Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] DoS

Security Newsletters, 2017 Dec 9th, 안드로이드 야누스(Janus) 外

Posted on 2017-12-09 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 핵티비스트(Hacktivist)들이 이스라엘 공무원들의 이름, 이메일, 비밀번호와 미국 정부 사이트 목록을 온라인에 공개하고, 그들에 대한 공격을 요구하는 일이 있었다. 어나니머스(Anonymous)는 몇몇 사이트의 데이터를 유출했는데, 이는 그들의 중동에서의 정치 대한 미국의 간섭에 대항한 집단 보복으로 보인다. 어나니머스의 작전은 팔레스타인을 보호하고 도널드 트럼프가 예루살렘을 이스라엘의 수도로 인정하는 것(Donald Trump’s choice to recognize Jerusalem as the capital of Israel)에 대한 시위를 목표로 했다. 관련된 메시지가 사이버게릴라(cyberguerilla.com)에 게제되었다.
  • 인도 첩보기관(Indian Intelligence Bureau, IB)이 중국이 42개의 모바일 어플리케이션으로 감시하고 있는 상황을 우려해 군인들에게 삭제지시를 내렸다. 인도 정보기관이 중국 사이버 스파이가 유명 모바일 어플리케이션과 장치들을 사용해 인도의 보안 설비(security installations)에 대한 기밀정보를 수집하고 있다고 경고했다. 인도의 많은 사이버보안 전문가들은 궁국 군사 첩보 기관에 의한 스파이 행위 시도에 대한 우려를 표했다. 이 경고에는 42개의 중국의 유명 모바일 앱이 포함되어 있으며, WeChat, Truecaller, Weibo, UC Browser, UC News 등이 국가 보안에 심각한 위협이 될수 있다는 인도 첩보기관의 내용이 포함되어 있다.
  • 러시아 중앙은행(Central Bank of Russia)이 신년 연휴 이전에 금융기관에 대한 새로운 해커 공격에 대해서 경고했다. 중앙은행의 사이버 보안 부국장(Deputy Head of Cyber Security Department)인 Artem Sychev는 Cobalt Strike 바이러스를 사용하는 해커들의 공격이 줄어들었다고 발표했다. 그는 해커들이 연말에 은행 고객들이 엄청난 손실을 보게 만들 다른 공격을 준비하고 있을 것이라고 말했다.

Detailed News list

  • #OpUSA, #OpIsrael
    • [SecurityAffairs]
      #OpUSA – OpIsrael – Anonymous hit Israel and threatens cyberattack on US Govt
    • [CyberGuerilla]
      Anonymous OpUSA – OpIsrael: Israili Gov’t hacked and dumped
  • China is spying through 42 mobile apps
    • [SecurityAffairs]
      The Indian Intelligence warns China is spying through 42 mobile apps
  • Russian Central Bank
    • [EHackingNews]
      Russian Central Bank warned of possible Cyber Attack before New Year

 

Malwares

Summaries

  • 이전에 Blind라는 이름으로 알려졌던 나폴레온(Napoleon) 랜섬웨어에 대한 Malwarebytes Lab의 분석보고서가 발표되었다. 이 랜섬웨어는 이전에는 Blind라는 이름으로 알려졌고, 최근에는 .napoleon 이라는 확장자를 사용하며 몇가지 변경사항이 확인되었다. 지금까지 이 새로운 변종의 유포방식은 확실하게 확인되지 않았다. Malwarebytes의 추정은 공격자들이 직접 해킹당한 컴퓨터에 드랍 및 설치한는 것으로 보고있다. 랜섬웨어가 설치되고 난 후에는 파일들 하나씩 암호화하며, 확장자에 email.lapoleon을 추가한다. HTA 형식의 랜섬노트를 남기며, Napoleon의 윈도우 화면은 Blind에 비해서 단순해졌다.
  • 앞서 정리했던 Locky와 유사한 Scarab 랜섬웨어가 피해 대상이 몸값 지불에 흥정을 할 수 있게 허락하고 있다는 기사가 나왔다. Scarab 랜섬웨어는 6월에 처음 발견되었는데, 11월에 들어서 갑자기 수백만개의 스팸메일을 통해 유포되었다. 이 이메일은 Locky 랜섬웨어를 매우 성공적으로 유포한 것으로 유명한 Necurs 봇넷에 의해 유포되었다.
  • 11월 30일에 애플이 조용히 macOS XProtect 악성코드 방지 시스템에 OSX.HiddenLotus.A.라 불리는 것에 대한 시그니처를 추가한 일이 있었다. 히든로터스(HiddenLotus)가 무엇인가에 대해서는 의문으로 남았으나, 같은날 Arnaud Abbati가 샘플을 찾아서 트위터에서 공유하며 정체가 밝혀졌다. 히든로터스는 드로퍼(dropper)로 Lê Thu Hà (HAEDC).pdf라는 파일이름을 사용했다. 이 파일은 이전에 문서파일 형태로 위장한 악성코드들 처럼 특별할 것 없어 보이지만, 실제로는 pdf 확장자를 사용한다. 하지만 인식되기로는 응용프로그램으로 인식되는데, 여기에는 pdf의 d 문자가 영어 알파벳 d가 아닌 로마 숫자 500을 의미하는 D의 소문자를 사용했다.
  • Eset에 따르면 인터넷 서비스 제공업체(ISP, Internet Service Provider)가 연관된 것으로 보이는 FinFisher 악성코드가 새로운 종류의 스파이웨어로 대체되었다. ESET에서 Win32/StrongPity2로 탐지된 이 스파이웨어는 StrongPity라 불리는 그룹의 스파이웨어와 유사하다.
  • 유명 블로깅 웹 어플리케이션인 워드프레스(WordPress)를 사용하는 사이트에서 키로거가 발경되었다. 수천개의 워드프레스 사이트가 사용자의 입력을 가로채는 악성코드에 감염된 것이 발견되었다. 이 감염은 cloudflare.solutions이라는 악성코드로 웹사이트가 감염되었던 지난 4월의 캠페인 중 일부이다. 과거에 탐지되었을 당시에는 암호화폐를 채굴하는 기능이 포함되어 있었으며, 지금은 키로깅 기능이 포함되어 있다. 기사가 작성될 당시 cloudflare.solutions 악성코드는 5,495개의 웹사이트에 감염되어 있었으며 이 숫자는 증가하고 있는 것으로 보인다. (8일에서 이어짐)
  • 전세계 수백만 시스템을 감염시켰던 Conficker 웜이 9년이 지난 지금도 여전히 활발히 활동중이다. 이 웜은 제조, 헬스케어, 정부 분야의 조직에 강력한 위협으로 남아 있을 정도로 악성코드 방지 시스템에 의해 지속적으로 탐지되고 있다. Conficker 웜이 처음 등장한 것은 2008년이다. 이번주에 트렌드 마이크로가 발표한 리포트에 따르면, Downad라 불리는 웜은 이번 해에만 330,000건이 탐지되고 차단되었다. 이 수치는 트렌드 마이크로가 Conficker를 2016년에는 3000,000건, 2015년에는 290,000건을 탐지하고 차단한 수치와 거의 일치한다. 2008년에 처음 등장한 Conficker 웜은 처음 등장시 전세계 약 900만대의 놀라운 숫자의 컴퓨터 시스템을 감염시켰다. (8일에서 이어짐)

Detailed News List

  • Blind(Napoleon) ransomware
    • [Malwarebytes]
      Napoleon: a new version of Blind ransomware
  • Scarab ransomware
    • [ZDNet]
      This ransomware asks victims to name their own price to get their files back
  • HiddenLotus
    • [Malwarebytes]
      Interesting disguise employed by new Mac malware HiddenLotus
  • StrongPity2
    • [WeLiveSecurity]
      StrongPity2 spyware replaces FinFisher in MitM campaign – ISP involved?
  • WordPress keylogger
    • [HackRead]
      More than 5,000 WordPress websites plagued with Keylogger
  • Conficker
    • [Cyberscoop]
      Conficker worm still spreading despite being nearly 10 years old

 

Exploits/Vulnerabilities

Summaries

  • 이번주 구글이 공격자가 대상 앱의 서명 검증 인증서에 영향을 미치지 않으면서도 앱에 악의적인 코드를 주입할 수 있는 취약점을 수정했다. 이 방법은 공격자가 신뢰하는 제작사에서 만든 것처럼 보이는 서명된 어플리케이션을 사용해 장비의 악성코드방지 기능을 우회하고 권한을 상승시킬 수 있는 취약점이다. 이 취약점은 야누스(Janus)라고 이름이 붙었으며, GuardSqure의 CTO인 Eric Lafortune에 의해 발견되었다. 이 취약점은 7월에 CVE-2017-13156 번호가 부여되었다. 구글은 이 취약점을 12월자 안드로이드 보안 패치의 일부로 수정했다.
  • 마이크로소프트 오피스(Microsoft Office)의 보안 취약점이 해킹 그룹에 의해 익스플로잇(Exploit)으로 활용되는데에 채 일주일이 걸리지 않는다는 기사가 나왔다. 파이어아이(FireEye)가 목요일에 공개한 연구 결과에 따르면, 지난달에 마이크로소프트가 오피스의 원격 코드 실행(remote code execution) 취약점(CVE-2017-11882)을 공개한지 일주일도 안되서, 이란의 해커들이 피싱 이메일을 통해 중동 정부 기관을 공격하는데 이 취약점을 사용했다.
  • 마이크로소프트(Microsoft)사의 오피스(Office)에 17년간 존재한 방정식 편집기(Equation Editor)의 취약점에 대한 기사가 계속해서 이어진 가운데, 해당 취약점에 대한 분석 보고서가 팔로알토네트웍스(Palo Alto Networks)의 Unit42에 의해 공개되었다.
  • 30개 이상의 유명 이메일 클라이언트에 영향을 미치는 Email 스푸핑 취약점이 발견되었다. 다른 사람이 보낸 메일인 것처럼 위장할 수 있는 취약점이 발견되었다. MailSploit이라는 이름이 붙은 이 취약점은 Apple Mail(macOS, iOS, watchOS), Mozilla Thunderbird, Microsoft email clients, Yahoo Mail, ProtonMail 및 기타 메일클라이언트들에 영향을 미친다. 이 클라이언트들에 DKIM이나 DMARC와 같은 스푸핑 방지 메커니즘이 구현되어 있지만, MailSploit은 이메일 클라이언트와 웹 인터페이스가 From 헤더를 파싱하는 것을 이용한다. (6일에서 이어짐)

