Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] DDE

Security Newsletters, 2017 Dec 20th, VMWare VNC 취약점 外

Posted on 2017-12-20 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 영국에 이어 미국 정부가 워너크라이(WannaCry) 랜섬웨어 공격에 대해 북한을 공식적으로 비난했다. 워너크라이 공격에 대해 “부주의하고 무모한(careless and reckless)” 공격이라고 백악관 국토안보 보좌관(Homeland Security Adviser) Tom Bossert가 백악관 기자 브리핑에서 말했다.
  • 마이크로소프트 오피스(Microsoft Office) 문서파일의 매크로(Macro) 만큼이나 컴파일된 HTML 도움말 파일(Compiled HTML Help file)역시 악성코드 제작자들이 파일을 유포하는데 10여년 넘게 활용되어 왔다. 최근 스팸 켐페인이 브라질 기관들을 이러한 CHM 첨부파일을 동봉하여 공격하고 있는 것이 탐지되었다.
  • 사이버 스파이 작전 스핑크스(Sphinx)가 AnubisSpy를 이용하여 모바일로 전환했다. 트렌드마이크로(TrendMicro)에 따르면 이 AnubisSpy 악성코드가 Sphinx 캠페인(APT-C-15)와 관련된 것으로 보인다. AnubisSpy의 조종자가 Sphinx의 조종자와 같을 가능성도 있다고 밝혔다. AnubisSpy는 문자메시지를 훔치거나, 사진, 동영상, 연락처, 이메일 계정, 달력 일정, 브라우저 기록 등을 훔칠 수 있다. 그리고 피해자를 장치에 설치된 앱을 통해 감시할 수 있다.
  • NSA의 익스플로잇을 사용하는 다단계 공격 캠페인이 보안 연구가들에 의해 탐지되었다. 공격은 취약 서버를 스캔하며 시작되는데, 아파치 스트러츠(Apache Struts) 취약점(CVE-2017-5638)과 닷넷누크(DotNetNuke, CVE-2017-9822)가 열려있는 서버를 찾는다. 이러한 윈도우즈 장치가 탐지되면 NSA와 관련된 두가지 익스플로잇을 사용해 공격한다. 그리고 파워쉘 agent를 사용해 Monero 채굴 페이로드를 설치한다. 리눅스나 OSX 장치에는 파이썬 Agent 기반의 EmpireProject post-exploitation framework가 암호화폐 채굴기를 설치하는데 사용된다.
  • 드래곤 플라이 작전(Operation Dragonfly)이 이전의 공격들과 연관되는 지점들이 발견되었다. 지난 9월 6일 시만텍은 Dragonfly 캠페인에 대한 정보를 공개한 바 있다. 2017년에 걸쳐 에너지 기업 십여곳을 대상으로한 공격이었다. 이 공격은 2014년에 시작된 공격의 개선 버젼인 Dragonfly2.0 이었다. 이 공격은 선세계 에너지 기업들을 대상으로 스피어 피싱 이메일을 활용하며, 성공시 트로이 소프트웨어를 다운로드 하게 해 피해 시스템 및 네트워크에 공격자가 접근할 수 있게 한다. 최초 리포트는 Dragonfly 공격이 에너지 부문을 공격대상으로 했지만, 맥아피 랩과 Advanced Threat Research팀이 밝혀낸 바에 따르면 제약(phamaceutical) 및 금융(financial), 회계(accounting) 산업도 공격 대상으로 하고 있다. 그리고 피해 대상에 대한 공격을 실행하기 전에 정찰을 수행한다. 그리고 피해 대상의 네트워크에 대한 발판(foothold)을 마련하기 위해, 스피어피싱, 워터링 홀(watering holes), 이전 캠페인을 통한 서플라이체인(supply-chain) 공격과 같은 다양한 기법들이 사용되는 것을 확인했다.

Detailed News list

  • US blames NK
    • [ThreatPost]
      U.S. Government Blames North Korea for WannaCry
    • [SecurityWeek]
      White House Blames North Korea for Cyberattack
    • [BankInfoSecurity]
      Trump Administration: ‘North Korea Launched WannaCry’
    • [DarkReading]
      Trump Adviser: North Korea Waged WannaCry Attack
    • [GrahamCluley]
      USA blames North Korea for WannaCry ransomware outbreak
    • [TheRegister]
      UK, US govt and pals on WannaCry culprit: It woz the Norks wot done it
    • [CSOOnline]
      North Korea to blame for WannaCry, Trump administration says
    • [SecurityAffairs]
      U.S. blames North Korea for the massive WannaCry ransomware attack
    • [SecurityWeek]
      U.S. Declares North Korea Led Huge WannaCry Cyberattack
    • [ZDNet]
      WannaCry ransomware: Now the US says North Korea was to blame
    • [HackersOnlineClub]
      US officially Declares North Korea Behind WannaCry Ransomware CyberAttack
    • [CyberScoop]
      White House blames North Korea for WannaCry ransomware outbreak
  • CHM Badness
    • [SpiderLabs]
      CHM Badness Delivers a Banking Trojan
  • Sphinx
    • [TrendMicro]
      Cyberespionage Campaign Sphinx Goes Mobile With AnubisSpy
  • Monero Campaign
    • [InfoSecurityMagazine]
      New Monero Mining Campaign Uses NSA Exploits
  • Dragonfly, BlackEnergy, TeamSpy
    • [SecurityAffairs]
      The thin line between BlackEnergy, DragonFly and TeamSpy attacks

 

Malwares

Summaries

  • 마이크로소프트 오피스(Microsoft Office) 문서를 사용해 Loki 악성코드가 배포중이다. Loki 악성코드는 인증정보(Credential)을 훔치는 기능을 가지고 있으며, 마이크로소프트 엑셀이나 기타 오피스 응용프로그램을 사용해 탐지를 회피하며 유포되고 있다.
  • 넷트레블러(NetTraveler) 악성코드는 거의 10년이상 활동해왔다. 그러나 최근 러시아 및 이웃 유럽국가들을 대상으로 이루어진 사이버 스파이 공격에서 다시금 수면위로 등장했다. 몇년전에 이 악성코드는 40개 이상의 국가를 공격했던 캠페인과 관련되어 있다. 이 악성코드는 감지를 목적으로 설계되었었고, 새로운 변종은 Travle나 PYLOT으로 불린다. 이 변종은 이번 년도 초에 등장한 것으로 보인다. 중국인 공격자와 관련 있을것으로 추정되는 이 악성코드는 분석 대상에서 발견된 “Travle Path Failed!” 오타로 Travle로 명명되었다.
  • 최근 발견된 원격 제어 트로이(RAT, Remote Access Trojan)가 2017년 11월에 패치된 마이크로소프트 오피스의 17년된 취약점을 사용해 유포되고 있다고 Netskope가 경고했다. 텔레그램RAT(TelegramRAT)이라 명명된 이 악성코드는, 텔레그램 메신저 응용프로그램을 사용해 명령 및 제어(C&C, Command and Control) 용도로 사용한다. 그리고 클라우드 저장소 플랫폼(Cloud storage platform)을 악용하여 페이로드를 저장한다. 이 접근법으로 일부 전통적인 보안 스캐너들을 우회할 수 있다.
  • Loapi 악성코드가 안드로이드 스마트폰을 공격하고 있다. 이 Loapi 트로이를 광고를 클릭하거나 가짜 AV나 성인 콘텐츠 앱을 다운로드하며 설치하게 된다. 설치 후, Loapi는 관리자 권한을 끊임없이 요구한다. 사용자가 관리자 권한을 박탈하려 하면, 이 트로이는 화면을 잠가버리고 설정 윈도우를 닫아버린다. 그리고 사용자가 장치 보호를 위한 안티바이러스 앱과 같은 응용프로그램을 다운로드하려 하면 Loapi는 이 프로그램을 악성이라 분류하고 삭제할 것을 요구한다. 이러한 알림 팝업이 끊임없이 반복된다. (19일에서 이어짐)
  • 새로운 GnatSpy 모바일 악성코드 종이 발견되었다. 올해 초 중동의 여러 부문을 노린 공격이 탐지된 바 있다. 이 공격자는 Scorpion이나 APT-C-23으로 불린다. 이후 VAMP라 불리는 새로운 모바일 컴포넌트가 발견되었으며, FrozenCell이라 명명된 변종이 10월에 발견되었다. VAMP는 피해 스마트폰에서 다양한 종류의 데이터를 노린다. 최근 트렌드마이크로 연구자들에 의해 GnatSpy 모바일 악성코드 종이 발견되었다. 이 악성코드는 VAMP의 새로운 변종으로 추정되며, APT-C-23 배후의 공격자들이 아직도 활동중이며 악성코드를 계속적으로 개선해 나가고 있는 것으로 보인다. 일부 VAMP의 C&C 도메인이 최근 GnatSpy 변종에서 재사용되었다. (19일에서 이어짐)

