹 서버들을 노리고 있다. OilRig으로 알려진 이란과 연관된 것으로 추정되는 사이버 스파이 그룹이 중동 정부 기관과 금융 및 교육기관들의 IIS 웹서버들을 공격하고 있다. RGDoor라고 명명된 이 악성코드는, 첫번째 악성코드가 탐지되어 삭제된 경우에 공격자가 침해당한 웹서버에 다시 접근할 수 있게 해주는 악성코드로 추정된다. (27일에서 이어짐)
  • 클라우드플레어 도메인(cloudflare.solutions)을 사용했던 키로거가 새로운 도메인으로 돌아왔다. Sucuri에서 cloudflare.solutions에 대한 정보를 공개한 뒤, 해당 도메인은 정지되었다. 공격자는 즉시 새로운 도메인들을 등록했다. cdjs.oneline, cdns.ws, msdns.online 등이다. (25일에서 이어짐)

Detailed News list

  • phpBB
    • [SecurityAffairs]
      Download URLs for two packages of the phpBB forum software were compromised
  • Jackpotting Attacks
    • [KrebsOnSecurity]
      First ‘Jackpotting’ Attacks Hit U.S. ATMs
  • OilRig RGDoor
    • [SecurityAffairs]
      Iran-linked APT OilRig target IIS Web Servers with new RGDoor Backdoor
  • Malvertising
    • [HackRead]
      Hackers are using YouTube Ads to Mine Monero Cryptocurrency
    • [SecurityAffairs]
      Trend Micro spotted a malvertising campaign abusing Google’s DoubleClick to deliver Coinhive Miner
  • KeyLogger
    • [SecurityAffairs]
      Attackers behind Cloudflare_solutions Keylogger are back, 2000 WordPress sites already infected

 

Vulnerability Patches/Software Updates

Summaries

  • 레노보(Lenovo)가 ThnkPad의 지문인식기에 영향을 미치는 하드코딩된 비밀번호 취약점을 수정했다. 이 취약점은 Windows7, 8, 8.1을 사용하는 십여대의 레노보 노트북 모델에 영향을 미친다. Lonovo의 Fingerprint Manager Pro 8.01.76과 이전버젼에서 저장되는 데이터에는 윈도우즈 로그온 인증정보 및 지문정보가 포함되어있다. 그러나 이 데이터가 취약한 알고리즘으로 암호화되며, 하드코딩된 비밀번호가 사용된다. 이 취약점은 CVE-2017-3762다. (27일에서 이어짐)

Detailed News List

  • Lenovo Fingerprint Manager Pro
    • [SecurityAffairs]
      Hurry up, update your Lenovo Fingerprint Manager Pro if you use Windows 7, 8 and 8.1

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 피싱 사기로 9십만 달러가 도둑맞았다. 2017년 9월 21일에 시작된 이 사기 사건은, 텍사스의 Harris County의 약 30%가 허리케인 하비(Harvey)에 의해 물에 잠겼을 때 시작되었다. 카운티 auditor 사무실은 D&W Contractors, Inc의 회계사 Fiona Chambers라고 하는 여성으로부터의 이메일을 받았다. D&W Contractors, Inc는 카운티의 허리케인 피해 복구 업무를 진행할 회사였고, 이메일에서 Chambers는 카운티 오피스에 총액 88만8천달러를 계약에 따라 은행계좌로 입금해 달라는 요청을 했다. Chambers가 제공한 해당 은행계좌가 실제 D&W Contractors, Inc의 계좌인지 확인하지 않고 카운티 사무실은 88만8천 달러를 계좌이체 했다. 바로 다음날, 카운티 사무실은 D&W Contractors에는 Fiona Chambers라는 직원이 존재하지 않으며, 은행 계좌도 이 회사의 것이 아니며 피싱 사기에 당했다는 것을 확인했다.