Detailed News List

  • Android Flaw ‘Janus’
    • [ThreatPost]
      Android Flaw Poisons Signed Apps with Malicious Code
    • [TheRegister]
      Android flaw lets attack code slip into signed apps
  • Flaw into Exploit
    • [CyberScoop]
      Hacking group turns Microsoft Office flaw into an exploit in less than a week
    • [MicrosoftSecurityCenter]
      CVE-2017-11882 | Microsoft Office Memory Corruption Vulnerability
  • Office Equation Editor
    • [PaloAltoNetworks]
      Analysis of CVE-2017-11882 Exploit in the Wild
  • MailSploit
    • [InformationSecurityBuzz]
      Mailsploit Lets Attackers Send Spoofed Emails On Over 33 Email Clients

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 구글이 자사의 투명성 리포트(Transparency Report) 중 National Security Letter 섹션을 확대하여, National Security Letters(NSLs)의 새로운 사례로 FBI로 부터 받은 것들을 공개하겠다고 밝혔다. 새로운 NSLs의 서브섹션은 세 컬럼으로 이루어져 있다. NSL 그 자체에 대한 링크와, NSL이 발행된 날짜, FBI가 발행한 문서에 대한 링크다. 가장 최근의 공개된 문서의 날짜는 2017년 9월 25일로 되어있다. 공개된 내용에 따르면, FBI는 NSL을 전자 통신 개인정보 보호법(Electronic Communications Privacy Act, ECPA)에 따라 비공개 요구(non-disclosure requirement)와 함께 발행했다. 이 문서는 구글이 FBI로 부터 특정 날짜에 수신한, 구글의 고객 계정에 대한 정보 요청 NSL을 공개할 수 있도록 허락했으며, 요청한 FBI 요원의 이름 및 전화번호는 삭제되었다. 구글은 또한 대상 사용자 계정도 삭제했다. 가장 오래된 NSL은 2009년의 여러 Gmail 계정에 대한 것이다. 이 문서에서는 구글에게 이름, 주소, 서비스 기간 정보를 요구하고 있다.
  • 구글이 접근성 서비스(Accessibility Services) API를 사용하는 앱에 대하여 그 기능을 제거하라고 알림을 발표하고 유예기간 이후에는 지키지 않는 앱을 마켓에서 제외시키겠다고 했던 기사가 있었다. 구글이 접근성 서비스 제거를 위해 개발자들에게 주었던 이 유예기간을 30일 더 연장했다.
  • 영국 법원에서 직원이 일으킨 대규모 데이터 유출 사건에 회사는 무고하지만, 그럼에도 불구하고 보상금(compensation)을 지불해야 한다고 밝혔다. 유럽연합에 개인정보 보호에 대해서는 상대적으로 강력한 법률이 존재한다는 것은 잘 알려진 사실이다. 이전에도 정리했던 기사에서 영국 슈퍼마켓 체인인 모리슨스(Morrisons)는 2014년에 99,998 명의 직원들이 개인정보가 담긴 파일이 파일 공유 웹사이트에 공개되는 사건이 있었다. 이 파일에는 이름, 주소, 성별, 생일, 전화번호, 은행 계좌 번호, 급여 정보가 있었다. 추후 수사를 통해 밝혀진 사실은, 이 내용들은 2013년에 있었던 징계(disciplinary) 절차에 앙심을 품은 Andrew Skelton이라는 모리슨스의 IT 수석 감사관(senior IT auditor)에 의한 것이었다.

Detailed News List

  • Google’s Transparency Report
    • [ZDNet]
      Google lifts lid on FBI data requests: Now you can read actual letters online
  • Google pauses removal of apps
    • [ZDNet]
      Google pauses removal of apps that want to use accessibility services
  • UK Court
    • [TechDirt]
      UK Court Says Company Is Innocent In Massive Data Breach Caused By Vindictive Employee, But Must Nonetheless Pay Compensation

 

Vulnerability Patches/Software Updates

Summaries

  • 애플이 홈킷(HomeKit) 장비에 영향을 미치는 취약점을 패치했다. 애플에 따르면, 스마트자물쇠(SmartLock)나 차고문 제어장치(Garage door openers)와 같은 홈킷(HomeKit) 장치들의 허가되지 않은 원격 제어를 허용할 수 있는, 홈핏 프레임워크의 미공개 취약점이 수정되었다. 이 취약점은 최초 9to5Mac이 목요일에 보도했다. 발표자료에 따르면, 이 취약점은 HomeKit 사용자의 iCloud 계정과 연결되어 있는, 최신 iOS 11.2를 사용하는 iPhone이나 iPad가 필요하다.
  • 치명적인 취약점이 마이크로소프트(Microsoft)의 악성코드 보호 엔진(MPE, Malware Protection Engine)에서 발견되어 마이크로소프트가 목요일에 이에 대한 패치를 공개했다. 이 취약점은 공격자가 공격대상 컴퓨터를 완전히 장악할 수 있게 한다. 윈도우즈10용 윈도우즈 디펜더(Windows Defender)를 포함한 다양한 마이크로소프트의 보안 제품들이 영향을 받는다. 마이크로소프트 악성코드 보호 엔진은 마이크로소프트의 모든 제품의들의 안티바이러스 및 안티스파이웨어 프로그램에 핵심 기능을 제공한다. 마이크로소프트에 따르면, 아직까지 이 취약점이 실제 공격에 사용되고 있다는 흔적은 발견되지 않았다. (8일에서 이어짐)
  • OpenSSL의 취약점 두가지가 패치되었다. OpenSSL 프로젝트가 목요일에 구글 연구가가 발견한 두가지 취약점이 패치된 OpenSSL 1.0.2n 버젼을 공개했다. 이 취약점은 구글 연구가 David Benjamin이 앞서 발표했던 OSS-Fuzz라는 퍼싱 서비스를 사용해 발견한 취약점이다. (11월 3일자 뉴스모음) 취약점 중 하나는 CVE-2017-3737이며, 다른 하나는 CVE-2017-3738이다. (8일에서 이어짐)

Detailed News List

  • Apple
    • [ThreatPost]
      Apple Fixes Flaw Impacting HomeKit Devices
    • [NakedSecurity]
      Apple fills the KRACK on iPhones – at last
  • Microsoft
    • [TheHackerNews]
      Microsoft Issues Emergency Windows Security Update For A Critical Vulnerability
    • [SecurityWeek]
      Microsoft Patches Critical Vulnerability in Malware Protection Engine
    • [DarkReading]
      Microsoft Issues Emergency Patch for ‘Critical’ Flaw in Windows Security
    • [SecurityAffairs]
      CVE-2017-11937 | Microsoft releases an emergency update to fix a flaw in Malware Protection Engine
    • [ZDNet]
      Windows 10: UK’s GCHQ found out how to hack Windows Defender to own your PC
  • OpenSSL
    • [SecurityAffairs]
      OpenSSL patches for the fourth time in 2017 its library, and it will likely be the last one

 

Data Breaches/Info Leakages

Summaries

  • 자전거 공유(bicycle-sharing) 플랫폼인 oBike의 싱가폴 및 전세계 13개국 사용자들의 개인정보 데이터가 유출됐다. 회사 대변인에 따르면, 데이터 유출은 친구를 oBike 플랫폼으로 초대하는 어플리케이션 프로그래밍 인터페이스(application programming interface)의 문제(gap)로 인해 발생했다. 초대 코드를 친구에게 보내고 자전거 사용 정보를 소셜네트워크에서 공유하는 기능을 사용하는 과정에서, 사용자가 인지하지 못한 상태로 개인정보에 대한 접근권한을 허용한 것이다. 이 사고는 최소 2주간 지속되었다.
  • 가상 키보드(virtual keyboard) 어플리케이션인 ai.type 앱의 개인정보 수집 데이터 유출에 대한 기사가 이어지고 있는 가운데, Have I Been Pwned 사이트를 통해 숫자가 공개되었다. 총 2천만건의 정보가 유출되었다. 유출된 정보는 주소록의 연락처 정보, 장치에 설치된 어플리케이션 목록, 통신사 이름, 생일, 장치정보, 이메일 주소, 성별, 위치정보, IMEI(International Mobile Equipment Identity) 번호, IMSI(International Mobile Subscriber Identity) 번호, IP주소, 이름, 전화번호, 프로필 사진, 소셜미디어 프로필 이다. (6일에서 이어짐)