Detailed News List

  • Loki Malware
    • [DarkReading]
      Microsoft Office Docs New Vessel for Loki Malware
  • NetTraveler
    • [SecurityWeek]
      Successor to NetTraveler Malware Dissected
    • [SecureList]
      Travle aka PYLOT backdoor hits Russian-speaking targets
  • TelegramRAT
    • [SecurityWeek]
      New TelegramRAT Exploits Recently Patched Office Vulnerability
    • [DarkReading]
      Telegram RAT Escapes Detection via Cloud Apps
  • Loapi
    • [TheHackerNews]
      This New Android Malware Can Physically Damage Your Phone
    • [HackRead]
      New Android Malware Loapi Attacks Phones in Five Different Ways
    • [SecurityWeek]
      Loapi Android Trojan Does All Sorts of Bad
    • [TheRegister]
      Android trojan has miner so aggressive it can bork your battery
  • GnatSpy
    • [Anomali]
      WTB: New GnatSpy Mobile Malware Family Discovered

 

Exploits/Vulnerabilities

Summaries

  • VMWare 제품들의 VNC 구현상의 오류로 코드 실행(code execution) 가능한 취약점이 Cisco Talos에 의해 공개되었다. VMWare는 VNC를 원격 관리(remote management)나 원격 접근(remote access), 자동화(automation) 목적을 위해 Workstation, Player, ESXi와 같은 VMWare 제품들에 구현해 두었다.
  • CoreSecurity의 보안 연구가에 의해 트렌드마이크로(TrendMicro)의 Smart Protection Server에서 취약점이 발견되었다. 스마트 프로텍션 서버는 보안 위협을 탐지하기 위한 클라우드 기반의 파일 및 웹 평판을 다루는 솔루션이다. 이 제품의 관리 인터페이스에서 정보 노출(information exposure) 및 부적절한 인증(improper authentication), 부적절한 관리 및 필터링 문제(improper control and improper filtering issues)가 발견되었다.
  • 구글의 프로젝트 제로(Project Zero)에서 완전 패치된 윈도우즈10(fully patched Windows 10) PC에서 신뢰되지 않는(untrusted) 자바스크립트를 샌드박스 외부의 환경에서 실행시킬 수 있게 하는 로컬 개념증명(PoC, Proof-of-Concept) 공격에 대한 상세정보가 공개되었다. 이 공격은 WPAD/PC 공격의 변형이다.
  • 보안연구가가 Cambium의 ePMP 및 cnPilot 무선 네트워킹 제품에서 거의 10여개 이상의 보안 취약점을 발견했다. Cambium의 ePMP 및 cnPilot 무선 제품은 서비스 제공사나, 정부, 소매업, ISP, 호텔, 학교, 기업, 산업기관등에서 사용된다. 이 취약점들은 9월에 Rapid7을 통해 전달되었고, 주요 취약점들이 지난달 패치되었다. 그중 하나는 CVE-2017-5254로 ePMP 장치에서의 권한 상승 취약점이다.

Detailed News List

  • VMWare VNC
    • [CiscoTalos]
      Vulnerability Spotlight: VMWare VNC Vulnerabilities
  • TrendMicro Smart Protection Server
    • [SecurityWeek]
      Code Execution Flaws Found in Trend Micro Smart Protection Server
  • Project Zero Chains Bugs
    • [ThreatPost]
      Project Zero Chains Bugs for ‘aPAColypse Now’ Attack on Windows 10
  • Cambium Wireless Networking Devices
    • [SecurityWeek]
      Cambium Wireless Networking Devices Vulnerable to Attacks

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 결국 카스퍼스키랩(KasperskyLab)이 연방 기관들에서 자사 소프트웨어 사용이 금지당한 것에 대하여 미 국토안전부(DHS, Department of Homeland Security)를 고소했다. 카스퍼스키랩은 이 고소장에서 연방 기관들의 이러한 금지 조치가 상당수 루머와 정체를 알 수 없는 출처에 기반한 미디어 리포트에 기반하고 있다고 주장했다. (19일에서 이어짐)
  • 암 치료 업체가 230만 달러의 벌금을 내는데 동의했다. 방사능치료(radiation therapy) 및 암치료(cancer treatment) 제공업체가 2015년에 겪었던 데이터 침해사고에 대하여 230만 달러의 벌금을 지불하는데 동의했다. 2017년 12월 11일, 뉴욕 북부의 미 파산법원(U.S Bankruptcy Court)은 21st Century Oncology에 대한 합의안(a settlement agreement)을 승인하는 명령을 받았다. 이 협의안은 암치료 업체가 수년젼 겪었던 보안 침해사고에 대하여 미 보건복지부(U.S. Department of Health & Human Services)에 230만 달러를 지불하는 내용이 담겨있다. (15일에서 이어짐)

Detailed News List

  • KasperskyLabs
    • [SkyNews]
      Russian cybersecurity company sues White House
    • [BankInfoSecurity]
      Kaspersky Lab Sues US Government Over Ban
    • [SecurityAffairs]
      Kaspersky Lab files Lawsuit over DHS Ban of its products and services
    • [TheHackerNews]
      Kaspersky Lab Sues U.S. Government Over Software Ban
    • [BuzzFeed]
      Russian Cybersecurity Firm Kaspersky Sues US For Banning Its Products
    • [TheRegister]
      Kaspersky Drags Uncle Sam Into Court To Battle AV Ban
    • [ZDNet]
      Kaspersky hauling Homeland Security to court to overturn federal ban
    • [TheHill]
      Overnight Cybersecurity: Trump national security strategy calls out Russian cyber threat | Kaspersky sues over federal…
  • 21st Century Oncology
    • [BankInfoSecurity]
      Bankrupt Cancer Clinic Chain’s Insurer to Cover Breach Fine

 

Vulnerability Patches/Software Updates

Summaries

  • 마이크로소프트(Microsoft)가 워드(Word)의 DDE(Dynamic Data Exchange) 기능을 비활성화 했다. 사이버 범죄자들이 동적 업데이트 교환 프로토콜을 악용하는 것을 방지하기 위해서 모든 버젼의 워드에서 해당 기능을 비활성화 했다. DDE 프로토콜은 윈도우즈 응용프로그램이 데이터를 서로간에 전송하는 목적으로 설계되었다. 오피스 응용프로그램간에 데이터를 교환하기 위해 공유메모리를 사용하며, DDE 프로토콜은 오피스에서 오브젝트 링크 및 임베딩(OLE, Object Linking and Embedding)을 대체해왔다. (18일에서 이어짐)

Detailed News List

  • Microsoft Word
    • [NakedSecurity]
      Microsoft Word slams the door on DDEAUTO malware attacks

 