Detailed News List

  • Phishing Scam
    • [HackRead]
      Phishing Scam: Hackers Steal $900,000 from County Office

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • 아기들의 사회보장번호(SSN)가 세금 사기를 위해 다크웹에서 판매되고 있다. Terbium Labs의 최근 연구 결과에 따르면, 아기들의 사회보장번호(Social Security Numbers)와 다른 개인 식별 정보(Personal Identifiable Information, PII), 생일, 어머니의 처녀 이름 정보가 다크웹에서 거래되고 있다. (26일에서 이어짐)

Detailed News List

  • Infant fullz
    • [SecurityAffairs]
      Cybercriminals are offering for sale infant fullz on the dark web

 

Crypto Currencies/Crypto Mining

Summaries

  • 일본 기반의 암호화폐 교환소인 CoinCheck이 해킹당해 5억 3400만 달러 가량을 도둑맞았다. 거대 암호화폐 거래소중 하나인 Coincheck이 해킹당해 NEM 토큰 5억3400만 달러 가량을 도둑맞았다. 도쿄에 위치한 거래소인 Coincheck은 암호화폐 비즈니스 역사상 가장 큰 규모인 것으로 추정되는 해킹을 당했음을 시인했다. 기자회견에서 Coincheck 회장 Koichi Wada는 고객들에게 사과하며 당국이 사고에 한 조사를 진행중에 있다고 밝혔다. (27일에서 이어짐)

Detailed News List

  • Coincheck
    • [SecurityAffairs]
      Japan-based digital exchange Coincheck to refund to customers after cyberheist
    • [SecurityWeek]
      Japan’s Crypto Exchange to Refund to Customers After Theft
    • [EHackingNews]
      Japan cryptocurrency exchange lost $532 million to hackers

 

Posted in Security, Security NewsTagged Crypto Currency, Cryptocurrency Exchanges, Cyber Espionage, Dark Web, Jackpotting Attacks, Keylogger, Malvertising, OilRig, Patches, Phishing, RGDoorLeave a comment

Security Newsletters, 2018 Jan 19th, 전세계 대상 다중 플랫폼 공격 Dark Caracal 外

Posted on 2018-01-19 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • Group123 이라 명명된 새로운 해킹그룹이 탐지되었다. 시스코에 따르면, 이 그룹은 2017년부터 2018년 새해까지 Golden Time, Evil New Year, Are You Happy?, Free Milk, North Korean Human Rights, Evil New Year 2018 여섯 건의 캠페인을 벌였다. 이중 네 건은 한컴 한글 오피스 형식의 악성코드 문서를 첨부한 스피어피싱으로 대한민국내 대상을 공격했다. 이 문서들은 ROKRAT 원격 관리 툴(RAT, Remote Administration Tool)을 설치한다.
  • 사이버 스파이 캠페인이 악성코드에 감염된 메시징 앱을 사용해 20개국 이상에서 정치적 활동가(activists), 군인, 변호사, 언론인, 그리고 기타 개인들의 스마트폰 데이터를 훔쳐왔다는 리포트가 공개되었다. 이 캠페인은 전 세계의 다중 플랫폼을 노린 공격이다. Dark Caracal이라 명명된 이 APT(Advenced Persistent Threat) 캠페인은 개인정보 및 지적재산등을 포함한 수백기가바이트의 데이터를 21개 이상의 국가들과 수천의 피해자들로부터 훔쳤다고 리포트에서 공개되었다. Dark Caracal은 90개의 침해지표(IOC, Indicator of Compromise)와 연관되는 다중 플랫폼 공격이다. 리포트에 포함된 IOC 90개 중 26개는 데스크톱 악성코드 침해지표이며, 11개의 안드로이드 악성코드 IOC, 60개의 도메인/IP 기반 IOC다.
  • FancyBear 혹은 APT28, Pawn Storm, Sofacy, Group 74, Sednit, Tsar Team, Strontium으로 알려진 사이버 스파이 그룹이 전 세계의 정치 관련 기관들을 공격하고 있다. 2015년 부터 이 그룹은 프랑스, 독일, 몬티네그로(Montenegro), 터키, 우크라이나, 미국의 정치관련 기구에 대한 공격에 연관되어왔다.

