DevHackDebug logo

[태그:] DDE

Security Newsletters, 2017 Dec 20th, VMWare VNC 취약점 外

Posted on by aDHDmin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 영국에 이어 미국 정부가 워너크라이(WannaCry) 랜섬웨어 공격에 대해 북한을 공식적으로 비난했다. 워너크라이 공격에 대해 “부주의하고 무모한(careless and reckless)” 공격이라고 백악관 국토안보 보좌관(Homeland Security Adviser) Tom Bossert가 백악관 기자 브리핑에서 말했다.
  • 마이크로소프트 오피스(Microsoft Office) 문서파일의 매크로(Macro) 만큼이나 컴파일된 HTML 도움말 파일(Compiled HTML Help file)역시 악성코드 제작자들이 파일을 유포하는데 10여년 넘게 활용되어 왔다. 최근 스팸 켐페인이 브라질 기관들을 이러한 CHM 첨부파일을 동봉하여 공격하고 있는 것이 탐지되었다.
  • 사이버 스파이 작전 스핑크스(Sphinx)가 AnubisSpy를 이용하여 모바일로 전환했다. 트렌드마이크로(TrendMicro)에 따르면 이 AnubisSpy 악성코드가 Sphinx 캠페인(APT-C-15)와 관련된 것으로 보인다. AnubisSpy의 조종자가 Sphinx의 조종자와 같을 가능성도 있다고 밝혔다. AnubisSpy는 문자메시지를 훔치거나, 사진, 동영상, 연락처, 이메일 계정, 달력 일정, 브라우저 기록 등을 훔칠 수 있다. 그리고 피해자를 장치에 설치된 앱을 통해 감시할 수 있다.
  • NSA의 익스플로잇을 사용하는 다단계 공격 캠페인이 보안 연구가들에 의해 탐지되었다. 공격은 취약 서버를 스캔하며 시작되는데, 아파치 스트러츠(Apache Struts) 취약점(CVE-2017-5638)과 닷넷누크(DotNetNuke, CVE-2017-9822)가 열려있는 서버를 찾는다. 이러한 윈도우즈 장치가 탐지되면 NSA와 관련된 두가지 익스플로잇을 사용해 공격한다. 그리고 파워쉘 agent를 사용해 Monero 채굴 페이로드를 설치한다. 리눅스나 OSX 장치에는 파이썬 Agent 기반의 EmpireProject post-exploitation framework가 암호화폐 채굴기를 설치하는데 사용된다.
  • 드래곤 플라이 작전(Operation Dragonfly)이 이전의 공격들과 연관되는 지점들이 발견되었다. 지난 9월 6일 시만텍은 Dragonfly 캠페인에 대한 정보를 공개한 바 있다. 2017년에 걸쳐 에너지 기업 십여곳을 대상으로한 공격이었다. 이 공격은 2014년에 시작된 공격의 개선 버젼인 Dragonfly2.0 이었다. 이 공격은 선세계 에너지 기업들을 대상으로 스피어 피싱 이메일을 활용하며, 성공시 트로이 소프트웨어를 다운로드 하게 해 피해 시스템 및 네트워크에 공격자가 접근할 수 있게 한다. 최초 리포트는 Dragonfly 공격이 에너지 부문을 공격대상으로 했지만, 맥아피 랩과 Advanced Threat Research팀이 밝혀낸 바에 따르면 제약(phamaceutical) 및 금융(financial), 회계(accounting) 산업도 공격 대상으로 하고 있다. 그리고 피해 대상에 대한 공격을 실행하기 전에 정찰을 수행한다. 그리고 피해 대상의 네트워크에 대한 발판(foothold)을 마련하기 위해, 스피어피싱, 워터링 홀(watering holes), 이전 캠페인을 통한 서플라이체인(supply-chain) 공격과 같은 다양한 기법들이 사용되는 것을 확인했다.