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 산업 안전 시스템(Industrial safety system)을 공격하는 악성코드에 대해서 국토안전부(DHS, Department of Homeland Security)가 경고에 나섰다. 지난주 파이어아이(FireEye)와 드라고스(Dragos)가 Triton 및 Trisis가 중동의 주요 인프라 기관의 운영중단을 일으킨 것에 대해 보도한 바 있다. 산업 보안에 특화된 CyberX 보안 기업은 이 공격의 배후에 이란이 있다고 추정하고 있다. 국토안보부는 HatMan이라 명명된 악성코드에 대해서 리포트를 공개하며, 대응 방안 및 YARA 룰을 공개했다.
  • 중동국가의 주요 사회기반시설 조직들을 대상으로 공격하는 사이버 공격에 대해서 파이어아이(FireEye)가 공개한지 며칠 후에 새로운 공격이 탐지되었다. Nyotron이 공개한 정보에 따르면, 이 공격자들은 사우디 아라비아, 이란, 알제리 와 관련된 것으로 보이며. Nyotron이 Copperfield라 명명한 악성코드는 H-Worm에 기반한다. H-Worm은 후디니(Houdini)에서 유래한 것으로, 4년된 원격접근트로이(RAT, Remote access trojan)다. 이 트로이는 알제리 해커가 만든 것으로 추정된다. 악성코드는 주로 감염된 USB 드라이브를 통해 유포된다.

Detailed News List

  • HatMan, Industrial Safety Systems
    • [SecurityWeek]
      DHS Warns of Malware Targeting Industrial Safety Systems
  • Copperfield
    • [DarkReading]
      Another Cyberattack Spotted Targeting Mideast Critical Infrastructure Organizations

 

Internet of Things

Summaries

  • 사용자의 무관심으로 인해 수백종의 Lexmark 프린터들이 온라인에 공격받기 쉬운 상태로 무방비로 노출되고 있다. NewSky의 보안연구자들이 수백종의 Lexmark 프린터들이 잘못 설정되어 있는 것을 발견했다. 프린터들이 공공 인터넷에 공개되어있어 쉽게 접근 가능하고, 누구나 대상 장비를 제어할 수 있는 것이다. 연구자들은 1,123개의 Lexmark 프린터들이 기업이나 대학교, 미 정부 사무실에 위치한 것을 확인했다. 이런 취약한 프린터들을 사용해서 백도어를 추가하거나 프린트 작업을 캡쳐하고, 동작이 불가능한 상태로 만들거나, 쓰레기 내용을 출력해 작업을 방해하는 등의 다양한 악의적 행위들이 가능하다.

Detailed News List

  • Lexmark Printers
    • [SecurityAffairs]
      Networked Printers are Some of the Oldest IoT Devices, and over 1,000 Lexmark Printers Are Vulnerable Today
    • [ThreatPost]
      Lexmark Printers Open To Attack

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 구글 애드워즈(AdWords)와 구글사이트를 사용해 학성코드를 배포하는 해커들이 탐지되었다. HackRead에서 사용자들이 가짜 구글 크롬 브라우저를 다운로드하게 하는 사기를 발견했다. Adwords는 구글에게 비용을 지불하고, 검색결과 상위 위치에 광고를 표시해주는 온라인 광고 서비스다. 그런데 이 광고를 구매해서 가짜 프로그램을 배포하는데 사용하는 사기가 벌어지고 있다.

Detailed News List

  • Google Adwords & Google sites
    • [HackRead]
      Hackers using Google Adwords & Google Sites to spread malware

 

Crypto Currencies/Crypto Mining

Summaries

  • 사이버 범죄 조직이 암호화폐 채굴에 사용할 새로운 봇넷 구성을 위해 데이터베이스 서비스들을 노리고있다. GuardiCore Labs의 연구자들에 의해 탐지된 이 공격은 Hex-Men 공격이라 이름 붙었다. 이 공격은 지난 3월부터 점차적으로 확대되어왔다. 이 공격엔 크게 3가지 변형이 있는데 각각 Hex, Hanako, Tayler 라 부른다. 각각은 서로 다른 SQL 서버를 노리며, 고유의 특정 목적, 규모, 목표 서버들을 가진다. 수집된 정보에 따르면, 공격자들은 중국에 기반하여 활동하며 중국 외에도 태국, 미국, 일본 및 기타 전세계 국가들을 공격 대상으로 하고있다.
  • 싱가폴이 화요일에 암호화폐 가격 급등에 따라 암호화폐에 대하여 경고를 발표했다. 싱가폴의 금융당국(Monetary Authority of Singapore)이 암호화폐에 대한 투자에 있어서 심각한 리스크가 발생할 수 있음을 인지하고 극히 조심하라는 경고를 발표했다.
  • 암호화폐 거래소인 유빗(구 야피존)이 일년새 두번 연속 해킹을 당하면서 결국 파산을 선언했다. 유빗이 이변 년도에만 두번째 해킹을 당하면서 결국 운영을 중단했다. 유빗은 화요일에 파산을 선언했다. 유빗은 지난번 해킹 공격에서 17퍼센트의 자산을 잃었다고 밝혔다. 대한민국 내 암호화폐 거래소가 파산한 첫번째 사건이다. 8개월 전, 해커가 유빗 전체 자산의 거의 40퍼센트에 해당하는 4,000 비트코인을 훔친 바 있다.

Detailed News List

  • Database Botnet
    • [DarkReading]
      New Database Botnet Leveraged for Bitcoin Mining
  • Singapore
    • [SecurityWeek]
      Singapore Issues Cryptocurrency Warning
    • [ZDNet]
      Singapore issues another cautionary note on cryptocurrencies
  • Youbit
    • [SecurityAffairs]
      South Korea cryptocurrency exchange Youbit shuts down after second hack in 2017
    • [GrahamCluley]
      Bitcoin exchange shuts down after being hacked twice in one year
    • [TripWire]
      Bitcoin Exchange Bids Adieu after Suffering Second Hack This Year
    • [SecurityWeek]
      South Korea Cryptocurrency Exchange Shuts Down After Hacking

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 최악의 비밀번호 목록에 대한 통계가 발표되었다. 역시나 이번년도에도 변함없이 123456과 같은 너무나 뻔한 비밀번호들이 상위를 차지하고 있다.
  • 영국 인터넷 서비스 제공사(ISP)가 이번년도 들어 두번째로 TeamViewer를 차단했다. 사용자를 잠재적인 사기범들(Scammers)로 부터 보호한다는 목적하에서다. 지난번 TeamViewer가 차단된 일은 이번 해 3월이었다. 차단은 채 하루가 넘지 않았다. TalkTalk은 인터넷 서비스 제공사(ISP)로 2015년에 157,000명의 사용자 개인정보를 노출시키는 데이터 침해사고를 겪은바 있다.
  • 다크웹에서 14억개의 평문 인증정보(credentials)를 담고있는 파일이 발견되었다. 최근 다크웹을 모니터링하는 4iQ에서 41기가바이트의 거대한 파일을 발견했다. 이 파일은 14억개의 로그인 인증정보를 담고 있는데, 그 내용은 이메일과 비밀번호가 평문(cleartext)으로 기록되어있다. 연구자들은 이 파일이 지금까지 다크 웹에서 발견된 것들 중 가장 큰 종합 데이터베이스라 보고있다. 4iQ의 블로그 포스트에서 밝힌 바에 따르면, 이 덤프는 이전의 252개의 침해사고를 하나로 모은 것으로 보인다. 이 파일은 다크웹에서 2017년 12월 5일에 발견되었고, 총 데이터 량은 1,400,553,869개의 사용자이름, 이메일, 평문 비밀번호다. (11일에서 이어짐)