Detailed News list

  • Group 123
    • [InfoSecurityMagazine]
      New Attack Group Fires RATs and Disc Wipers at Targets
    • [SecurityAffairs]
      North Korea Group 123 involved in at least 6 different hacking campaigns in 2017
  • Dark Caracal
    • [SecurityWeek]
      Booby-Trapped Messaging Apps Used for Spying: Researchers
    • [ThreatPost]
      Sprawling Mobile Espionage Campaign Targets Android Devices
    • [TheRegister]
      Investigation outs Dark Caracal, the high-tech spying network for hire to governments
  • Russia-Linked Attacks
    • [SecurityWeek]
      Russia-Linked Attacks on Political Organizations Continue

 

Malwares

Summaries

  • Satori, Satori Okiru 그리고 ARC CPU를 노리는 Satori 변종까지 간단히 비교 요약한 기사가 나왔다.
  • 페이스북 비밀번호를 훔치고 팝업 광고를 뿌리는 악성 앱이구글 플레이 스토어에서 발견되었다. 코드내에서 발견된 문자열에 따라 고스트팀GhostTeam이라 명명된 이 악성 앱은 트렌드마이크로가 탐지했다. 악성코드가 처음 공개된 것은 2017년 4월이었고, 공식 안드로이드 마켓플레이스에서 퍼포먼스 부스터, 소셜미디어 비디오 다운로더와 같은 유틸리티 앱으로 위장했다. 총 53개의 어플리케이션이 GhostTeam 악성코드를 유포하는 것으로 확인되었다.
  • 최근 Triton 혹은 Trisis라 명명된, 주요 인프라 기관에서 사용하는 Schneider Electric의 Triconex Safety Instrumented System 컨트롤러의 제로데이 취약점을 공격하는 악성코드가 발견되었다. 이 악성코드는 산업제어시스템(ICS, Industrial Control Systems)을 목표로 설계되었고, 중동의 한 기관에 작동중단 사태를 일으킨 후 발견되었다. 트라이톤(Triton)은 Tchneider Electric Triconex SIS 장치를 목표로 설계되었는데, 이 장치는 프로세스 상태를 모니터하며, 위험한 상황에서 안전하게 작업을 중단시키거나 안전 상태로 복원하는데에 사용된다.
  • Zyklon이라는 HTTP 악성코드를 유포하는 스팸 캠페인이 벌어지고 있다. 이 악성코드는 Microsoft Office 취약점 세개를 공격한다. 이 공격은 통신, 보험, 금융 서비스 기관을 대상으로 벌어지고 있다. 이 공격을 탐지해낸 FireEye 연구원들에 따르면, 공격자들은 비밀번호 및 암호화폐 지갑 정보를 수집하는 중이다. 공격은 여러종류의 DOC 파일을 포함한 악성 ZIP 첨부파일로 시작된다. 이 파일은 최종적으로 세 개의 Microsoft Office 취약점을 공격한다. 각각의 취약점은 CVE-2017-8759, CVE-2017-11882, 세번째는 Dynamic Data Exchange(DDE) 기능이다. (18일에서 이어짐)
  • 아주 정교하게 만들어진 안드로이드용 스파이웨어 Skygofree가 발견되었다. 카스퍼스키랩의 보안연구가들이 감염된 장치를 원격으로 완벽하게 제어할 수 있는 강력한 안드로이드 스파이웨어인 Skygofree의 새로운 변종을 탐지했다. Skygofree는 안드로이드 스파이웨어로 표적공격에 사용될 수 있으며, 전문가들에 따르면 지난 4년간 수많은 사람들이 이 스파이웨어에 감염되었다. 이 악성코드가 처음 발견된 것은 2014년이며, 지난 몇년동안 계속적으로 진화해왔다. (17일에서 이어짐)