Detailed News List

  • oBike
    • [TripWire]
      Security Breach Exposed oBike Users’ Personal Information
  • ai.type keyboard app
    • [HaveIBeenPwned]
      ai.type – 20,580,060 breached accounts
    • [InformationSecurityBuzz]
      More Than 31 Million Hit By Keyboard App Breach

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • ICS-CERT에 따르면 Rockwell Automation이 FactoryTalk 제품에서 높은 등급의 서비스거부(DoS, Denial of Service) 취약점을 패치했다. 이 취약점은 2.90이나 그 이전버젼의 FactoryTalk Alarms and Events(FTAE)에 영향을 미친다. 이 FactoryTalk Services Platform 컴포넌트는 Studio 5000 Logix Designer PLC 프로그래밍 및 설정 도구(programming and configuration tool)와 FactoryTalk View SE HMI(Human Machine Interface) software에 의해 설치된다. FTAE는 View SE HMI 시스템을 통해 알람과 이벤트의 일관된 뷰를 제공한다. 이 제품은 전세계 주요 산업기반시설, 엔터테인먼트, 자동차, 식품, 음료, 식수, 상하수도과 같은 분야에서 사용된다. 보안 취약점은 이름이 알려지지 않은 회사에 의해 Rockwell Automation에게 제보되었고, 취약점 번호 CVE-2017-14022가 부여되었다. 이 취약점은 인증받지 않은 사용자가 원격으로 조작된 패킷을 TCP 403포트로 보내 이 제품의 이력 보관 서비스(history archiver service)가 멈추게(stall) 하거나 종료되게(terminate) 할 수 있다.

Detailed News List

  • Rockwell Automation
    • [SecurityWeek]
      Rockwell Automation Patches Serious Flaw in FactoryTalk Product

 

Crypto Currencies/Crypto Mining

Summaries

  • 비트코인 가격이 계속적으로 치솟음에 따라, 점점 더 많은 사이버 범죄자들이 유명 암호화폐를 거리해는 사람들을 대상으로 눈길을 돌리고 있다. 가장 최근의 비트코인 사용자 그룹을 특정한 악성코드 배포 방식이 Fortinet 연구가들에 의해 밝혀졌다. 이메일을 통해, Gunthy가 개발한 새로운 비트코인 거래 봇인 Gunbot을 무료로 사용해 보라는 홍보내용이 전달된다. 이 이메일은 VB 스크립트를 첨부하고 있는데, 이 스크립트는 실행되면 JPEG 이미지처럼 보이는 파일을 다운로드 한다. 이 파일은 실제로는 PE 바이너리로, 최종적으로는 수많은 실행파일들을 내려받아 시스템에 설치한다. 이 파일들 중 하나는 악성코드가 시스템이 리부팅 되어도 실행될 수 있게 하며, 다른 하나는 Orcus RAT 서버가 설치된다.
  • 가장 큰 암호화폐 채굴 시장인 나이스해시(NiceHash)가 해킹사실을 인정했다. 나이스캐시는 다른사람의 컴퓨팅 파워를 구매하거나, 유사 비트코인들(altcoins)을 채굴하고 비트코인으로 지불받을 수 있는 암호화폐 채굴 시장이다. 나이스해시(NiceHash)는 해킹으로 전체 비트코인 지갑을 잃게 되었다고 발표했다. 나이스해시는 수요일 정오에 성명을 발표했는데 NiceHash 웹 사이트에 보안 침해가 있었으며, 지불 시스템이 완전히 침해당해 나이스해시의 비트코인 지갑을 도둑맞았다고 발표했다. 나이스해시가 정확한 금액을 밝히지는 않았지만, 추정되는 금액은 약 6천만 달러에 달할 것으로 보인다. (8일에서 이어짐)

Detailed News List

  • Fake trading bot
    • [HelpNetSecurity]
      Bitcoin traders beware: Fake trading bot offer delivers RAT
    • [SecurityWeek]
      Orcus RAT Campaign Targets Bitcoin Investors
  • NiceHash
    • [HackersOnlineClub]
      Bitcoin Mining Company Confirms Approx 70 Million Dollar Hack

 

Posted in Security, Security NewsTagged #OpIsrael, #OpUSA, Accessibility Service, Anonymous, Blind Ransomware, Conficker, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, CVE-2017-11882, CVE-2017-13156, CVE-2017-14022, CVE-2017-3737, CVE-2017-3738, Cyber Espionage, Data Breach, Denial of Service, DoS, HiddenLotus, HMI, Human Machine Interface, ICS, Industrial Control System, Information Leakage, Infrastructure, Internet of Things, IoT, Keylogger, MailSploit, Napoleon Ransomware, OpenSSL, Orcus RAT, Patches, Scarab Ransomware, StrongPity, StrongPity2, VulnerabilityLeave a comment

Security Newsletters, 2017 Nov 24th, HBO 범인 기소 외

Posted on 2017-11-24 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats

Summaries

  • 가짜 시만텍(Symantec) 블로그를 통해 맥 운영체제(macOS)의 Proton 악성코드가 유포되고 있다. 악명높은 macOS의 Proton 악성코드의 새로운 변종(strain)이 블로그를 통해 유포되고 있다. 이 사이버 범죄자들은 실제 정상 사이트의 도메인 등록정보화 동일한 정보를 사용하며, 메일 주소만 바꿔서 사용하고 있다. SSL 디지털 인증서는 Symantec의 인증기관을 통한게 아닌, Comodo에 의해 발행된 정상 인증서를 사용하고 있다. 이들은 가짜 시만텍 블로그(symantecblog.com)을 개설하고, 실제 사이트의 내용을 그대로 옮겨와 제공하고(mirrored) 있다. Malwarebytes 연구자에 따르면, 이 블로그의 CoinThief 악성코드에 대한 새 포스트에서 Symantec Malware Detector라는 이름의 어플리케이션을 홀보하고 있는데, 이를 통해 OSX.Proton 악성코드를 유포하고있다.

Detailed News list

  • Fake Symantec Blog
    • [SecurityAffairs] Crooks set up a fake Symantec Blog to spread the macOS Proton malware

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 마이크로소프트 오피스의 매크로 기능은 이미 해커들 사이에서 악성코드 제작에 사용되는 흔한 기술 중 하나다. 그래서 마이크로소프트는 이 기능의 악용을 막기위해 기본적으로는 매크로의 동작을 차단시키는 정책을 반영하는 것으로 대응했지만, DDE 공격과 같이 매크로 활성화 여부와 관계없이 악성코드를 실행시키는 공격 방법이 등장했다. 이번에 InTheCyber의 Lino Antonio Buono라는 이탈리아 연구자에 의해 발견된 방법역시 그렇다. 그러나 마이크로소프트는 이 보안연구가가 발견한 취약점에 대해 전해들었을 때, 이 기능이 정상적으로 의도한대로 작동하는 기능이라고 말했으며, 보안 취약점으로 분류하지 않겠다는 입장을 밝혔다. 그리고 트렌드마이크로(Trend Micro)의 보고서에 따르면, qkG라는 이름의 새로운 매크로 기반의 자가복제 랜섬웨어가 발견되었는데, 이 랜섬웨어의 공격방식이 Buono가 설명한 마이크로소프트 오피스의 기능과 정확히 일치했다.
  • 많은 리눅스 배포판에서 사용하는 Systemd의 취약점이 공개되었다. DNS resolver의 취약점이 서비스거부 공격(DoS, Denial of Service)을 일으킬 수 있는 것으로 드러났다. 이 취약점은 취약한 시스템의 도메인네임서비스(DNS) 서버에 DNS 질의를 전송해서 발생 시킬 수 있다. DNS 서버는 특별하게 변경된(crafted) 질의를 반환하는데, 이는 Systemd를 무한 루프에 진입하게 해 시스템의 CPU를 100%까지 치솟게 만든다. 이 취약점은 CVE-2017-15908 번호가 부여되었다.

Detailed News List

  • Self-Spreading Technique of qkG Ransomware
    • [TheHackerNews] MS Office Built-In Feature Could be Exploited to Create Self-Replicating Malware
  • Systemd
    • [TrendMicro] systemd Vulnerability Leads to Denial of Service on Linux

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 미국의 케이블 방송국인 HBO(Home Box Office) 해킹사건의 해커가 확인되어 기소되었다. 올해 7, 8월에 HBO는 대규모 데이터 침해 사고를 겪으면서 방송국의 유명 TV 시리즈의 미방송분이 온라인에 유출되는 사고를 겪었다. 이 해킹사고의 주범이 확인되어 기소되었다. FBI가 밝힌 바에 따르면 Behzad Mesri라는 이름의 이란인이다. 11월 21일 화요일 공식 발표에 따르면, 미국 법무부(Department of Justice, DOJ)는 HBO 해킹 사건의 배후에 있는 사람을 확인했으며, Skote Vahshat라고 알려진 Mesri를 HBO의 사이버 기반시설의 침해 및 기밀데이터 절도 혐의로 기소한다고 밝혔다. 29세의 Mesri는 또한 HBO 서버들의 데이터를 파괴하겠다고 협박하며 600만 달러 규모의 비트코인을 협상금으로 요구한 것에 대해서도 기소당했다.