Detailed News List

  • 123456
    • [TripWire]
      “123456” Still Reigns Supreme on Worst Passwords List
    • [CSOOnline]
      Top 25 worst, most insecure passwords used in 2017
    • [TrendMicro]
      With 1.4 Billion Stolen Log-Ins on the Dark Web, it’s Time to Take Password Management Seriously
    • [DarkReading]
      ‘Starwars’ Debuts on List of Worst Passwords of 2017
  • TalkTalk
    • [TheRegister]
      TalkTalk banbans TeamTeamviewerviewer againagain
  • 1.4 Billion
    • [TheRegister]
      Archive of 1.4 BEEELLION credentials in clear text found in dark web archive

 

Posted in Security, Security NewsTagged Copperfield, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, CVE-2017-5254, Cyber Espionage, DDE, Dynamic Data Exchange, GnatSpy, HatMan, Hex-Men Attack, Industrial Control System, Internet of Things, IoT, Loapi, Loki, Malware, NetTraveler, Operation Dragonfly, PYLOT, Scam, Sphinx, TelegramRAT, Travle, Triton Malware, VulnerabilityLeave a comment

Security Newsletters, 2017 Dec 18th, Zealot Campaign: Monero 채굴기 유포 外

Posted on 2017-12-18 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 질럿 캠페인(Zealot Campaign)이 NSA의 익스플로잇을 사용해 모네로(Monero) 채굴기를 윈도우즈 및 리눅스 서버에 유포하고 있다. F5 Networks의 보안연구가들이 정교한 악성코드 캠페인을 탐지해냈다. Zealot 캠페인으로 명명된 이 공격은 공격대상 서버에 드랍되는 zealot.zip 파일이름을 따라 지어졌다. 이 공격은 리눅스와 윈도우즈 서버를 공격 대상으로 하며, 모네로(Monero) 암호화폐 채굴기를 설치한다. 이 공격자들은 인터넷에 패치되지 않은 서버들을 스캔하며, 이 서버들을 두가지 익스플로잇을 사용해 해킹한다. 하나는 아파치 스트러츠(CVE-2017-5638) 취약점이며, 하나는 NotNetNuke ASP.NET CMS(CVE-2017-9822) 취약점이다.
  • 북한이 배후에 있는 것으로 추정되는 라자러스(Lazarus) 그룹이 런던의 암호화폐 기업을 공격했다. 악명높은 APT 그룹중 하나인 라자러스(Lazarus) 그룹이 복귀하며 런던의 암호화폐 기업의 직원 인증정보(credentials)를 훔치기 위한 스피어피싱(spearphishing) 캠페인을 진행하고 있다. 라자러스 그룹의 활동은 2014년과 2015년에 급등했는데, 이 그룹의 일원이 맞춤형 악성코드를 공격에 사용했으며, 이들에 대해 조사했던 보안전문가들은 이를 아주 정교한 악성코드로 평가하고 있다. 이들은 최소 2009년 부터 활동해 왔으며, 이르면 2007년까지도 생각할 수 있다. 그리고 사이버 스파이 행위와 데이터 및 시스템 장애를 목적으로 한 파괴행위까지 모두 연관되어 있다. 보안연구가들은 복한의 라자러스 APT 그룹이 최근 방글라데시 사이버 절도사건을 포함한 은행공격의 배후임을 밝혀냈다. 이들에 따르면, 이 라자러스 그룹이 전세계를 대상으로 하는 기타 다른 대규모의 사이버 스파이 작전들의 배후이기도 하다. 여기에는 Troy Operation, DarkSeoul Operation, Sony Pictures 해킹도 포함된다. (16일에서 이어짐)

Detailed News list

  • Zealot Campaign
    • [SecurityAffairs]
      Zealot Campaign leverages NSA exploits to deliver Monero miners of both Windows and Linux servers
  • Lazarus
    • [HackRead]
      Lazarus group conducting malware attacks to steal Bitcoins

 

Malwares

Summaries

  • 트렌드 마이크로(Trend Micro) 보안 연구가들이 최근 ATM에서 정보를 훔치는 목적으로 특화된 악성코드를 발견했다. PRILEX라고 명명된 이 악성코드는 비쥬얼베이직(Visual Basic) 6.0으로 작성되었다. 이 악성코드는 뱅킹 어플리케이션을 하이재킹하고 ATM 사용자들의 정보를 훔치도록 설계되었다. 이 악성코드는 브라질에서 발견되었다. 처음 보고 된 것은 2017년 10월 이었으며, PRILEX는 특정 동적 링크 라이브러리(DLLs, Dynamic Link Libraries)를 후킹해 자체 응용프로그램 화면으로 대체(replace)하도록 만들어졌다. 공격 대상이 되는 DLL들은 브라질 은행에서 사용하는 ATM 어플리케이션에 속한 P32disp0.dll, P32mmd.dll, P32afd.dll 이다. (16일에서 이어짐)

Detailed News List

  • ATM Malware
    • [SecurityAffairs]
      New PRILEX ATM Malware used in targeted attacks against a Brazilian bank

 

Exploits/Vulnerabilities

Summaries

  • 아이폰X의 페이스 아이디(Face ID)가 뚫렸다는 기사는 여러번 반복되었는데, 이번에는 가면이나 가족이 아닌 직장동료의 페이스 아이디 인증을 통과한 중국 여성의 사례가 기사화 되었다. Jiangsu Broadcasting Corp에 따르면, 직장동료가 페이스아이디로 iPhoneX의 잠금을 해제할 수 있다고 컴플레인을 건 중국 여성에게 애플스토어가 어쩔 수 없이 환불을 해줬다고 한다. 애플 스토어 직원은 처음에는 불가능하다며 환불을 거부했지만 클레임을 건 Yan이 직접 직장동료와 함께 방문해 페이스아이디를 해제하는 것을 시연해 보이자 환불을 해주었다고 한다. (기사를 보면 둘이 비슷하게 생기긴 했다)

Detailed News List

  • iPhone X FaceID
    • [HackRead]
      Chinese woman unlocks colleague’s iPhone X through Face ID

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 42세의 Austin의 AlienVault office의 엔지니어링 부사장 Yariv Kaplan과 그의 9세 딸이 집에서 사망한채로 발견되었다고 Travis Country 보안관 사무실이 밝혔다. Austin American의 대변인은 당국이 Southweb Austin에 위치한 집에 월요일에 진입해 시체 두 구를 찾았다고 밝혔다. 수사관들은 증거로 볼때 Kaplan이 자살하기 전 자신의 딸을 먼저 쏜 것으로 보인다고 말했다. KXAN에 따르면, Kaplan이 이혼절차중에 있었으며 딸의 양육권을 얻으려 노력중에 있었다는 것을 트레비스 카운티 법원 기록에서 알 수 있었다. AlienVault는 Patch.com에게 Kaplan의 근무 사실을 확인해 주었으나, 아직 회사로부터의 코멘트는 없다.
  • 미 정부가 이탈리아의 보안기업 해킹팀(Hacking Team)의 방대한 데이터 유출사건에 대한 수사를 방해했다는(undermined) 주장에 대해서 부인했다. 지난 주, 밀라노의 치안 판사 (magistrate)는 2015년 데이터 절도 사건에 관여한 것으로 추정되는 용의자 6명에 대한 수사를 보류(shelving)할 것을 권고했다. 한 고위 사법기관 소식통에 따르면, 미국 관료들이 중요한 증거가 포함되어 있을지 모르는 주요 용의자와 관련된 컴퓨터들을 넘겨주지 않았다고 비판했다.

Detailed News List

  • Murder-Suicide
    • [AmericanInno]
      Cybersecurity Engineering Executive Found Dead in Apparent Murder-Suicide
  • US deinies
    • [FirstPost]
      US govt denies undermining an investigation into the massive data breach at Italian cybersecurityfirm Hacking Team

 

Vulnerability Patches/Software Updates

Summaries

  • 마이크로소프트(Microsoft)가 워드(Word)의 DDE(Dynamic Data Exchange) 기능을 비활성화 했다. 사이버 범죄자들이 동적 업데이트 교환 프로토콜을 악용하는 것을 방지하기 위해서 모든 버젼의 워드에서 해당 기능을 비활성화 했다. DDE 프로토콜은 윈도우즈 응용프로그램이 데이터를 서로간에 전송하는 목적으로 설계되었다. 오피스 응용프로그램간에 데이터를 교환하기 위해 공유메모리를 사용하며, DDE 프로토콜은 오피스에서 오브젝트 링크 및 임베딩(OLE, Object Linking and Embedding)을 대체해왔다.