Detailed News List

  • ARC
    • [Arbor]
      The ARC of Satori
  • Facebook Password Stealing Apps
    • [TrendMicro]
      GhostTeam Adware can Steal Facebook Credentials
    • [TheHackerNews]
      Facebook Password Stealing Apps Found on Android Play Store
    • [ZDNet]
      This Android malware wants to steal your Facebook login and bombard you with ads
  • Triton
    • [SecurityWeek]
      Triton Malware Exploited Zero-Day in Schneider Electric Devices
    • [Cyberscoop]
      Schneider Electric: Trisis leveraged zero-day flaw, used a RAT
    • [DarkReading]
      Schneider Electric: TRITON/TRISIS Attack Used 0-Day Flaw in its Safety Controller System, and a RAT
  • Zyklon
    • [InfoSecurityMagazine]
      Zyklon Spreads Using Just-Patched Microsoft Vulns
    • [SecurityAffairs]
      Threat actors are delivering the Zyklon Malware exploiting three Office vulnerabilities
  • Skygofree
    • [NakedSecurity]
      SkyGoFree malware spies on your Android phone and your messages

 

Exploits/Vulnerabilities

Summaries

  • SMS 문자 하나로 iOS 및 macOS를 다운시킬 수 있는 버그가 발견되었다. 트위터의 cheesecakeufo (Abraham Masri)에 의해 공개된 이 버그는 Github의 링크가 포함되어 있는데, 이 링크를 애플의 메세지 앱을 통해 받을 경우 iOS 및 macOS의 메시지 어플리케이션이 중단(crash)되며, 잠금화면으로 넘어가는 등의 반응이 일어날 수 있다.
  • BitTorrent 클라이언트인 Transmission에서 취약점이 발견되었다. 구글의 프로젝트제로(Project Zero)연구가인 Tavis Ormandy가 Transmission BitTorrent Client에서 치명적인 원격 코드 실행 취약점을 발견했다. 수정안이 제시되었지만 아직 개발자에 의해 구현되지는 않았다. 연구가에 의하면, 공격자는 Transmission 클라이언트를 사용하는 공격대상자가 특별하게 만들어진 웹사이트에 접근하도록 해서 임의의 코드를 실행시킬 수 있다. (17일에서 이어짐)
  • Meltdown/Spectre와 이에대한 패치, 그리고 패치에 의한 성능 문제에 대한 기사가 계속해서 이어지고 있다.

Detailed News List

  • SMS bug
    • [HackRead]
      chaiOS “Text Bomb” Can Freeze & Crash Your iPhone
  • BitTorrent Flaw
    • [EHackingNews]
      BitTorrent flaw could let hackers take control of Pcs
  • Meltdown/Spectre
    • [SecurityAffairs]
      Meltdown and Spectre patches have a variable impact and can cause unwanted reboots, Intel warns
    • [ThreatPost]
      Intel Says Firmware Fixes for Spectre and Meltdown Affecting Newer Chips
    • [SecurityWeek]
      Intel Tests Performance Impact of CPU Patches on Data Centers
    • [ZDNet]
      Windows 10 Meltdown-Spectre patch: New updates bring fix for unbootable AMD PCs
    • [ZDNet]
      Meltdown-Spectre: Intel says newer chips also hit by unwanted reboots after patch
    • [BankInfoSecurity]
      Intel Confirms Fresh Spectre, Meltdown Patch Problems
    • [TheRegister]
      Industrial systems scrambling to catch up with Meltdown, Spectre

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 레바논 정부가 Dark Caracal 해킹 캠페인과 관련이 있는 것으로 나타났다.
  • 전 고용주들과 비즈니스 경쟁자, 법 집행 기관을 대상으로 분산서비스거부(DDoS) 공격을 한 뉴멕시코 남성이 유죄를 시인했다.
  • 다크웹의 마약 딜러가 징역 80개월 형의 유죄를 선고받았다.