Detailed News List

  • HBO Hack
    • [HackRead] Alleged HBO hacker identified, charged and indicted
    • [InfoSecurityMagazins] Iranian National Indicted for $6m HBO Extortion Plot
    • [WeLiveSecurity] US indicts alleged culprit of HBO hack-and-extort campaign

 

Vulnerability Patches/Software Updates

Summaries

  • 삼바(Samba) 4.0 이후 모든 버젼에 영향을 미치는 Use-after-free 버그에 대한 보안 패치가 릴리즈되었다. 이 취약점은 CVE-2017-14746으로, 주요 리눅스 배포판(Red Hat, Ubuntu, Debian 등)에서 보안 패치를 제공하고 있다. 경고문에 따르면, 공격자는 악의적인 SMB1 요청을 전송해서 힙 메모리(Heap memory) 상의 내용을 조작할 수 있다. 삼바 4.0 이후의 모든 버젼에 영향을 미칠 수 있으며, 메모리 조작을 통해 서버의 장악이 가능할 수 있다. 4.7.3과 4.6.11, 4.5.15 버젼이 취약점이 수정된 최근의 버젼이다.

Detailed News List

  • Samba
    • [SecurityAffairs] You need to patch your Samba installation as soon as possible
    • [Samba] Security fix
    • [TheRegister] Samba needs two patches, unless you’re happy for SMB servers to dance for evildoers

 

Privacy

Summaries

  • 데이터 유출사고를 알리는 유명 서비스인 HaveIBeenPawned와 파이어폭스가 손잡고, 사용자가 이전에 해킹당했던 사이트를 방문하거나 사용자의 로그인 정보가 데이터 유출 사고와 관련되어 있는 경우 인브라우저(in-browser) 경고를 띄워줄 예정이다. HaveIBeenPawned의 Firefox 브라우저에서의 구현은 두가지 큰 문제를 해결해 줄 것이라는 전망이다. 하나는 대부분의 사용자들은 자신들의 계정이 침해당했는지 여부를 인지하지 못한다는 점. 두번째로는 대기업들은 데이터 침해 사고를 감추고, 고객들에게 해당 사실을 통보하지 않는다는 점이다.
  • 세션 리플레이(Session replay)로 인해 민감 정보가 제3자 사이트로 유출되고 있다는 내용의 기사가 올라온 일이 있다. 이번에는 전세계적인 유명 웹사이트에서도 계속적으로 사용자의 브라우징 내역을 기록하고 있다는 기사가 이어졌다. 이번에는 실제 연구에서 연구자들이 만든 검색가능한 웹사이트 목록도 있다. 이 목록은 전세계 유명 웹사이트들 중, 세션 리플레이를 통해 사용자 입력 및 브라우징 행위를 기록하고 전송하는 사이트들 목록이다. 여기에는 Adobe, GoDaddy, Skype, Samsung, Spotify, Microsoft, Rotten Tomatoes, WordPress 등 세션리플레이 스크립트가 발견된 전세계적인 사이트들이 목록화되어 있다. 연구자들은 50,000개의 상위 사이트를 조사했고, 482개의 사이트가 스크립트를 포함한 것을 찾아냈다.

Detailed News List

  • Firefox & HaveIBeenPawned
    • [HackRead] Firefox to collaborate with HaveIBeenPwned to alert users on data breach
  • Top websites record all your browsing movements
    • [HackRead] World’s top websites record all your browsing movements
    • [Princeton] Session Replay Sites

 

Industrial/Infrastructure/Physical System/HVAC/SCADA

Summaries

  • 영국의 Queen’s Univesity Belfast에 하드웨어 및 임베디드 시스템 보안을 이끌 전 세계적인 센터가 문을 열었다. 5백만 파운드 규모의 이 연구소는 Research Institute in Secure Hardware and Embedded Systems(RISE)로 대학교의 보안정보기술센터(Secure Information Technologies, CSIT)에 위치해있다. 프로젝트는 퀸즈의 전문가들과 캠브릿지 대학교, 브리스톨 대학교, 버밍햄 대학교의 파트너들이 주도한다. 이 연구소는 엔지니어링 및 물리 과학 연구 위원회(Engineering and Physical Sciences Research Council, EPSRC)와 국가사이버보안센터(National Cyber Security Centre, NCSC)에 의해 자금을 지원받고 있으며, 이들의 책임자로 암호 전문가 Maire O’Neill이 선임되었다.
  • 영국의 국가사이버보안센터(National Cyber Security Centre, NCSC) 책임자인 Ciaran Martin이 오늘 발전 시설(energy plants), 통신 채널(communication channels), 방송 기반시설(media platforms) 그리고 기타 기반시설과 같은 주요 기반시설(critical infrastructure)들이 하루도 빠짐없이 위협에 처해 있다는 리포트를 발표할 예정이다.

Detailed News List

  • Research Institute in Secure Hardrware and Embedded Systems (RISE)
    • [InfoSecurityMagazine] UK Hails £5m Hardware Security Research Center
  • UK Warning About Critical Infrastructure
    • [InformationSecurityBuzz] UK Warning About Critical Infrastructure Under Attack

 

Internet of Things

Summaries

  • 차량에 대한 해킹을 국가적인 보안 문제로 취급해야 한다는 보안전문가의 경고가 기사화됐다. 뉴욕 대학교(New York University)의 컴퓨터 과학자 저스틴 카포스(Justin Cappos)는 영국 더타임스(thetimes.co.uk)와의 인터뷰에서, 자동차 해킹은 해커가 해킹한 자동차를 사용해서 수백만 명의 민간인을 살해할 수 있기 때문에 현재의 지정학적 환경에서 국가적인 보안 문제로 간주되어야 한다고 말했다. 그리고 그는 2005년 이후 생산된 자동차들은 차량의 컴퓨터 시스템을 해킹하는 것이 가능하며, 이 문제를 빨리 해결하지 않으면 이후 5년내에 사망사고들은 피할 수 없는 문제라고 말했다.

Detailed News List

  • Car Hacking
    • [eHackingNews] Car hacking is a national security issue, warns expert

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 옵터스 비즈니스(Optus Business)가 약 350만 호주달러를 사이버보안협동연구센터(Cyber Security Cooperative Research Centre, CSCRC)에 투자한다는 계획을 발표했다. 210만 달러는 현금으로 140만 달러는 인력으로 지원한다. 옵터스 직원들은 CSCRC에 사이버보안 전문 지식을 제공하며, 향후 7년간 호주의 “사이버기술 부족현상(cyberskills shortage)을 해결하는데 도움이 되는” 솔루션 개발과 훈련 및 지침(guidance)을 제공할 예정이다.

Detailed News List

  • Optus Business
    • [ZDNet] Optus Business injects AU$3.5m in cybersecurity research centre

 

Posted in Security, Security NewsTagged Car Hacking, CVE-2017-14746, CVE-2017-15908, Cyber Espionage, Data Breach, Denial of Service, DoS, Fake Site, Industrial Control System, Information Leakage, Infrastructure, Internet of Things, IoT, Malware, Patches, Physical System, Privacy, Proton, qkG, Samba, Session Replay, Systemd, VulnerabilityLeave a comment

Security Newsletters, Nov 12th, 2017

Posted on 2017-11-12 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Intelligence

Summaries

  • 위협정보(Threat Intelligence)의 공유를 위한 방법들에 대한 논의에 대한 기사가 나왔다. Dark Reading의 INsecurity 컨퍼런스에서 있었던 토론에서 산업계 전문가들이 위협정보를 공유해야 하는 이유와 왜 중요한지, 어떻게 시작할 지에 대해 이야기를 나눴다. 트루스타 테크놀로지(TruStar Technology)의 설립자이자 CEO인 Pau Kurtz는 위협 정보 공유의 주요 원칙에 대해 설명했다. 1.정보 공유는 이타적이기만 한 행위가 아니다. 2.정보 공유는 침해에 대한 알림만이 아니다. 3.익스플로잇이나 취약점에 대한 다른 기업과의 데이터 공유는 적법한 행위다. 개인 식별 정보를 공유하지 않는한. 4.공유 체계는 쉽게 만들어져야 한다.

Detailed News list

  • Threat Intelligence
    • [DarkReading] 6 Steps for Sharing Threat Intelligence