Detailed News List

  • Microsoft disables Dynamic Data Exchange Protocol in Word
    • [SecurityWeek]
      Microsoft Disables Dynamic Update Exchange Protocol in Word

 

Privacy

Summaries

  • 멜번의 연구가들이 정부에게 익명화된(anonymised) 데이터 공개에 대해 경고했다. 멜번 대학교(Melbourne University)의 Chris Culnane, Benjamin Rubinsteinm, Vanessa Teague 박사의 결론에 따르면, 정부가 작년에 공개한 의료데이터를 사용해 개인을 재 식별(re-identified)해 낼 수 있었다.

Detailed News List

  • Anonymisation
    • [ZDNet]
      Re-identification possible with Australian de-identified Medicare and PBS open data
    • [TheRegister]
      No hack needed: anonymisation beaten with a dash of SQL

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 러시아의 송유관 제어 컴퓨터가 해킹되어 모네로(Monero) 암호화폐 채굴 작업에 동원되었다. 12월 15일 금요일에 러시아 당국이 밝힌 바에 따르면, 세계에서 제일 큰 국영 파이프라인 기업인 Transneft가 사이버 공격을 당했으며 컴퓨터들이 해킹되어 모네로를 채굴했다. Reuters에 따르면, 회사 대변인 Igor Demin은 Transneft의 컴퓨터들이 자동으로 모네로 채굴 코드를 웹에서 다운로드 했다. 제한된 정보만이 제공되어 이렇게 침해당한 장치들에서 얼마나 많은 코인이 생성되었는지는 알려지지 않았다. (17일에서 이어짐)
  • 새로운 트라이톤(Triton) 악성코드가 주요 사회기반시설(critical infrastructure)에 대한 공격을 준비하고 있는 것이 탐지되었다. 산업 제어 시스템(ICS, Industrial Control Systems)을 노리는 새로운 Triton 악성코드가 파이어아이(FireEye) 연구자들에 의해 발견되었다. 트라이톤(Triton)이라 명명된 이 악성코드는 이름이 알려지지 않은 주요 사회기반시설 기관(critical infrastructure organization)을 노린 공격에 사용되어왔다. 보안전문가들은 금전적인 동기가 부족한 점과 공격의 정교한 수준으로 보았을때, 국가가 배후에 있는(state-sponsored) 공격자가 사보타주를 목적으로 한 것으로 보고있다. 파이어아이는 아직까지 Triton 공격을 어떠한 APT 그룹과도 연관짓지 않았다. 보안 전문가들은, 그들이 탐지한 행위들이 작전의 정찰단계 일부(part of the reconnaissance phase)였을 것이라 추정하고 있다. Triton 악성코드는 Schneider Electric의 Triconex Safety Instrumented System(SIS) 컨트롤러를 공격 대상으로 만들어졌다. 이 제품들은 산업 환경에서 프로세스 상태를 모니터하고 잠재적으로 위험한 상황에서 안전하게 복구하거나 차단하기 위한 제품이다. (15일에서 이어짐)

Detailed News List

  • Russian Pipeline giant
    • [SecurityAffairs]
      The Russian pipeline giant Transneft infected with a Monero cryptocurrency miner
  • Triton
    • [TheInciderCarNews]
      Cyber security firm responds to ICS Attack framework dubbed Triton
    • [AutomationWorld]
      Cyber Attack Hits Safety System in Critical Infrastructure

 

Posted in Security, Security NewsTagged Crypto Currency, Cryptocurrency Mining, CVE-2017-5638, CVE-2017-9822, Cyber Espionage, DDE, FaceID, ICS, Industrial Control System, Lazarus, Malware, Patches, PRILEX, Privacy, Re-Identification, Triton Malware, Vulnerability, Zealot CampaignLeave a comment

Security Newsletters, 2017 Nov 25th, Necurs Botnet 외

Posted on 2017-11-25 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats

Summaries

  • 세계 최대 규모의 스팸 봇넷인 Necurs가 새로운 버젼의 Scarab 랜섬웨어를 유포하고 있다. 이 캠페인은 추수감사절 7:30 UTC에 시작되었으며, 13:30 UTC에 보안기업 Forcepoint에 의해 1250만 건 이상의 이메일이 차단되었다. 또한 이 캠페인을 탐지한 F-Secure는 악성 .vbs 스크립트 다운로더가 7zip으로 압축되어 전달되는 것을 확인했다고 발표했다. Scarab 랜섬웨어는 2017년 6월에 처음 발견되었다. F-Secure에 따르면 Scarab은 HiddenFear라 불리는 오픈소스에 기반한다.

Detailed News list

  • Necurs Spam Botnet, Scarab Ransomware
    • [SecurityWeek] Necurs Returns With New Scarab Ransomware Campaign

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 이탈리아 보안연구가인 Lino Antonio Buono가 발견한 거의 모든 버젼의 마이크로소프트 오피스(Microsoft Office)제품에 영향을 미치는 보안 취약저메 대한 기사가 이어지고 있다. 이 취약점은 기존 DDE(Dynamic Data Exchange)기능을 악용한 공격처럼 마이크로소프트 오피스의 기본 기능을 사용해서 파일을 열어보기만 해도 동작하는 악성코드를 제작할 수 있다. 이 취약점은 해커가 매크로 기반의 자가복제(Self-Replicating) 악성코드를 MS 워드(Word) 문서로 만들어서 배포할 수 있게한다. 그러나 마이크로소프트는 Buono가 해당 내용을 알렸음에도, 이는 보안 취약점으로 볼 수 없다는 입장이다. 해당 기능이 이렇게 동작하도록 기획(designed)되었다는 것인데, 이는 최근 악성코드 배포에 애용되고 있는 DDE기능에 대해 마이크로소프트가 취했던 입장과 동일하다. 그리고 바로 얼마 지나지 않아 이 기능을 사용하는 PoC(Proof-of-Concept) 수준의 악성코드 qkG가 베트남에서 바이러스 토탈(VirusTotal)에 업로드 된 것이 트렌드마이크로(Trend Micro)에 의해 탐지 되었다.

Detailed News List

  • Self-Replicating Malware uses MS Office’ Default Function
    • [HackRead] MS Office’ Default Function Can Be Used to Create Self-Replicating Malware

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 미국의 유명 케이블 방송사 HBO(Home Box Office)를 해킹해 미방영된 에피소드 등 기밀자료와 데이터를 훔친 혐의를 받고있는 해커 Behzad Mesri가 누구인지 특정은 되었지만, 체포가 가능할 것인가 하는 의문이 제기되고 있다. FBI가 사건의 배후에 있다고 여겨지는 해커인 일명 Skote Vahshat을 특정하고 기소한다는 결과까지 만들어 냈지만, 그가 미국과 최악의 관계를 유지해온 이란에 살고있다는 것이 문제다.

Detailed News List

  • Iranian Hacker Behzad Mesri aka “Skote Vahshat”
    • [NakedSecurity] Alleged HBO hacker is an Iranian the FBI can’t arrest

 

Data Breaches/Info Leakages

Summaries

  • 카스퍼스키 랩(Kaspersky Lab)에 따르면, 온라인 데이트 사이트의 방문자 중 약 1/3이 민감한 기업정보를 위험에 처하게 만드는 기업체의 오너이거나 매니저라고 한다. 러시아의 안티바이러스 기업인 카스퍼스키랩은 전세계 6400명 이상의 온라인 데이트 사용자들을 분석해 리포트를 발표했다. 이 결과에서는 기업체 우두머리들이 잠재적으로 민감한 정보를 이런 사이트들에서 더 많이 노출시키는 것으로 드러났다. 약 1/5 이상(22%)의 사용자들은 일반 사용자(12%)들 보다 더 자신이 일하는 위치를 프로필에 등록해 공개한다고 밝혔고, 1/4(24%)은 거래 비밀(trade secret)과 다른 업무 상세 정보를 공유한 것으로 드러났다.