Detailed News list

 

Malwares

Summaries

  • 마이크로소프트 오피스(Microsoft Office) 문서를 사용해 Loki 악성코드가 배포중이다. Loki 악성코드는 인증정보(Credential)을 훔치는 기능을 가지고 있으며, 마이크로소프트 엑셀이나 기타 오피스 응용프로그램을 사용해 탐지를 회피하며 유포되고 있다.
  • 넷트레블러(NetTraveler) 악성코드는 거의 10년이상 활동해왔다. 그러나 최근 러시아 및 이웃 유럽국가들을 대상으로 이루어진 사이버 스파이 공격에서 다시금 수면위로 등장했다. 몇년전에 이 악성코드는 40개 이상의 국가를 공격했던 캠페인과 관련되어 있다. 이 악성코드는 감지를 목적으로 설계되었었고, 새로운 변종은 Travle나 PYLOT으로 불린다. 이 변종은 이번 년도 초에 등장한 것으로 보인다. 중국인 공격자와 관련 있을것으로 추정되는 이 악성코드는 분석 대상에서 발견된 “Travle Path Failed!” 오타로 Travle로 명명되었다.
  • 최근 발견된 원격 제어 트로이(RAT, Remote Access Trojan)가 2017년 11월에 패치된 마이크로소프트 오피스의 17년된 취약점을 사용해 유포되고 있다고 Netskope가 경고했다. 텔레그램RAT(TelegramRAT)이라 명명된 이 악성코드는, 텔레그램 메신저 응용프로그램을 사용해 명령 및 제어(C&C, Command and Control) 용도로 사용한다. 그리고 클라우드 저장소 플랫폼(Cloud storage platform)을 악용하여 페이로드를 저장한다. 이 접근법으로 일부 전통적인 보안 스캐너들을 우회할 수 있다.
  • Loapi 악성코드가 안드로이드 스마트폰을 공격하고 있다. 이 Loapi 트로이를 광고를 클릭하거나 가짜 AV나 성인 콘텐츠 앱을 다운로드하며 설치하게 된다. 설치 후, Loapi는 관리자 권한을 끊임없이 요구한다. 사용자가 관리자 권한을 박탈하려 하면, 이 트로이는 화면을 잠가버리고 설정 윈도우를 닫아버린다. 그리고 사용자가 장치 보호를 위한 안티바이러스 앱과 같은 응용프로그램을 다운로드하려 하면 Loapi는 이 프로그램을 악성이라 분류하고 삭제할 것을 요구한다. 이러한 알림 팝업이 끊임없이 반복된다. (19일에서 이어짐)
  • 새로운 GnatSpy 모바일 악성코드 종이 발견되었다. 올해 초 중동의 여러 부문을 노린 공격이 탐지된 바 있다. 이 공격자는 Scorpion이나 APT-C-23으로 불린다. 이후 VAMP라 불리는 새로운 모바일 컴포넌트가 발견되었으며, FrozenCell이라 명명된 변종이 10월에 발견되었다. VAMP는 피해 스마트폰에서 다양한 종류의 데이터를 노린다. 최근 트렌드마이크로 연구자들에 의해 GnatSpy 모바일 악성코드 종이 발견되었다. 이 악성코드는 VAMP의 새로운 변종으로 추정되며, APT-C-23 배후의 공격자들이 아직도 활동중이며 악성코드를 계속적으로 개선해 나가고 있는 것으로 보인다. 일부 VAMP의 C&C 도메인이 최근 GnatSpy 변종에서 재사용되었다. (19일에서 이어짐)

Detailed News List

 

Exploits/Vulnerabilities

Summaries

  • VMWare 제품들의 VNC 구현상의 오류로 코드 실행(code execution) 가능한 취약점이 Cisco Talos에 의해 공개되었다. VMWare는 VNC를 원격 관리(remote management)나 원격 접근(remote access), 자동화(automation) 목적을 위해 Workstation, Player, ESXi와 같은 VMWare 제품들에 구현해 두었다.
  • CoreSecurity의 보안 연구가에 의해 트렌드마이크로(TrendMicro)의 Smart Protection Server에서 취약점이 발견되었다. 스마트 프로텍션 서버는 보안 위협을 탐지하기 위한 클라우드 기반의 파일 및 웹 평판을 다루는 솔루션이다. 이 제품의 관리 인터페이스에서 정보 노출(information exposure) 및 부적절한 인증(improper authentication), 부적절한 관리 및 필터링 문제(improper control and improper filtering issues)가 발견되었다.
  • 구글의 프로젝트 제로(Project Zero)에서 완전 패치된 윈도우즈10(fully patched Windows 10) PC에서 신뢰되지 않는(untrusted) 자바스크립트를 샌드박스 외부의 환경에서 실행시킬 수 있게 하는 로컬 개념증명(PoC, Proof-of-Concept) 공격에 대한 상세정보가 공개되었다. 이 공격은 WPAD/PC 공격의 변형이다.
  • 보안연구가가 Cambium의 ePMP 및 cnPilot 무선 네트워킹 제품에서 거의 10여개 이상의 보안 취약점을 발견했다. Cambium의 ePMP 및 cnPilot 무선 제품은 서비스 제공사나, 정부, 소매업, ISP, 호텔, 학교, 기업, 산업기관등에서 사용된다. 이 취약점들은 9월에 Rapid7을 통해 전달되었고, 주요 취약점들이 지난달 패치되었다. 그중 하나는 CVE-2017-5254로 ePMP 장치에서의 권한 상승 취약점이다.