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 스크린 인터페이스로 제한된 상황에서의 데이터 유출용 도구인 PTP-RAT에 대한 개념증명(PoC, Proof Of Concept)버젼이 공개되었다. 이 툴은 스크린 인터페이스 외에는 외부 전달 채널이 없는 경우의 데이터 유출에 대한 개념 증명(Proof of concept)을 위해서 제작된 프로그램 이다. PTP-RAT은 외부로 파일 전송이 불가능한 상황에서 스크린 인터페이스를 사용해 추출하고자 하는 데이터를 픽셀로 인코딩해 원격 화면으로 전송한다. 전송버튼을 누르면 파일 데이터가 픽셀 색상값으로 변환되어 화면에 찍히게 된다. 그러면 수신 앱 측에서는 스크린샷을 찍어서 데이터를 복원해낸다. 여기서 각각의 플래시 되는 화면은 PTP-RAT-CHUNK라는 헤더를 포함하며 이 정보를 찾아내서 원래 파일을 복원한다. 개념증명용으로 만든 이 툴에서 파일을 원격으로 가져오는데 성공했고 그 과정을 YouTube동영상으로 공개했다.
  • AUTOIT 자동화 스크립트가 화면 덮어쓰기 악성코드가 안티바이러스(AV) 탐지를 우회하는데 쓰이고 있다. IBM X-Force 연구팀은 해커들이 브라질 은행을 공격하면서 AutoIt이라 불리는 윈도우 스크립팅 툴을 사용해 원격제어트로이(RAT,Remote Access Trojan)를 설치하는데 사용하고 있다고 밝혔다. 연구자들은 AutoIt을 사용하는 것이 안티바이러스 탐지율을 낮춘다고 말했다. 공격자는 종종 AutoIt을 사용해 AV를 우회하여 악성코드를 컴파일하고 그 것을 정상적인 AutoIt 프레임워크 프로세스로 실행한다. AutoIt은 시스템 관리 프로세스를 스크립트를 사용해 자동화 해주는 무료 소프트웨어다.
  • 트렌드 마이크로(Trend Micro)가 토스트아미고(TOASTAMIGO)라는 토스트 오버레이 공격(Toast Overlay attack)과 관련된 최근에 패치된 취약점을 사용하는 새로운 종류의 악성코드를 찾아냈다. 트렌드 마이크로는 Toast Overlay attack과 관련된 취약점인 CVE-2017-0752를 공격하는 새로운 종류의 악성코드를 탐지했다. 이 취약점은 9월에 팔로알토네트웍스 유닛42(Palo Alto Networks Unit 42)의 연구자들에 의해 발견되었다. 전문가들은 대상 안드로이드 장치를 장악하기 위한 관리자 권한을 얻기 위해, 안드로이드에서 짧게 표시되는 팝업 알림인 토스트 알림(toast notification)을 공격할 수 있다고 보고했다. 이 취약점은 최신의 안드로이드 8.0(Oreo) 이전버젼의 모든 안드로이드 운영체제에 영향을 미친다. 거의 모든 안드로이드 사용자라고 봐도 될 정도다. 구글은 이 취약점을 월간 안드로이드 보안 업데이트에서 수정했다.
  • AVGater가 검역(Quarantine) 취약점을 권한 상승에 사용하고 있다. 보안전문가 Florian Bogner는 AVGater라는 일부 안티바이러스 제품군의 검역소(quarantine)기능을 악용하여 권한 상승(escalate privileges)을 하는 방법을 고안했다. 유명한 여럿 안티바이스 제품들이 공격자가 장악한 시스템의 권한상승을 하기위해 검역소 기능을 악용하는 방식에 영향을 받을 수 있다. Bogner에 따르면, 공격 체인(the attack chain)은 안티바이러스 소프트웨어가 악성 DLL 파일을 검역소에 넣게 만드는 것부터 시작한다. 그리고나면 공격자는 SYSTEM 권한으로 실행되는 보안 응용프로그램의 윈도우즈 프로세스를 사용해서 파일을 복구한다. 악성 DLL 파일은 그 파일이 원래 있던 위치로 복구되지 않고, 상승된 권한의 프로세스가 실행할 수 있는 다른 폴더, 예를 들어 Program Files나 Windows와 같은 폴더로 복구된다. 이 새로운 위치의 파일들은 제한된 사용자 권한으로는 덮어쓸 수 없는 파일이다.
  • 새로운 로키(Locky) 랜섬웨어가 새로운 양상을 띄고 있다. 새롭게 발견된 로키 랜섬웨어 종류가 정상 마이크로소프트 워드 문서파일로 위장한 것으로 나타났다. 새로운 버젼의 로키 랜섬웨어가 마이크로소프트 워드(Microsoft Word)나 리브레 오피스(Libre Office)와 같은 생산성 응용프로그램(Productivity Applications)의 정상(Legitimate) 문서파일이 첨부된 것으로 위장하여 퍼지고 있다. 아비라 바이러스 연구소(Avira Virus Lab) 연구원들은 이번주 초 이 랜섬웨어를 탐지했다. 이 형태의 로키 랜섬웨어는 동일하게 “.asasin” 확장자를 사용한다. 그러나 이번에는 사용자를 속이기 위해 “보호 문서(Protected Document)“인 것처럼 위장했다. 로봇이 아닌 것을 증명하기 위해서는 문서의 이미지를 더블클릭해서 사람 확인 절차를 진행하라는 메시지가 포함되어 있고, 더블클릭하면 최종적으로 파일이 “.asasin” 확장자가 붙어 암호화 된다.

Detailed News List

  • PTP-RAT
    • [HelpNetSecurity] Data exfiltration tool PTP-RAT encodes data in pixel colour values
  • AUTOIT
    • [ThreatPost] AUTOIT SCRIPTING USED BY OVERLAY MALWARE TO BYPASS AV DETECTION
  • TOASTAMIGO
    • [SecurityAffairs] TOASTAMIGO – the first known strain of malware that uses the Toast Overlay exploit
  • AVGater
    • [SecurityAffairs] #AVGater attack abuse Quarantine vulnerabilities for privilege escalation
  • Locky
    • [DarkReading] New Locky Ransomware Takes Another Turn

 

Patches/Updates

Summaries

  • 구글 크롬(Google Chrome)의 업데이트 계획에 대한 기사가 이어지고 있다. 사용자가 원치 않는 컨텐츠를 차단하기 위해 리다이렉트를 방지하기로 한 계획에 대해 기사가 계속되고 있다. 크롬64 에서는 세가지 새로운 보호기능이 탐재될 것으로 보인다. 구글에 따르면, 1/5의 데스크탑 사용자가 원치않는 사이트나 원치않는 컨텐츠를 경험한다고 한다. 크롬 64에서는 모든 제3자 iframe으로 부터의 리다이렉트는 리다이렉트가 되지 않고 사이드바 정보를 표시한다. 유사하게, 일부 사용자는 새로운 탭에 열리는 링크를 클릭하지만 메인 윈도우가 원치않는 페이지로 리다이렉트 되는 경우도 있다. 이러한 행위도 정보바를 동작하게 해 메인 탭이 리다이렉트 되거나 크롬의 팝업 차단 우회를 예방한다. 다른 리다이렉트는 탐지하기 어려운데, 제3자로의 링크가 실행버튼이나 다른 웹사이트 제어버튼으로 위장한 경우다.

Detailed News List

  • Google Chrome
    • [DarkReading] Google Updates Chrome to Prevent Unwanted Content, Redirects
    • [Chromium Blog] Expanding user protections on the web

 

Security Breaches/Info Leakages

Summaries

  • 위키리크스(WikiLeaks)의 Vault 8 기사가 이어지고 있다. 이번에 공개된 부분은 하이브(Hive)의 소스코드와 개발 로그들이다. 하이브는 CIA가 심은 악성코드가 원격의 CIA 운영자와 안전하게 통신할 수 있도록 만들어진 플랫폼이다. CIA가 정체를 속이며 만든 가짜 인증서도 나왔는데, 카스퍼스키 연구소(Kaspersky Lab)의 가짜 인증서였다. 유진 카스퍼스키(Eugene Kaspersky)는 이에 대하여 그 카스퍼스키 인증서는 가짜이며 카스퍼스키의 사용자, 개인키, 서비스 모두 안전하며 영향받은게 없다고 발표했다. 보안연구가 Martijin Grooten은 가짜 카스퍼스키 인증서에 대하여 아마도 널리 쓰이는(widely used) 이름이기 때문에 선택했을 것이라고 트위터를 통해 평했다. 새로 공개되는 정보로 인해 악성코드 제작자들이 재 활용할 수 있는 가능성에 대해 The Register의 숀 니콜스(Shaun Nichols)가 우려했지만, 위키리크스는 이번에 공개되는 내용들에는 제로데이(0-day)나 공격할 수 있는 보안 취약점이 없다고 밝혔다.

Detailed News List

  • Vault 8
    • [HelpNetSecurity] Vault 8: WikiLeaks starts releasing source code of alleged CIA cyber weapons
    • [TheRegister] Learn client-server C programming – with this free tutorial from the CIA

 

Technologies/Technical Documents/Reports

Summaries

  • 피싱(Phishing)이 키로거(Keylogger)나 제3자 데이터 침해(3rd-party data breaches)보다 사용자들에게는 더 큰 위협이라는 연구결과가 나왔다. 구글, 캘리포니아 대학교, 버클리 대학교, 국제 컴퓨터 과학 기구(International Computer Science Institute)에서 비밀/공개 포럼, 페이스트사이트(paste site), 검색 인덱스 사이트를 2016년 3월부터 2017년 3월까지 조사하고 788,000건의 키로거 피해, 1억2400만건의 피싱킷(Phishing kits) 피해, 데이터 유출로 인한 190억개의 사용자명과 비밀번호를 찾아냈다.

Detailed News List

  • Phishing > Keylogger, third-party breaches
    • [HelpNetSecurity] Phishing is a greater threat to users than keyloggers and third-party breaches

 

Crypto Currencies

Summaries

  • 얼마전 패리티 월렛(Parity Wallet)의 일부 약 2억 8천억 달러($280 million)어치의 암호화폐가 사용할 수 없게 되어버린 사건이 있었다. 패리티 테크놀로지스(Parity Technologies)는 이 사건이 누군가 실수로 라이브러리에 존재하는 취약점을 건드려서 발생했다고 발표했었다. 그러나 1백만 달러의 이더리움 다중서명 지갑이 잠겨버린 암호화폐 수집가는 이 사건이 실수가 아닌 고의적이며 사기행위라고 주장했다.