Detailed News List

  • Lebanese
    • [CyberScoop]
      Hackers linked to Lebanese government caught in global cyber-espionage operation
    • [NYTimes]
      Lebanese Intelligence Turned Targets’ Android Phones Into Spy Devices, Researchers Say
  • Man admits to DDoS attacks
    • [DarkReading]
      Man Admits to Directing DDoS Attacks Across the US
    • [TheRegister]
      Sad-sack Anon calling himself ‘Mr Cunnilingus’ online is busted for DDoSing ex-bosses
    • [ZDNet]
      Man pleads guilty to launching DDoS attacks against former employers
  • Drug Dealer
    • [HackRead]
      6 years jail time for ‘one of the largest’ dark web drug dealer
    • [BankInfoSecurity]
      Bitcoin-Amassing AlphaBay Drug Barons Get US Prison Time

 

Crypto Currencies/Crypto Mining

Summaries

  • Blackwallet 서비스가 DNS 하이재킹으로 해킹당해, 사용자들의 계정으로부터 400,000 달러가 도난당했다. BlackWallet.co가 1월 13일 DNS 하이재킹으로 공격을 받았다. 그결과 공격자들이 사용자의 계정에서 40만 달러를 빼냈다. (16일에서 이어짐)

Detailed News List

  • BlackWallet
    • [NakedSecurity]
      BlackWallet cryptocurrency site loses users’ money after DNS hijack

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 구글이 픽셀(Pixel) 모바일 장치를 침해할 수 있는 익스플로잇 체인을 찾아낸 연구자에게 보상금으로 총 11만 2,500달러를 지급했다.

Detailed News List

  • Google Reward
    • [ZDNet]
      Google awards researcher over $110,000 for Android exploit chain
    • [SecurityWeek]
      Researchers Earn $100,000 for Hacking Pixel Phone
    • [InfoSecurityMagazine]
      Bug-Hunting Hackers Earn Top Dollar for Efforts

 

Posted in Security, Security NewsTagged Bug Bounty Program, Crypto Currency, Cryptocurrency Exchanges, Cyber Espionage, Dark Caracal, Dark Web, DDoS, Fancy Bear, GhostTeam, Group 123, Mirai Okiru, Satori Botnet, Skygofree, Trisis, Triton Malware, Vulnerability, ZyklonLeave a comment

Security Newsletters, 2017 Dec 17th, 윈도우즈10 비밀번호 관리자 外

Posted on 2017-12-17 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 북한이 배후에 있는 것으로 추정되는 라자러스(Lazarus) 그룹이 런던의 암호화폐 기업을 공격했다. 악명높은 APT 그룹중 하나인 라자러스(Lazarus) 그룹이 복귀하며 런던의 암호화폐 기업의 직원 인증정보(credentials)를 훔치기 위한 스피어피싱(spearphishing) 캠페인을 진행하고 있다. 라자러스 그룹의 활동은 2014년과 2015년에 급등했는데, 이 그룹의 일원이 맞춤형 악성코드를 공격에 사용했으며, 이들에 대해 조사했던 보안전문가들은 이를 아주 정교한 악성코드로 평가하고 있다. 이들은 최소 2009년 부터 활동해 왔으며, 이르면 2007년까지도 생각할 수 있다. 그리고 사이버 스파이 행위와 데이터 및 시스템 장애를 목적으로 한 파괴행위까지 모두 연관되어 있다. 보안연구가들은 복한의 라자러스 APT 그룹이 최근 방글라데시 사이버 절도사건을 포함한 은행공격의 배후임을 밝혀냈다. 이들에 따르면, 이 라자러스 그룹이 전세계를 대상으로 하는 기타 다른 대규모의 사이버 스파이 작전들의 배후이기도 하다. 여기에는 Troy Operation, DarkSeoul Operation, Sony Pictures 해킹도 포함된다. (16일에서 이어짐)

Detailed News list

  • North Korean cyber group Lazarus
    • [CNBC]
      Suspected North Korean cyber group seeks to woo bitcoin job seekers

 

Exploits/Vulnerabilities

Summaries

  • 윈도우즈(Windows) 10에 내장된 Keeper 비밀번호 관리자가 저장된 비밀번호를 노출시키는 취약점이 있는것으로 나타났다. 키퍼(Keeper)는 Windows 10에 함께 포함되어있는 비밀번호 관리자다. 그런데 구글 프로젝트 제로(Google Project Zero)의 연구자인 Travis Ormandy가 새로운 버젼의 Keeper에서 치명적인 버그를 찾아냈다. 이 버그는 MSDN(Microsoft Developer Network)에서 바로 다운로드한 깨끗한 Windows 10에서 발견되었다. 이 버그는 콘텐츠 스크립트를 통해 신뢰할 수 없는 웹페이지에 trusted UI를 주입하는데, 결과적으로 이 웹페이지들은 클릭재킹(Clickjacking)이나 유사 기법들을 통해 사용자 인증정보(credential)를 훔칠 수 있다.