Detailed News List

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 결국 카스퍼스키랩(KasperskyLab)이 연방 기관들에서 자사 소프트웨어 사용이 금지당한 것에 대하여 미 국토안전부(DHS, Department of Homeland Security)를 고소했다. 카스퍼스키랩은 이 고소장에서 연방 기관들의 이러한 금지 조치가 상당수 루머와 정체를 알 수 없는 출처에 기반한 미디어 리포트에 기반하고 있다고 주장했다. (19일에서 이어짐)
  • 암 치료 업체가 230만 달러의 벌금을 내는데 동의했다. 방사능치료(radiation therapy) 및 암치료(cancer treatment) 제공업체가 2015년에 겪었던 데이터 침해사고에 대하여 230만 달러의 벌금을 지불하는데 동의했다. 2017년 12월 11일, 뉴욕 북부의 미 파산법원(U.S Bankruptcy Court)은 21st Century Oncology에 대한 합의안(a settlement agreement)을 승인하는 명령을 받았다. 이 협의안은 암치료 업체가 수년젼 겪었던 보안 침해사고에 대하여 미 보건복지부(U.S. Department of Health & Human Services)에 230만 달러를 지불하는 내용이 담겨있다. (15일에서 이어짐)

Detailed News List

 

Vulnerability Patches/Software Updates

Summaries

  • 마이크로소프트(Microsoft)가 워드(Word)의 DDE(Dynamic Data Exchange) 기능을 비활성화 했다. 사이버 범죄자들이 동적 업데이트 교환 프로토콜을 악용하는 것을 방지하기 위해서 모든 버젼의 워드에서 해당 기능을 비활성화 했다. DDE 프로토콜은 윈도우즈 응용프로그램이 데이터를 서로간에 전송하는 목적으로 설계되었다. 오피스 응용프로그램간에 데이터를 교환하기 위해 공유메모리를 사용하며, DDE 프로토콜은 오피스에서 오브젝트 링크 및 임베딩(OLE, Object Linking and Embedding)을 대체해왔다. (18일에서 이어짐)

Detailed News List

 

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 산업 안전 시스템(Industrial safety system)을 공격하는 악성코드에 대해서 국토안전부(DHS, Department of Homeland Security)가 경고에 나섰다. 지난주 파이어아이(FireEye)와 드라고스(Dragos)가 Triton 및 Trisis가 중동의 주요 인프라 기관의 운영중단을 일으킨 것에 대해 보도한 바 있다. 산업 보안에 특화된 CyberX 보안 기업은 이 공격의 배후에 이란이 있다고 추정하고 있다. 국토안보부는 HatMan이라 명명된 악성코드에 대해서 리포트를 공개하며, 대응 방안 및 YARA 룰을 공개했다.
  • 중동국가의 주요 사회기반시설 조직들을 대상으로 공격하는 사이버 공격에 대해서 파이어아이(FireEye)가 공개한지 며칠 후에 새로운 공격이 탐지되었다. Nyotron이 공개한 정보에 따르면, 이 공격자들은 사우디 아라비아, 이란, 알제리 와 관련된 것으로 보이며. Nyotron이 Copperfield라 명명한 악성코드는 H-Worm에 기반한다. H-Worm은 후디니(Houdini)에서 유래한 것으로, 4년된 원격접근트로이(RAT, Remote access trojan)다. 이 트로이는 알제리 해커가 만든 것으로 추정된다. 악성코드는 주로 감염된 USB 드라이브를 통해 유포된다.

Detailed News List

 

Internet of Things

Summaries

  • 사용자의 무관심으로 인해 수백종의 Lexmark 프린터들이 온라인에 공격받기 쉬운 상태로 무방비로 노출되고 있다. NewSky의 보안연구자들이 수백종의 Lexmark 프린터들이 잘못 설정되어 있는 것을 발견했다. 프린터들이 공공 인터넷에 공개되어있어 쉽게 접근 가능하고, 누구나 대상 장비를 제어할 수 있는 것이다. 연구자들은 1,123개의 Lexmark 프린터들이 기업이나 대학교, 미 정부 사무실에 위치한 것을 확인했다. 이런 취약한 프린터들을 사용해서 백도어를 추가하거나 프린트 작업을 캡쳐하고, 동작이 불가능한 상태로 만들거나, 쓰레기 내용을 출력해 작업을 방해하는 등의 다양한 악의적 행위들이 가능하다.