Detailed News List

  • Parity Wallet
    • [SecurityAffairs] Ethereum Parity Wallet freeze that locked up $280 million in Ether was a hack, claims Cappasity

 

Internet of Things

Summaries

  • 브라더 프린터의 취약점에 대해 계속적인 기사가 나오다가, 취약점 정보가 공개되었다. 트러스트 웨이브(Trustwave)의 연구자원들이 취약점 CVE-2017-16249에 대한 정보를 공개했다. 이 연구원들은 브라더 프린터의 특정 모델들이 공격자에 의해 일시적으로 사용할 수 없는 상태에 빠질 수 있는 취약점을 발견한 바 있다. 공격은 프린터에 내장되어있는 Debut httpd 서버의 취약점을 건드려 서비스 거부 상태(Denial of Service)를 일으킨다. 이 공격은 조작된 HTTP POST 요청 하나만 보내면 가능한데, 이 조작된 요청을 보내면 최종적으로 500 내부 서버 에러 메시지를 반환할때 까지 프린터가 멈추게 된다.

Detailed News List

  • Brother Printer
    • [NakedSecurity] Simple exploit can be used to disable Brother printers remotely
Posted in Security, Security NewsTagged AutoIt, AVGater, CVE-2017-0752, CVE-2017-16249, DoS, Exploit, Fake Certificate, Locky, Malware, Patches, Phishing, Project Hive, PTP-RAT, RAT, Threat Intelligence, Toast Overlay Attack, TOASTAMIGO, Unwanted Contents, Vault 7, Vault 8, Vulnerability, WikileaksLeave a comment

Security Newsletters, Nov 8th, 2017

Posted on 2017-11-08 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Intelligence

Summaries

  • 새로 탐지된 사이버 스파이그룹에 대한 정보가 나왔다. 소우버그(SowBug)라 명명된 이 그룹은 2015년부터 활동해왔으며 남미(South America)와 동남아시아(Southeast Asia)의 정부기관들을 상대로 민감정보를 훔치기 위해 고도의 표적공격을 반복적으로 수행해온 것으로 드러났다. 시만텍(Symantec) 보안 연구자들에 의해 탐지된 이 그룹은, 비밀리에 외국의 정책 기관, 정부 기관, 아르헨티나, 브라질, 에콰도르, 페루, 말레이시아의 외교 대상으로 공격을 수행해왔다. 시만텍은 이 그룹이 Felismus라는 악성코드를 공격 및 침투를 목적으로 사용한 것으로 분석했다. 처음으로 발견된 것은 이번년도 3월 말 경이며, Felismus 악성코드는 매우 정교하게 잘 만들어진 원격제어 트로이목마(RAT, Remote Access Trojan)로 기능을 확장하며 자신을 숨길 수 있는 모듈식 구조로 되어있다.
  • 비즈니스 이메일 침해(BEC, Business Email Compromise)로 인한 피해가 증가하고 있다는 기사가 이어지고 있다. 얼마전 아트갤러리와 수집가를 대상으로, 거래 막바지에 가짜 계좌정보를 보내 돈을 가로챈 이메일 침해 사기사건의 연장 기사다. 워싱턴포스트(The Washington Post)와 CNBC에 따르면, 이러한 이메일 침해가 계속적으로 증가하고 있으며 피해대상도 주택 구매/판매, 변호사, 부동산, 소유권, 에스크로 에이전트 등 다양한 대상을 노리고 있다.
  • 베트남이 배후에 있는 해킹그룹이 필리핀 두테르테 대통령의 웹사이트를 공격에 사용했다. 베트남 정부가 배후에 있는 것으로 추정되는 해커들이 100개 이상의 웹사이트를 공격했다고 Volexity가 발표했다. 침해당한 웹사이트에는 중국 석유 및 항법 사이트와 필리핀 대통령 로드리고 두테르테(Rodrigo Duterte)의 공식 사이트도 포함되었다고 밝혔다. 오션로터스(OceanLotus)라고 알려진 이 그룹은 APT32로도 알려져있다. Volexity에 따르면 이 APT32 그룹은 Windshield 라고 알려진 악성코드의 사용과도 관련이 있다.
  • RedBaldKnight나 Bronze Butler, Tick이라고 알려진 사이버스파이 그룹이 이제는 스테가노그래피(Steganography)를 사용하는 것으로 드러났다. 트렌드마이크로의 보고서에 따르면, RedBaldKnight 등으로 불리는 이 그룹은 사이버스파이 그룹으로, 주로 일본의 바이오테크놀로지(biotechnology), 전자제품생산(electronics manufacturing), 산업화학(industrial chemistry), 방위산업(Defense) 등의 정부기관(government agencies)을 대상으로 한다. 이들의 작전은 Muirim이나 Nioupale이라고도 알려진 Daserf 백도어를 사용한다. 이 악성코드는 4개의 주요 기능을 가지는데, 쉘 명령을 실행하거나 데이터를 다운로드/업로드 하고 스크린샷을 생성하거나 키스트로크를 기록한다. 최근의 Daserf 변종은 일본이나 대한민국의 대상만을 염탐하거나 데이터를 훔치는 것이 아니라, 이제는 러시아, 싱가폴, 중국 기업들도 대상으로 하고 있다. 또한 다양한 기법 및 스테가노그래피의 사용또한 확인되었다.

Detailed News list

  • SowBug Group & Felismus
    • [theHackerNews] Newly Uncovered ‘SowBug’ Cyber-Espionage Group Stealing Diplomatic Secrets Since 2015
    • [DarkReading] South America the Target of ‘Sowbug’ Cyber Espionage Group
  • BEC Scam
    • [TripWire] Don’t Let Real Estate Scams Crush Your Dreams of Home Ownership!
    • [CNBC] Scammers are conning homebuyers out of their down payment
    • [HelpNetSecurity] BEC scammers stealing millions from home buyers
  • Vietnam Hackers
    • [TheHill] Vietnam-backed hackers used Philippine president’s website for attacks: report
  • RedBaldKnight with Steganography
    • [TrendMicro] REDBALDKNIGHT/BRONZE BUTLER’s Daserf Backdoor Now Using Steganography

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 맨티스텍(Mantistek) GK2 기계식 게이밍 키보드에서 중국에 데이터를 보내는 키로거가 발견되었다. 톰스하드웨어(Tom’s Hardware)에 따르면, 맨티스텍 GK2 키보드에 내장된 키로거는 ‘클라우드 드라이버(Cloud driver)‘ 소프트웨어를 사용한다. 이는 통계정보를 모으기 위한 용도일 수 있으나, 민감한 정보를 알리바바(Alibaba)의 서버로 보내는 것이 확인되었다. 자세한 분석과정에서 확인된 내용은, 키보드가 사용자의 전체 입력내용을 가로채는것이 아니라 얼마나 많은 키가 눌러졌는지 통계를 기록하고 이 데이터를 중국에 있는 알리바바의 클라우드 온라인 서버 47.90.52.88로 보낸다는 것이다. 악의적인 목적의 정보전송이 아니더라도, 사용자가 입력한 횟수를 사용자의 동의 없이 중국에 있는 서버로 보낸다는 것은 민감정보를 유출시킬 수 있는 심각한 문제가 될 수 있다는게 기사의 주 내용이다.
  • 트위터의 140자 제한을 우회하는 취약점이 발견되었다. 일부 사용자들에 대해 280글자를 사용할 수 있는 기능을 실험중이지만, 이 방법을 통해서는 3만 글자를 하나의 메시지에 담을 수 있는 것으로 드러났다. 그러나 현재 이 방법은 트위터에 의해 차단된 상태다. 취약점은 트위터 메시지에 포함되는 단축주소와 관련이 있다. 트위터는 메시지에 웹 주소를 포함시 자동으로 자신들이 소유한 t.co 주소로 단축시켜 포함하며, 그 길이를 계산한다. 그러나 실제 존재할 수 없는 매우 긴 도메인과 URL주소를 포함시켰을 때에도 계산이 잘못되며 그 주소가 메시지에 그대로 포함되는 문제가 있었다. 이 취약점을 찾아낸 독일 계정은 3만자 이상의 트위터 메시지를 등록할 수 있었다.
  • IEEE(Institute of Electrical and Electronics Engineers) P1735 표준 취약점에 대한 기사도 이어지고 있다. IEEE P1735 표준은 전자설계 및 지적재산권의 암호화 및 엑세스 권한을 관리하는 방법을 다루는 기술표준이다. 최근 이 표준에 존재하는 취약점에 대한 발표가 이루어졌고, 그에따라 보안 권고 및 기사들이 계속적으로 발표되고 있다. 이번에는 국토안보부(DHS, Department of Homeland Security)의 US-CERT에서 해당 내용에 대한 보안 경고가 발표되었다. 플로리다 대학의 연구자들에 의해 발표된 이 취약점은 IEEE P1735가 암호공격에 취약해 평문형태의 지적재산권 정보를 키가 없이도 읽어낼 수 있다는 내용을 담고 있다. 관련 취약점은 CVE-2017-13091, CVE-2017-13092, CVE-2017-13093, CVE-2017-13094, CVE-2017-13095, CVE-2017-13096, CVE-2017-13097 이다.