Detailed News List

  • Windows 10 Password Manager
    • [HackRead]
      Keeper Password Manager in Windows 10 Exposed Saved Passwords
    • [SecurityAffairs]
      Pre-Installed Keeper Password Manager on Windows 10 exposes systems to passwords stealing
    • [TheHackerNews]
      Pre-Installed Password Manager On Windows 10 Lets Hackers Steal All Your Passwords

 

Data Breaches/Info Leakages

Summaries

  • 우버(Uber)가 싱가폴의 38만명의 사용자 정보가 침해하고에 영향을 받았다고 밝혔다. 차량탑승 공유(Ride-sharing) 서비스인 우버가, 전세계 5,700만명의 사용자 정보가 침해당했던 2016년의 대량 데이터 침해사고에서 싱가폴의 사용자 38만명이 영향을 받았다고 밝혔다. 그러나 이 영향을 받은 사용자들과 연관된 사기나 오용사건은 없었다고 했다.
  • 캘리포니아 투표자 1,900만명의 기록이 몽고(Mongo)DB 공격에 의해 몸값 지급을 요구당하고 있다. 이 기록은 보안설정이 되어있지 않은 MongoDB 데이터베이스에서 유출되었다. 이 사건을 발견한 Kromtech의 보안연구가에 따르면, 1,920만명이 넘는 캘리포니아 거주자 투표 등록 데이터가 보안이 되어있지 않은 MongoDB 데이터베이스에 존재하다가 삭제당하는 사건이 벌어졌고 공격자는 이 데이터를 가지고 몸값을 요구하고 있다.(16일에서 이어짐)

Detailed News List

  • Uber data breach in Singapore
    • [ZDNet]
      Uber says data breach compromised 380K users in Singapore
  • California voter records
    • [HackRead]
      Hackers steal 19M California voter records after holding database for ransom
    • [SecurityAffairs]
      19 Million California Voter records held for ransom attack on a MongoDB instance

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 러시아의 송유관 제어 컴퓨터가 해킹되어 모네로(Monero) 암호화폐 채굴 작업에 동원되었다. 12월 15일 금요일에 러시아 당국이 밝힌 바에 따르면, 세계에서 제일 큰 국영 파이프라인 기업인 Transneft가 사이버 공격을 당했으며 컴퓨터들이 해킹되어 모네로를 채굴했다. Reuters에 따르면, 회사 대변인 Igor Demin은 Transneft의 컴퓨터들이 자동으로 모네로 채굴 코드를 웹에서 다운로드 했다. 제한된 정보만이 제공되어 이렇게 침해당한 장치들에서 얼마나 많은 코인이 생성되었는지는 알려지지 않았다.
  • 새로운 트라이톤(Triton) 악성코드가 주요 사회기반시설(critical infrastructure)에 대한 공격을 준비하고 있는 것이 탐지되었다. 산업 제어 시스템(ICS, Industrial Control Systems)을 노리는 새로운 Triton 악성코드가 파이어아이(FireEye) 연구자들에 의해 발견되었다. 트라이톤(Triton)이라 명명된 이 악성코드는 이름이 알려지지 않은 주요 사회기반시설 기관(critical infrastructure organization)을 노린 공격에 사용되어왔다. 보안전문가들은 금전적인 동기가 부족한 점과 공격의 정교한 수준으로 보았을때, 국가가 배후에 있는(state-sponsored) 공격자가 사보타주를 목적으로 한 것으로 보고있다. 파이어아이는 아직까지 Triton 공격을 어떠한 APT 그룹과도 연관짓지 않았다. 보안 전문가들은, 그들이 탐지한 행위들이 작전의 정찰단계 일부(part of the reconnaissance phase)였을 것이라 추정하고 있다. Triton 악성코드는 Schneider Electric의 Triconex Safety Instrumented System(SIS) 컨트롤러를 공격 대상으로 만들어졌다. 이 제품들은 산업 환경에서 프로세스 상태를 모니터하고 잠재적으로 위험한 상황에서 안전하게 복구하거나 차단하기 위한 제품이다. (15일에서 이어짐)
  • Pen Test Partners의 보안연구가들이 많은 학교들의 난방 제어기의 웹 인터페이스가 공공 인터넷에서 접근가능하며, 안전하지 않다는 사실을 발견했다. 이러한 취약한 시스템과 설정들이 비단 학교뿐만 아니라, 정부 사무실, 대학교, 소방서, 레스토랑에도 존재한다. 조사를 진행했던 Pen Test Partners에서는 이미 몇몇시스템들이 해킹당했다는 사실을 발견했다. 이러한 문제의 대부분은 HVAC(Heating, Ventilation and Air Conditioning)과 빌딩 관리 시스템(Building management system) 설치업자들에 의해 일어난다. 장치들이 고립 네트워크에 존재하며 외부로 노출되지 않아야 하는데 지켜지지 않는것이다. (13일에서 이어짐)