Detailed News List

  • Dating sites
    • [InfoSecurityMagazine] Bosses Expose Company Secrets on Dating Sites

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 영국 런던 경찰이 영국내 소비자들에게 연말 온라인 사기에 대해 주의하라고 경고했다. 이번에 확인된 통계에서는 지난해 연말 쇼핑기간 동안에 영국에서만 사기사건으로 1600만 파운드의 엄청난 손실이 있었다. 이 수치는 2015년에 비해 45% 증가한 것으로, 2016년에 15,423명의 이용자가 사기를 당한 것으로 나타났다. 그리고 온라인 경매 사기가 대다수인 65%를 차지했다. 소비자들은 평균적으로 727파운드(한화 약 100만원) 가량을 eBay, Gumtree, Etsy와 같은 사이트에서 손해를 입은것으로 나타났다.

Detailed News List

  • Online Fraud Warning
    • [InfoSecurityMagazine] UK Shoppers Lost £16m to Fraud Last Christmas

 

Crypto Currencies/Crypto Mining

Summaries

  • 코인 파우치(CoinPouch)가 해킹당했다. 텍사스에 위치한 코인파우치가 트위터를 통해 해킹사실을 알렸다. 그들의 Verge 화폐를 저장하는 노드들 중 하나가 해킹에 의한 영향으로 사용자의 펀드에 손실이 생기는 결과가 있었다는 것이다. 이들은 또한 훔친 금액이 흘러들어간 것으로 생각되는 지갑 주소(DM5Esw71BnTdJzX1FWpNLvdnrLuCS91v4N)도 공개했는데, 해당 지갑을 조회하면 1억 2600만 Verge 코인(XVG 126,138,145)이 지갑에 들어있다. 이는 약 66만 8532달러(한화 약 7억원)의 금액이다. 그리고 Reddit에서는 한 사용자가 다른 지갑 주소(D97fyoejXSLfcGwxC4UQt7AXKSnJwDiBxC)를 공개했는데, 여기에는 XVG 377,000,000 코인이 들어있었고 이는 약 199만 달러 가량(한화 21억)이다. 기사 작성으로 확인할 당시엔 XVG 17,000,000가 남아있었다.

Detailed News List

  • CoinPouch Hacked
    • [HackRead] Blockchain Wallet CoinPouch Hacked; Verge Coins Stolen
Posted in Security, Security NewsTagged CoinPouch, Crypto Currency, Cyber Espionage, DDE, Dynamic Data Exchange, Information Leakage, Insider Threat, Malware, Necurs Botnet, qkG, Scam, Scarab RansomwareLeave a comment

Security Newsletters, Nov 11th, 2017

Posted on 2017-11-11 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Intelligence

Summaries

  • 카스퍼스키랩(Kaspersky Lab)이 아제르바이잔(Azerbaijan)의 다수의 기업 사용자들이 사이버 공격의 대상이 되고 있다고 밝혔다. 2017년의 10개월에 걸쳐 아제르바이잔의 5,500명의 기업 사용자들이 사이버 공격의 목표물이 되었다고 아제르바이잔 카스퍼스키랩의 대변인 Mushvig Mammadov가 Trend와의 인터뷰에서 말했다. 그는 평균 사용자들이 50번의 사이버 공격에 노출된다고 말했다. 대부분의 사이버 공격은 악성코드에 일어나며, 기업 직원들의 사이버 보안에 대한 낮은 이해 때문이기도 하다고 말했다.
  • 윈도우즈 무비 메이커(Windows Movie Maker) 사기(Scam)가 검색최적화(SEO, Search Engine Optimization)을 통해 전세계로 퍼져나가고 있다. 윈도우즈 무비메이커 사기를 진행하는 범죄자의 웹 사이트가 검색엔진 최적화를 통해 구글에서 높은 순위를 차지하고 있어 전세계로 퍼져나가고 있다는 것이다. 윈도우즈 무비 메이커에 대한 사용자요구가 계속되는 와중에, 마이크로소프트는 무료 비디오 편집 소프트웨어인 윈도우즈 무비 메이커를 2017년 1월에 중단했다. 보안기업 ESET은 스캐머(Scammer)가 순진한 사용자로부터 돈을 긁어모으기 위한 용도로 수정된 버젼의 소프트웨어를 사용하고 있는 것을 발견했다. 흥미롭게도 이 사기사건은 범죄자의 웹사이트가 검색엔진 최적화에 의해 촉진되고 있다. 사용자가 이 소프트웨어를 설치하면 윈도우즈 무비 메이커 처럼 기능하는 것으로 보인다. 그러나 사용자에게 계속적으로 모든 기능을 사용할 수 있는 정식 버전(full version)으로 업그레이드 하라는 알림이 뜨고, 사용자아게 29.95 달러를 요구한다.

Detailed News list

  • Cyber attacks in Azerbaijan
    • [Trend] Kaspersky Lab reveals number of corporate users subjected to cyber attacks in Azerbaijan
  • Windows Movie Maker Scam
    • [InfoSecurityMagazine] Windows Movie Maker Scam Uses SEO to Go Global

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 마이크로소프트가 DDE(Dynamic Data Exchange)공격 위협 경감을 위한 방안을 제시했다. 이 안내에서는 오피스의 새로운 레지스트리 설정을 추가해서 해당 기능을 안전하게 비활성화 하는지를 다루고 있다. 기존의 DDE 공격은 응용프로그램 간 데이터가 자동으로 교환되는 기능을 이용한 공격이었다. 이 설정을 추가하면 더이상 각 응용프로그램 간에 자동으로 데이터가 갱신되지 않는다. 이는 엑셀 사용자들 중 자동으로 업데이트 되어야 하는 스프레드시트 등을 사용해야 하는 사용자들에게는 영향을 미칠 수 있는 방법이다.
  • 독일 사용자를 노리는 랜섬웨어로 위장한 Ordinypt(Ordinypt wiper)가 활동중이다. 새로운 악성코드인 Ordinypt는 랜섬웨어로 위장하고 독일 사용자만을 노리고 있다. 랜섬웨어로 위장했다고 말하는 이유는, 이 악성코드는 사용자의 파일을 암호화 하는 대신 의도적으로 파일을 손상시킨다. 이 악성코드는 독일어로 쓰여진 이메일을 통해 유포되며, 구인 광고에 대한 답장 이력서로 가장한다.
  • 인텔의 매니지먼트엔진(ME, Management Engine)에 대한 조금 더 상세한 기사가 나왔다. 최근 인텔 칩셋에 Minix에 기반해서 파일 시스템 및 네트워킹 스택 그리고 웹서버까지 동작하는 숨겨진 기능이 숨어있다는 것. 엔드유저는 일반적으로 알 수 없고, 잘 알려지지도 않았지만 인텔이 컴퓨터 속에 다양한 기능을 수행할 수 있는 작은 컴퓨터가 하나 더 숨겨 놓았다는 것이다. 구글은 보안상의 문제로 이 기능들을 제거하고 있으며, 몇몇 전문가들에 의한 이 기능을 비활성화 하는 방법에 대해 설명은 있었지만 인텔로 부터의 직접적인 언급이나 가이드는 없었다. 이 숨겨진 컴퓨터에는 전체 네트워킹 스택(full networking stack)과 파일시스템, 드라이버들(USB, networking, etc), 웹서버가 포함된다.