Detailed News List

  • Keyboard Built-in Keylogger
    • [theHackerNews] Built-in Keylogger Found in MantisTek GK2 Keyboards—Sends Data to China
  • Twitter
    • [NakedSecurity] Sick of Twitter’s 140-character limit? These guys gave themselves 30,000!
  • IEEE P1735
    • [ThreatPost] US-CERT WARNS OF CRYPTO BUGS IN IEEE STANDARD

 

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

  • 에스토니아가 사이버범죄 혐의로 러시아 요원을 체포했다. 화요일 에스토니아는 발트 국가와 크렘린 사이의 관계를 긴장시킨 최근 사건에 대한 사이버범죄 혐의로 러시아 스파이를 체포했다고 밝혔다. 에스토니아 검찰총장실은 이름이 알려지지 않은 러시아인이 러시아 연방 안보국과 협조해 주(state) 기관들을 대상으로 한 사이버 공격을 계획한 것으로 추정된다고 전했다. 해당 내용에 대해 Inna Ombler 주 검사는 이 사건은 최근의 에스토니아 전자 ID card 보안 위험과는 상관없는 일이라고 덧붙였다.
  • 트위터가 의회에 나가서 러시아 트롤팜(Troll farm)과 관련되어 있다고 진술한 트위터 계정을 복구했다. 트위터는 Robert Delaware라는 계정을 러시아 트롤이라고 잘못 분류했다고 밝힌데 이어, 그의 계정을 다시 복구했다. 트위터는 Robert Delaware라는 계정을 러시아의 트롤 팜(troll farm)과 관련되어 있다고 잘못 분류하는 실수를 범했다. 지난 10월에 트위터는 이 계정을 정지시키고 그 정보를 의회에 러시아의 개입과 관련된 증거로 보냈었다.

Detailed News List

  • Arrested Russian Agent
    • [SecurityWeek] Estonia Arrests Alleged Russian Agent Plotting Cyber-Crime
  • Robert Delaware
    • [Motherboard] Twitter Re-Activated an Account It Told Congress Was Connected to a Russian Troll Farm

 

Patches/Updates

Summaries

  • 구글이 최근 KRACK(Key Reinstallation AttaCK) 공격과 관련된 내용이 포함된 안드로이드 패치를 내놓았다. 구글이 월요일에 안드로이드용 2017년 11월 보안 패치를 내놓으면서 31개의 취약점을 수정했다. 여기에는 9개의 원격 코드 실행 취약점이 포함되었고, KRACK 공격과 관련된 패치 역시 포함되었다. 2017-11-01과 2017-11-05 패치는 치명적(Critical)과 높은(High) 등급의 보안 문제들에 대한 수정사항을 담고 있고, 2017-11-06 패치는 KRACK 취약점에 대한 수정 사항이 담겨있다.
  • 시스코가 이더넷(Ethernet) 가상사설망(VPN, Virtual Private Network)의 BGP(Border Gateway Protocol) 구현상의 DoS 취약점에 대한 패치를 발표했다. 시스코는 자사 소프트웨어인 IOS XE에 패치를 릴리즈하면서 원격으로 인증없이 장애(Crash)를 일으키거나 BGP 라우팅테이블(BGP routing table)의 오염으로 인한 네트워크 불안정(instability)을 야기할 수 있는 취약점을 패치했다. 취약점은 CVE-2017-12319다.

Detailed News List

  • Android Patch
    • [SecurityWeek] Google Patches Critical Bugs in Android
  • Cisco BGP Patch
    • [ThreatPost] CISCO PATCHES DOS FLAW IN BGP OVER ETHERNET VPN IMPLEMENTATION

 

Mobile/Cloud

Summaries

  • 안드로이드 앱 스토어에 등록되어 1백만명이 다운로드 받았던 가짜 WhatsApp 어플리케이션이 제거되었다. 앞서 무려 1백만명의 사용자가 다운로드한 가짜 WhatsApp 어플리케이션이 안드로이드 공식 앱스토어에 등록되어 있다는 기사가 올라온 바 있다. 이 어플리케이션은 원 제작사와 동일한 이름을 사용해서 앱스토어에 등록되었는데, 동일한 이름 뒤에 유니코드 공백문자가 하나 더 포함된 것으로 드러났다. 어플리케이션의 원 제작사는 “WhatsApp Inc.”으로, 이름 뒤에 유니코드 공백 문자를 붙여 “WhatsApp Inc. “로 원 제작사의 이름을 따라해 등록한 것이다.
  • Marcher 안드로이드 뱅킹 트로이가 수천개의 장비들을 감염시키고 AndroidProcesses 라이브러리를 공격해 사용자들의 신용카드 정보를 훔치는 것이 올해 2월 독일의 보안회사 Securify의 연구자들에 의해 발견되었었다. 그리고 2013년 부터 꾸준히 활동해온 이 악성코드가 최근 더 위험한 형태로 돌아와 활동하고 있다. 프루프포인트(Proofpoint)에 따르면 새로운 Marcher 작전은 피싱, 뱅킹트로이, 신용카드절도를 한꺼번에 수행하도록 설계된 작전이다. 이 다중 단계 계획은 오스트리아 은행(Bank of Austria)의 고객을 대상으로 하며, 지금까지 최소 20,000명의 사용자가 이 작전에 영향을 받은 것으로 드러났다. 이 작전은 1월부터 진행중이며, 이전의 Marcher 악성코드는 문자메시지(SMS)를 통해 배포되었으나 이번 Marcher 악성코드는 피싱 이메일로 악성코드로 연결된 링크가 전송된다. 단축주소를 사용하기 때문에 탐지되기가 쉽지 않다. 그리고 대상 은행의 사용자 인터페이스를 복제하고, gdn과 같은 최상위 레벨의 도메인을 사용해 실제처럼 보이게 꾸며 사용자가 쉽게 속을 수 있게 만들었다.

Detailed News List

  • Fake WhatsApp
    • [NakedSecurity] Fake WhatsApp pulled from Google Play after 1m downloads
    • [ThreatPost] 1M DOWNLOADS LATER, GOOGLE PULLS PHONY WHATSAPP FROM GOOGLE PLAY
  • Marcher Android banking trojan
    • [HackRead] Marcher Android Banking Trojan Combines 3 Threats Into 1 Scheme
    • [InfosecurityMagazine] Multi-vector Attack on Android Throws the Kitchen Sink at Victims

 

Deep Web/DarkNet/Onion

Summaries

  • 다크웹 사용자들이 메시지앱 기반으로 옮겨가고 있다. 알파베이같은 다크웹의 대형 마켓 사이트에 대한 법집행 기관 및 수사기관의 작전이 계속해서 성공함에 따라, 다크웹 커뮤니티가 메시지 앱을 기반으로 옮겨가고 있다는 리포트가 발표되었다. IntSights에 따르면, 메시지의 암호화가 이들의 주 관심사로 WhatsApp, Telegram, Skype, Facebook Messenger를 주로 사용하는 것으로 보인다. 이 앱들은 단대단(end-to-end)암호화를 적용한다고 알려져 있다.
  • 다수의 호주인들이 불법 무기 거래를 위해 다크웹을 사용하는 것으로 드러났다. 수많은 사람들이 불법으로 무기를 밀수하고 구매하는데 다크웹을 이용하고 있다. 밀수업자들은 미국, 영국, 아시아, 남미 같은 국가들에서 물건을 보낸다. 다른 대다수의 딥웹 거래들과 마찬가지로 이러한 총기 및 폭발물은 암호화폐를 사용해 거래된다.

Detailed News List

  • Messaging Apps
    • [DarkWebNews] Dark Web Users Moving to Messaging Apps
  • Illicit firearms
    • [DarkWebNews] Thousands of Australians Reportedly Use Dark Web to Buy Illicit Firearms

 

Security Breaches/Info Leakages

Summaries

  • 할로윈에 일어났던 구글 문서의 잠김(Lock-out) 현상이 구글의 거짓긍정(False positive)에 의한 것이었다고 NakedSecurity가 전했다. 얼마전 구글 Docs사용자들은 특정 문서들이 부적절한 자료로 확인되어 열람하거나 수정할 수 없다는 메시지와 함께 그 문서를 어찌할 수 없는 상황에 처했었다. 금요일에 구글은 이에대한 공식 해명을 발표했다. 구글 Docs와 Drive 서비스에서 보호시스템의 오작동으로 일부 파일들을 서비스 이용약관(Terms of Service, TOS)을 위반한 자료로 분류하는 일이 일어났고, 그로인해 그 파일들에 대한 접근이 차단되었다는 것이다.
  • 파라다이스 페이퍼스(Paradise Papers)에 관한 기사도 이어지고 있다. 지난 파나마 페이퍼스(Panama Papers)에 이어 역외로펌 애플비(Appleby)의 문서가 대량으로 유출되었고, 그에따라 전세계의 유명인들과 정치인들의 세금관련 비리들이 계속적으로 드러나고 있다.