Detailed News List

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 구글 애드워즈(AdWords)와 구글사이트를 사용해 학성코드를 배포하는 해커들이 탐지되었다. HackRead에서 사용자들이 가짜 구글 크롬 브라우저를 다운로드하게 하는 사기를 발견했다. Adwords는 구글에게 비용을 지불하고, 검색결과 상위 위치에 광고를 표시해주는 온라인 광고 서비스다. 그런데 이 광고를 구매해서 가짜 프로그램을 배포하는데 사용하는 사기가 벌어지고 있다.

Detailed News List

 

Crypto Currencies/Crypto Mining

Summaries

  • 사이버 범죄 조직이 암호화폐 채굴에 사용할 새로운 봇넷 구성을 위해 데이터베이스 서비스들을 노리고있다. GuardiCore Labs의 연구자들에 의해 탐지된 이 공격은 Hex-Men 공격이라 이름 붙었다. 이 공격은 지난 3월부터 점차적으로 확대되어왔다. 이 공격엔 크게 3가지 변형이 있는데 각각 Hex, Hanako, Tayler 라 부른다. 각각은 서로 다른 SQL 서버를 노리며, 고유의 특정 목적, 규모, 목표 서버들을 가진다. 수집된 정보에 따르면, 공격자들은 중국에 기반하여 활동하며 중국 외에도 태국, 미국, 일본 및 기타 전세계 국가들을 공격 대상으로 하고있다.
  • 싱가폴이 화요일에 암호화폐 가격 급등에 따라 암호화폐에 대하여 경고를 발표했다. 싱가폴의 금융당국(Monetary Authority of Singapore)이 암호화폐에 대한 투자에 있어서 심각한 리스크가 발생할 수 있음을 인지하고 극히 조심하라는 경고를 발표했다.
  • 암호화폐 거래소인 유빗(구 야피존)이 일년새 두번 연속 해킹을 당하면서 결국 파산을 선언했다. 유빗이 이변 년도에만 두번째 해킹을 당하면서 결국 운영을 중단했다. 유빗은 화요일에 파산을 선언했다. 유빗은 지난번 해킹 공격에서 17퍼센트의 자산을 잃었다고 밝혔다. 대한민국 내 암호화폐 거래소가 파산한 첫번째 사건이다. 8개월 전, 해커가 유빗 전체 자산의 거의 40퍼센트에 해당하는 4,000 비트코인을 훔친 바 있다.

Detailed News List

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 최악의 비밀번호 목록에 대한 통계가 발표되었다. 역시나 이번년도에도 변함없이 123456과 같은 너무나 뻔한 비밀번호들이 상위를 차지하고 있다.
  • 영국 인터넷 서비스 제공사(ISP)가 이번년도 들어 두번째로 TeamViewer를 차단했다. 사용자를 잠재적인 사기범들(Scammers)로 부터 보호한다는 목적하에서다. 지난번 TeamViewer가 차단된 일은 이번 해 3월이었다. 차단은 채 하루가 넘지 않았다. TalkTalk은 인터넷 서비스 제공사(ISP)로 2015년에 157,000명의 사용자 개인정보를 노출시키는 데이터 침해사고를 겪은바 있다.
  • 다크웹에서 14억개의 평문 인증정보(credentials)를 담고있는 파일이 발견되었다. 최근 다크웹을 모니터링하는 4iQ에서 41기가바이트의 거대한 파일을 발견했다. 이 파일은 14억개의 로그인 인증정보를 담고 있는데, 그 내용은 이메일과 비밀번호가 평문(cleartext)으로 기록되어있다. 연구자들은 이 파일이 지금까지 다크 웹에서 발견된 것들 중 가장 큰 종합 데이터베이스라 보고있다. 4iQ의 블로그 포스트에서 밝힌 바에 따르면, 이 덤프는 이전의 252개의 침해사고를 하나로 모은 것으로 보인다. 이 파일은 다크웹에서 2017년 12월 5일에 발견되었고, 총 데이터 량은 1,400,553,869개의 사용자이름, 이메일, 평문 비밀번호다. (11일에서 이어짐)

Detailed News List