Detailed News List

  • DDE Attack
    • [ThreatPost] MICROSOFT PROVIDES GUIDANCE ON MITIGATING DDE ATTACKS
  • Ordinypt wiper
    • [SecurityAffairs] Ordinypt is a wiper disguised as ransomware that targets German users
    • [BleepingComputer] Ordinypt Ransomware Intentionally Destroys Files, Currently Targeting Germany
  • Intel Management Engine
    • [TechDirt] Recent Intel Chipsets Have A Built-In Hidden Computer, Running Minix With A Networking Stack And A Web Server
    • [HackRead] Intel’ Management Engine Tech Just Got Exposed Through USB Ports

 

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

  • 스코틀랜드 정부가 국가공공영역의 사이버보안 향상을 위한 사이버 탄력성 행동 계획(Cyber Resilience Action Plan)을 발표했다. 이번에 발표된 Safe, Secure and Prosperous: A Cyber Resilience Strategy for Scotland에서는 2017-18년의 행동 계획을 설명하고 있다. the government north of the border and the National Cyber Resilience Leaders’ Board에서 작성한 이 보고서는 공공영역(the public sector)에서의 사이버 탄력성의 문화(a culture of cyber resilience)를 만드는 것을 목표로 두고 있다.

Detailed News List

  • Cyber Resilience Action Plan
    • [InfoSecurityMagazine] Scottish Government Launches Cyber Resilience Action Plan

 

Privacy

Summaries

  • Appthority가 발표한 Eavesdropper 취약점에 대한 기사가 이어지고 있다. Twilio의 Rest API와 SDK를 사용하는 모바일 어플리케이션에서 인증정보를 부주의하게 하드코딩해서 민감한 정보들이 노출되는 상황에 처한 것이다. 보안연구자들은 거의 700개의 어플리케이션이 실제로 위협으로 작용할 수 있으며, 170개 이상의 어플리케이션은 현재 공식 앱스토어에 그대로 있는 것으로 확인했다. 영향을 받는 안드로이드 앱들은 1억 8천만 회 다운로드 되었다. 이렇게 영향을 받는 앱의 예를 들자면, 정부 사법기관의 보안 통신을 위한 앱이나, 기업의 세일즈 팀이 오디오를 녹음하고 토론에서 실시간으로 주석을 달 수있게 해주는 앱 등이다.
  • 구글이 진행한 다크웹 마켓에 대한 연구에서 직접적인 공격으로 훔친 수백만명의 사용자명과 비밀번호가 발견되었다. 그리고 서드파티(third-party)의 데이터 침해로 간접적으로 유출된 수십억명의 사용자명과 비밀번호는 수십억건이 발견되었다. 연구는 2016년 3월부터 2017년 3월까지 버클리의 캘리포니아 대학(the University of California)와 진행되었고, 공개 웹사이트와 범죄 포럼에서 훔친 인증정보에 대한 스캔을 자동화하는 시스템을 제작했다. 연구자들은 788,000개의 계정정보가 키로거(Keylogger)를 통해 도둑맞았고, 1200만개의 인증정보가 피싱(Phishing)을 통해, 33억개의 계정정보는 제3자(third-party) 데이터 침해를 통해 도둑맞았음을 발견했다. 제3자 데이터 침해의 경우에 12%의 노출된 레코드들은 Gmail 주소가 포함되어 있었다. 구글은 이 연구를 통해 6700만개의 구글 계정이 악용당하는 것을 막는 보호조치를 취할 수 있었다고 밝혔다.
  • 미국 법무부장관(US Deputy Attorney General) 로드 로젠스타인(Rod Rosenstein)이 법 집행기관을 돕기위한 암호 백도어(encryption backdoors)에 대한 요청을 반복했다. 서덜랜드 스프링스(Sutherland Springs)의 교회(the First Baptist Church)에서 일어난 이 사건은 최소 26명이 사망했다. 사망한 용의자 데빈 켈리(Devin Kelley)의 휴대폰은 현재 수사관들이 확보하고 있으나 접근할 수 없는 상태다. 비슷한 상황의 샌 버나디노의 대량 사살 사건으로, 결국 애플과 FBI가 법정에 서게되는 일도 있었다. 애플이나 페이스북, 또는 기타 다른 기술업체가 백도어를 만들어 정상적으로 법을 준수하는 일반 고객을 위험에 처하게 하지 않으면서도 이러한 사건에서 경찰에게 내용물에 접근할 수 있도록 해줄 수 있는 방법은 없다는 것은 이제 잘 알려져 있다. 그러나 그러한 이유가 로젠스타인(Rosenstein)이 기술 업체들에게 백도어를 만들라고 촉구하는 것을 막지는 못했다.

Detailed News List

  • Eavesdropper
    • [HelpNetSecurity] Eavesdropper vulnerability exposes sensitive corporate communications data
    • [ThreatPost] EAVESDROPPER VULNERABILITY EXPOSES MOBILE CALL, TEXT DATA
    • [InfoSecurityMagazine] Millions of Android Apps at Risk from Eavesdropper Vulnerability
    • [HackRead] “Eavesdropper” Flaw Exposes Millions of Call, Texts and Recordings
    • [DarkReading] ‘Eavesdropper’ Exposes Millions of Mobile Conversations
  • Stolen Credentials For Sale
    • [InfoSecurityMagazine] Google Research Finds Stolen Credentials For Sale
  • Encryption
    • [InfoSecurityMagazine] Texas Church Shooting: More Calls for Encryption Backdoors

 

Deep Web/DarkNet/Onion

Summaries

  • 레코디드퓨쳐(Recorded Future)의 지하 경제의 사이버 범죄자들에게 투자하는 경우의 수익률에 대하여 설명하는 흥미로운 리포트가 나왔다. 결론적으로는 사이버범죄는 수익률이 좋은 비즈니스이며, 투자의 수익률은 꽤 높을 수 있다. 봇넷을 만들고, 뱅킹 트로이를 전문 악성코드 제작자을 통해 만드는 것은 꽤 쉽고 값싸게 할 수 있다. 3,000 달러에서 5,000 달러 정도면 된다. 은행 계좌 인증정보를 가로채기 위한 web-injects는 100달러에서 1,000달러 까지다. 그리고 방탄(bulletproof) 호스팅이 필요한데, 이건 달마다 150달러에서 200달러 정도가 든다. 탐지 회피를 위한 페이로드 난독화 도구는 50달러 정도다.
  • 다크웹에서 차량 폭탄을 구입하려한 십대가 유죄 판결을 받았다. 영국인 십대가 다크웹에서 차량 폭탄을 구매하려한 혐의로 유죄 판결을 받았다. 영국의 국가범죄기구(NCA, National Crime Agency)에 따르면, 경찰이 5월에 웨스트 미들랜드(West Midlands)의 와이트윅(Wightwick)에서 19세의 Gurtej Randhawa를 체포했다. 국가 범죄기구의 무장작전본부(AOU, Armed Operation Unit)가 주도한 이 수사에서 Randhawa는 차량탑재급조폭발물인 VBIED(Vehicle Borne Improvised Explosive Device)를 구매하려고 했다. NCA는 수화물을 Randhawa가 특정한 주소지로 배달하기 전 가짜 장치로 바꿔치기 하고 전달했다. 그리고 장치를 테스트할 때 까지 기다린 후 Randhawa와 18세, 45세의 두명의 여성을 체포했다. 두명의 여성은 기소되지 않고 풀려났다.