Detailed News List

  • Google Lock-out
    • [NakedSecurity] Google’s Halloween lock-out caused by false positive
  • Paradise Papers
    • [SCMagazineUK] Pirates of the Caribbean: 66 years of secrets dug up in Paradise Papers
    • [InfosecurityMagazine] Paradise Papers Breach is Hell for Offshore Tax Avoiders

 

Industrial/Infrastructure/Physical System/HVAC

Summaries

  • 미국 전역에 걸쳐 컴캐스트(Comcast) 인터넷 서비스에 장애가 발생했다. 다운디텍터(DownDetector)에 따르면, 미 동부 시간으로 월요일 오후 한시에 미국 전역에 걸친 컴캐스트의 인터넷 접속 장애가 발생한 것으로 나타났다. 컴캐스트는 엑스피니티(XFINITY) 인터넷 서비스의 문제를 확인하고 외부 네트워크 문제를 모니터링하고 있다는 트윗을 올렸다. 엑스피니티(XFINITY)는 컴캐스트의 브랜드 명으로 케이블 텔레비전, 인터넷, 전화, 무선서비스를 제공한다. 그러나 다운디텍터는 엑스피니티에 국한된 문제가 아니라는 입장이다. 얼마 후, 컴캐스트는 문제가 해결되었으며 더이상의 장애는 없을 것 이라며 트윗 메시지를 올렸지만, 아직도 문제를 겪고 있다는 사용자들의 답장이 달리고 있다.
  • 미 기업들이 DDoS에 대하여 과도할 정도의 자신감을 보이고 있다는 기사가 등록되었다. CDNetworks에 따르면, 88%의 기업이 DDoS 대응에 대하여 자신감을 보이고 있지만 지난 12개월에 걸쳐 69%의 기업들이 DDoS 공격에 시달렸다는 것이다. 이 조사에서는 미국, 영국, 독일, 오스트리아, 스위스 기업의 500명의 IT 담당자를 대상으로 했다.
  • 다음번의 사이버 공격은 산업제어시스템(ICS, Industrial Control System)을 대상으로한 국가주도(state-sponsored)의 해킹 공격이 될 것 이라는 보안전문가들의 주장이 나왔다.
    산업제어시스템은 이미 미국이 만든것으로 이제 거의 확실시 되는 스턱스넷(Stuxnet)에 의해 사이버보안의 큰 위협이 된지 오래된 것 중 하나다. 공격시 그 영향력 및 피해가 치명적일 수 있다는데는 동의하지만, 오직 산업제어시스템만이 큰 문제는 아니라는게 옮긴이의 생각이다.

Detailed News List

  • Comcast Internet Service Outage
    • [HackRead] Comcast Internet service crippled; affecting users across US
    • [Wired] HOW A TINY ERROR SHUT OFF THE INTERNET FOR PARTS OF THE US
  • DDoS Protection
    • [InfosecurityMagazine] US Orgs Show Dangerous Overconfidence in DDoS Protections
  • Cyberattack against ICS
    • [InsuranceBusinessMagazine] Security experts say next major cyberattack could affect the nation’s utilities

 

Technologies/Technical Documents/Reports

Summaries

  • 2018년 악성코드 예측에서 안드로이드 악성코드의 증가를 예상하고 있다. 소포스(Sophos)에서 발표된 2018년 악성코드 예측 리포트에서 안드로이드 악성코드의 증가를 예상했다. 리포트에 따르면 2017년 안드로이드 장치를 사용하는 사용자들에 대한 공격이 매달 증가하는 모습을 확인할 수 있었다. 악성 안드로이드 앱의 숫자는 지난 4년간 꾸준히 계속해서 증가해왔다. 2013년에는 50만을 조금 넘는 수준에서 2015년에는 약 250만이 안되는 수준으로, 2017년에는 거의 350만 까지 증가했다.
  • 인터넷에서 매일 30,000건의 개별 DoS 공격이 일어난다는 연구 결과가 나왔다. DoS 공격은 지난 몇년간 계속적으로 성장해왔고 이제는 인터넷의 안정성과 신뢰성에 큰 위협중 하나가 되었다. 지난 몇년간의 Mirai 및 Reaper와 같은 IoT 기반의 봇넷이 증가함에 따라 그 양상은 더 확실해졌다. 기사에서는 아직 DoS 생태계에 대한 거시적 관점이 존재하지 않는다고 문제삼는다. 분석이 개개의 연구팀에 의한 별개 봇넷이나 공격에 대한 분석만 이루어질 뿐이라는 점을 지적하면서, 거시적 관점(macroscopic view)의 새로운 프레임워크를 통해 공격 및 공격대상 의 특성에 대한 분석, DDoS 방어 서비스 등이 가능할 것이라 소개했다. 이 기사에서는 이와 함께 네덜란드 Twente 대학, UC 샌디에이고(San Diego) 대학, 독일 Saar 대학의 새로운 논문을 소개한다. 최근 런던의 IMC 2017에서 소개된 이 논문에서는 전체 DoS 생태계(Ecosphere) 평가를 위한 방법론(methodology)을 소개하고, 24비트 네트워크(all /24 networks) 중 3분의 1이 지난 2년간 적어도 1개 이상의 DoS 공격을 당한 것을 포함해 DoS의 막대한 규모의 문제점들을 발견했다고 밝혔다.

Detailed News List

  • 2018 Malware forecast
    • [NakedSecurity] 2018 Malware Forecast: the onward march of Android malware
    • [TheInquirer] Thought WannaCry was bad? You ain’t seen nothing yet, says Sophos
  • Everyday Dos Attacks
    • [SecurityWeek] The Internet Sees Nearly 30,000 Distinct DoS Attacks Each Day: Study

 

Crypto Currencies

Summaries

  • 지난번의 코인하이브(Coinhive) DNS 침해로 인한 모네로(Monero) 채굴 스크립트 조작에 이은 기사가 올라왔다. 드라이브바이(Drive-by) 암호화폐 채굴이 불특정 방문자를 노리고 있다. 말웨어바이츠(Malwarebytes)의 분석에 따르면, 코인하이브(Coinhive)는 9월에 웹 브라우저를 사용해 자바스크립트 기반으로 모네로(Monero)라는 암호화폐를 채굴 할 수 있는 서비스를 시작했다. 이 채굴 API는 크로스 플랫폼으로 최근의 모든 브라우저에서 동작하게 되어있다. 그래서 웹사이트 주인들에게 거슬리는 광고 배너 대신에 이론상으로는 방문자들과 윈윈하는 새로운 수익원을 제공하게 되었다. 그러나, 이 기술이 계속적으로 악의적인 목적으로 악용되고 있는 것이 문제다.
  • 영국의 암호화폐 일렉트로니움(Electroneum)이 3,000만 파운드를 모집한 뒤 사이버 공격을 당했다. 영국의 암호화폐 스타트업이 약 4천만 달러(3천만 파운드 가량)를 모금한 뒤 사이버 공격을 당해 투자자들이 며칠간 접근하지 못하는 일이 발생했다. 일렉트로니움은 암호화폐를 스마트폰을 사용해 채굴할 수 있는 기능을 제공한다. 지난 목요일 일렉트로니움은 웹사이트와 모바일 앱을 발표하기 위해 크라우드펀딩으로 ICO(Initial Coin Offering)를 진행해 수천만달러 해당하는 비트코인을 모금했다. 그러나 회사의 웹사이트가 지난주 DDoS 공격에 당하면서 모바일 채굴 앱의 발표가 늦어졌다.

Detailed News List

  • Drive-by Cryptomining
    • [InfosecurityMagazine] Drive-by Cryptomining Hassles Unsuspecting Website Visitors
  • DDoS against Electroneum
    • [TheTelegraph] British cryptocurrency Electroneum hit by cyber attack after raising £30m

 

Internet of Things

Summaries

  • 브라더(Brother)사의 프린터가 서비스 거부 공격(Denial of Service, DOS)을 일으킬 수 있는 취약점을 가지고 있는 것으로 드러났다. 트러스트웨이브(Trustwave)의 보안연구가들이 찾아낸 바에 따르면, 일본의 국제 전자회사인 브라더에서 제조된 프린터에 심각한 보안 취약점이 존재한다. 이 취약점은 CVE-2017-16249로 브라더 프린터에 내장된 웹 프론트엔드를 사용해, 공격자가 DoS 공격을 수행 할 수 있다. 공격은 조작된 HTTP Post 요청 하나를 보내는 것으로 실행된다. 공격자는 500에러 메시지를 응답으로 받고, 웹서버는 접속할 수 없게되며 모든 프린터의 기능이 중단된다. 트러스트웨이브의 연구자에 따르면, 이 취약점은 웹 프론트엔드를 가진 모든 브라더 프린터에 영향을 주는 것으로 보인다.

Detailed News List

  • Brother Printers
    • [HackRead] Hackers can conduct DoS attacks Using Flaw in Brother Printers
    • [DarkReading] DDoS Flaw Found in Brother Printers

Posted in Security, Security NewsTagged Appleby, APT32, BEC Scammers, Bronze Butler, CoinHive, Crypto Currency, CVE-2017-12319, CVE-2017-13091, CVE-2017-13092, CVE-2017-13093, CVE-2017-13094, CVE-2017-13095, CVE-2017-13096, CVE-2017-13097, CVE-2017-16249, Cyber Espionage, Cyber Operation, DarkNet, Daserf, DDoS, Deep web, DoS, Electronium, Exploit, Fake App, Felismus, ICO, ICS, Industrial Control System, IoT, Keylogger, KRACK, Malware, Marcher, Muirim, Nioupale, OceanLotus, Outage, Panama Papers, Paradise Papers, RAT, RedBaldKnight, SowBug, Steganography, Tick, Troll farm, Vulnerability, WindshieldLeave a comment

Search

Recent Posts

  • Security Issues – Dec, 09, 2023
  • Security Issues on Dec, 08, 2023
  • Exploit PoC for CVE-2023-20887 VMWare Aria Operations for Networks
  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外

Categories

  • Diet (7)
  • Exploit (1)
  • Flaw (2)
  • Hacking (1)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (159)
  • Security News (157)

Archives

  • 2023년 12월 (2)
  • 2023년 6월 (1)
  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.