Detailed News List

  • Oil pipeline computer hacked
    • [HackRead]
      Russian oil pipeline computer hacked to mine Monero coins
  • Triton
    • [ZDNet]
      Hackers use Triton malware to shut down plant, industrial systems
    • [TheHill]
      Cyber experts identify new malware targeting critical infrastructure
    • [SecurityAffairs]
      Triton malware was developed by Iran and used to target Saudi Arabia
  • School
    • [BBC]
      Schools warned over hackable heating systems

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • 다크웹(Dark Web)의 구글 역할을 하던 Grams가 운영을 중단했다. 그램스(Grams)는 2014년에 다크웹에 등장했다. 그리고 2017년 12월 9일 Reddit의 Grams 서브레딧에 gramsadmin은 재정문제와 다른 문제들로 힘든 시간을 보냈으며, 결국 운영을 종료하는 결정을 내렸다고 밝혔다. 그리고 2017년 12월 16일까지만 운영한다고 밝혔다.

Detailed News List

  • Grams, The Google of the dark web
    • [Forbes]
      Grams, The Google Of The Dark Web Has Shuttered Operations (Forbes)

 

Crypto Currencies/Crypto Mining

Summaries

  • 매장내(In-store) 와이파이인터넷 업체(Provider)가 스타벅스 웹사이트를 이용해 모네로(Monero) 암호화폐 코인을 채굴하려 했다는 주장이 나왔다. 12월 2일에 트위터 사용자 Noah Dinkin은 거대 커피체인인 스타벅스의 아르헨티나 리워드 사이트가 모네로(Monero) 암호화폐를 채굴하기 위한 코인하이브(CoinHive) 스크립트를 사용하는 것을 공개했다. Dinkin은 이 사건의 배후에 있는 범인이 스타벅스의 매장내 WiFi 제공업체일 수 있다고 말했다. 그러나, 지난 몇 달 동안 사이버 범죄자들은 웹사이트들을 해킹해 몰래 코인하이브의 스크립트들을 삽입해왔다. 며칠 전에는 보안연구가들이 5,000개 이상의 사이트들이 코인하이브 코드를 삽입하는 해킹을 당했다는 사실을 밝혀내기도 했다. (11일에서 이어짐)

Detailed News List

  • Starbucks WiFi
    • [EHackingNews]
      Hackers hijack Starbucks wi-fi provider to mine cyptocurrency

 

Posted in Security, Security NewsTagged Crypto Currency, Cryptocurrency Mining, Cyber Espionage, Dark Web, Data Breach, Drive-by Cryptocurrency Mining, HVAC, Industrial Control System, Information Leakage, Lazarus, Triton Malware, VulnerabilityLeave a comment

글 내비게이션

이전 글

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.