Detailed News List

  • Return on investments in the cybercriminal underground
    • [SecurityAffairs] Experts explain the Return on Investments in the cybercriminal underground
  • Car bomb
    • [NakedSecurity] The teen who bought a car bomb on the Dark Web

 

Security Breaches/Info Leakages

Summaries

  • 이스트 앵글리아 대학교가 두번째 심각한 정보유출에 시달리고 있다. 이 사고는 한 직원의 신상정보가 300명의 대학원생들에게 전송되면서 일어났다. 관리자가 우연히 이메일 배포 목록을 사용해서 사회과학 교수진의 연구결과를 보내려다가 발생한 것으로 보인다. 두번째 메일은 해당 메일 수신인들에게 건강 세부사항이 노출된 직원의 개인의 정보를 기밀로 취급해 보호해 줄 것을 요청하는 내용이 보내졌다.
  • 위키리크스(WikiLeaks)의 Vault 8에 대한 기사도 이어지고 있다. 최근 위키리크스가 폭로한 Vault 8에 따르면 지난 Vault 7에서 폭로한 미 중앙정보국(CIA, Central Intelligence Agency)의 각종 익스플로잇과 악성코드들을 사용해 CIA가 그것들을 다수의 작전에서 원격으로 제어하고 조종하기 위한 하이브(Hive)라는 인프라를 운영했던 것으로 드러났다. 프로젝트 하이브(Project Hive)는 CIA의 여러 운영자가 다수의 작전에서 악성코드를 원격으로 제어해서 대상 시스템에서 특정 명령을 수행하고, 시스템에서 추출한 정보를 수신할 수 있도록 만든 서버 컴포넌트다.

Detailed News List

  • University of East Anglia
    • [InfoSecurityMagazine] University of East Anglia Suffers Second Leak
  • Vault 8
    • [HackRead] WikiLeaks’ Vault 8 Leaks Show CIA Impersonated Kaspersky Lab

 

Technologies/Technical Documents/Reports

Summaries

  • 최근 Bad Rabbit 랜섬웨어 등의 악성코드에 사용된 Mimikatz 윈도우즈 계정 해킹툴을 만든 Benjamin Delpy의 일화를 읽어볼 수 있는 기사가 나왔다.
  • 개발자들이 보안에 무심하다는 설문 결과가 나왔다. Node.js에 대한 설문이지만, 언어만의 특성은 아닐 것이란 생각이 든다. 300여명의 CTO 및 CIO, 개발자를 대상으로한 설문 결과에 따르면, 개발자들이 인터넷에서의 운영의 위험성과 보안코드 작성의 복잡성에 대해 완전히 이해하고 있다고 해도 위협을 인지하고 완화시키기 위한 도구들의 이점을 취하지 않는다는 것이다.
  • 2018년에 POS(Point-of-Sale) 랜섬웨어로 인한 마비(Outage) 사태를 예상하는 보고서가 나왔다. 포레스터(Forrester)의 보고서에 의하면 2018년에는 사이버 범죄자들이 수익 창출을 위해 IoT 시스템을 대상으로 하는 공격과 POS 시스템에 랜섬웨어 설치를 할 것이란 예상이 나왔다. 이 리포트는 또한 금전적인 동기를 가진(financially motivated)의 해커들이 IoT 시스템에서 랜섬웨어 공격과 데이터를 훔치는 공격을 시작 할 것은 물론, DDoS 공격을 수행하기 위해 IoT 장비들을 침해하려 할 것이라 경고했다.
  • 카스퍼스키랩(Kaspersky Lab)의 조사에 따르면, 유럽, 영국, 이스라엘의 16세 이하 여성들은 사이버보안 관련 직업을 원하지 않는다. 4,000명의 영국, 미국, 프랑스, 독일, 이탈리아, 스페인, 이스라엘, 네덜란드의 여성에게 조사를 한 이 리포트는 남여 각각 1/3과 1/4이 IT 보안 전문가를 괴짜라고 생각한다 했으며, 조사에 응한 여성들 중 78%는 사이버보안 분야에서의 경력을 생각해본적 없다고 답했다.
  • 유로폴에서 하루 4,000건의 랜섬웨어 공격이 일어나고 있다고 경고했다. 랜섬웨어 공격이 하루 4천건이 발생하고 있으며, 사이버범죄 작전이 거대해지고 교묘해지면서 주요 사화기반시설을 위협살 정도라고 경고했다.

Detailed News List

  • Benjamin Delpy and Mimikatz
    • [Wired] HE PERFECTED A PASSWORD-HACKING TOOL—THEN THE RUSSIANS CAME CALLING
  • Node.js Security
    • [HelpNetSecurity] Node.js security: Are developers confident in the quality of their code?
  • POS ransomware outage
    • [InfoSecurityMagazine] Forrester: Expect POS Ransomware Outages in 2018
  • Women do not want cybersecurity career
    • [InfoSecurityMagazine] Women Decide Against Cybersecurity Career Aged 16
  • Europol
    • [InfoSecurityMagazine] Europol Boss Warns of 4000 Ransomware Attacks Per Day

 

Social Engineering

Summaries

  • 온라인에서 4Chan이나 Reddit같은 곳을 통해서 어떻게 가짜뉴스가 생성되고, 선동되며 주류 소셜미디어로 퍼져나가는지 연구한 결과가 ACM에서 발표되었다. 지난 6월, 29세의 남성이 유명 워싱턴 피자가게에서 군사용 돌격 소총을 발사한 일이 있었다. 그는 아동 성노예로 갇혀있는 어린아이들을 구하고 있다고 믿고있었고, 재판에서 징역 4년을 판결 받았다. 다행히 Edgar Maddison Welch가 아무도 다치게 하거나 죽인 사람은 없었지만, 그의 머리속에는 피자게이트(PizzaGate)라는 음모론이 자리잡았다. 이는 위키리크스(WikiLeaks)의 해킹된 이메일에서 시작되었는데, 4chan의 극우 게시판에서 c.p라는 이니셜을 사용하는 사람이 치즈피자(Cheese pizza)를 아동성애자(Pedophiles)와 연결시키면서 일어났다.

Detailed News List

  • News ecosystem & fake news
    • [NakedSecurity] How Twitter outrage hatches in tiny fringe groups on 4chan and Reddit

 

Capture the flag/Cybersecurity Game

Summaries

  • 14번째 뉴욕 대학교의 사이버보안 인식 주간(CSAW, CyberSecurity Awareness Week) 게임이 시작되었다. 전 세계의 사이버 보안관련 학생들의 참여가 예상된다. 이 대회에서 뉴욕 대학교의 Tendon school of Engineering의 the Downtown Brooklyn campus에서는 화이트햇 학생들과 보안연구가들을 위해 폭넓은 범위의 컴퓨터 보안 기술을 다루는 24시간동안 진행되는(round-the-clock) 대회를 호스팅한다. 작년에는 이 이벤트는 NYU 아부 다비(Abu Dhabi)와 인도 공과 대학교(Indian Institute of Technology, ITT Kanpur)의 행사까지 포함한 이벤트로 확대되었었다. 올해는 훨씬 더 커져서 다섯개의 전세계 사이트와 함께한다. 그르노블 공과대학교(Grenoble Institute of Technology)의 6개 엔지니어링 대학 중 하나인 프랑스 발랑스(Valence, France)의 그르노블 INP(Institut Polytechnique de Grenoble)-Esisar(첨단 시스템과 네트워크 및 전자공학, 컴퓨터, 임베디드 기술을 총체
    적으로 포괄하는 다영역 프로그램)와 이스라엘 니게브(Negev, Israel)의 벤 구리온 대학(Ben-Gurion University)이 포함된다.

Detailed News List

  • NYU CSAW
    • [InfoSecurityMagazine] World’s Largest Student Cybersecurity Games Kicks Off at NYU

 

Posted in Security, Security NewsTagged Backdoor, CSAW, Cyber Espionage, Cyber Operation, Cyber Resilience Action Plan, DarkNet, Data Breach, DDE, Deep web, Eavesdropper, Exploit, Fake news, IME, Intel Management Engine, Keylogger, Malware, Mimikatz, Ordinypt, Phishing, POS, Privacy, Ransomware, Vault 7, Vault 8, VBIED, Vulnerability, Windows Movie Maker ScamLeave a comment

글 내비게이션

이전 글

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.