Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] Equation Group

Security Newsletters, Nov 17th, 2017

Posted on 2017-11-17 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats

Summaries

  • 중동의 목표(Entities in the Middle East)를 노리고 오랫동안 지속되고 있는 표적 공격들이 여러 연구가들의 분석에도 불구하고 명확해지지 않는다고 팔로 알토 네트웍스(Palo Alto Networks)가 밝혔다. 흙탕물(MuddyWater)이라고 명명된 이 공격은, 2017년 2월에서 부터 10월까지 일어났던 공격에서 아주 혼란스러운 상황을 만들어 놓아서 이러한 별명이 붙었다. 이 작전에서는 다양한 종류의 악성 문서가 사용되어 사우디 아라비아(Saudi Arabia), 이라크(Iraq), 이스라엘(Israel), 아랍 에미레이트(United Arab Emirates), 조지아(Geogia), 인도(India), 파키스탄(Pakistan), 터키(Turkey), 미국(United States)의 목표들을 공격했다. 연구자들은 이 공격이 천천히 진화하는 파워쉘(PowerShell) 기반의 첫번째 단계 백도어 POWERSTATS를 사용한다고 밝혔다.
  • 카스퍼스키 랩(Kaspersky Lab)이 NSA 사고에 대한 더 자세한 정보를 공개했다. 목요일에 카스퍼스키 랩은 러시아 해커가 미국 국가안보국(NSA, National Security Agency)에 속한 데이터를 자사 소프트웨어를 악용해 훔쳤다고 주장되는 사건에 대한 더 자세한 조사결과를 공개했다. 월스트리트저널(The Wall Street Journal) 이 지난달 보도했던 이 사건 기사에서 월스트리트저널은 카스퍼스키가 러시아 정부가 파일을 획득하는데 도움을 주었거나, 해커가 카스퍼스키 랩의 도움 없이 해당 소프트웨어의 취약점을 악용했다고 주장했다. 목요일에 공개된 더 리포트에서 카스퍼스키는 이 사고는 2014년 9월 11일에서 11월 17일 사이에 일어났다고 밝혔다. 2014년 9월 카스퍼스키의 제품이 이퀘이젼그룹(Equation Group)과 관련된 악성코드를 탐지했다. 그리고 카스퍼스키 소프트웨어는 악성으로 추정되는 파일이 담긴 자료를 더 자세한 분석을 위해 카스퍼스키 회사의 시스템으로 업로드했다. 이 자료에는 Equation 악성코드의 소스코드와 자료 분류 마크(비밀, 대외비 등)가 포함된 문서 4개가 포함되어 있었다.
  • 가짜뉴스(Fake news)가 비즈니스 모델이 되어 수익을 위해 이용되고 있다. 보안 기업 Digital Shadow가 가짜 미디어 사이트/가짜 리뷰/소셜미디어 봇 제작이나 상업 제품/서비스의 광고나 폄하를 자동으로 하는 계정을 만들어주는 서비스에 대한 리포트를 내놓았다. 이 도구들은 소셜미디어 봇을 제어하는 $7짜리 시험판 부터 가능하다.
  • 원격데스크탑프로토콜(RDP, Remote Desktop Protocol)을 사용해 손수 랜섬웨어(Ransomware)를 설치하는 사이버 범죄자들에 대한 기사도 이어지고 있다. 소포스(Sophos)에서는 네트워크에 공개된 RDP를 대상으로, NLBrute와 같은 도구들로 공격해 원격으로 관리자 계정에 접속 한 뒤 공격 도구 및 랜섬웨어를 내려받아 직접 공격 및 설치하는 사이버 범죄자들에 대하여 보고서를 발표했다.
  • 북한의 사이버 공격 및 그에 사용되는 악성코드에 대한 경고가 이어지고 있다. US-CERT와 미 연방수사국(FBI, Federal Bureau of Investigation)은 북한의 히든코브라(Hidden Cobra) 작전 및 FALLCHILL 악성코드를 사용한 사이버 공격에 대한 정보를 공개한 바 있다.

Detailed News list

  • MuddyWater
    • [SecurityWeek] Middle East ‘MuddyWater’ Attacks Difficult to Clear Up
  • NSA Incident
    • [SecurityWeek] Kaspersky Shares More Details on NSA Incident
    • [DarkReading] 121 Pieces of Malware Flagged on NSA Employee’s Home Computer
    • [MotherBoard] Internal Kaspersky Investigation Says NSA Worker’s Computer Was Infested with Malware
    • [SecurityBrief] ‘Leaker’ behind massive NSA breach possibly still working at agency
    • [NakedSecurity] Shadow Brokers cause ongoing headache for NSA
    • [Bloomberg] Russian Hackers Aren’t the NSA’s Biggest Problem
    • [TheRegister] Kaspersky: Clumsy NSA leak snoop’s PC was packed with malware
    • [CyberScoop] Kaspersky: NSA worker’s computer was packed with malware
    • [BBC] Kaspersky defends its role in NSA breach
  • Fake News Business Model
    • [SecurityWeek] ‘Fake news’ Becomes a Business Model: Researchers
  • Delivery Ransomware via RDP
    • [DarkReading] Crooks Turn to Delivering Ransomware via RDP
    • [NakedSecurity] Ransomware-spreading hackers sneak in through RDP
    • [NakedSecurity] Ransomware via RDP – how to stay safe! [VIDEO]
  • Hidden Cobra, FALLCHILL
    • [eWEEK] North Korea Getting Ready Wage a Global Cyber War, Experts Say
    • [eWEEK] Researcher Provides Insight Into North Korea Cyber-Army Tactics

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 루트권한을 얻을 수 있는 앱이 사전에 설치되어 있었던 원플러스(OnePlus) 기기에서 또 다른 수상한 사전설치(Pre-installed) 앱이 발견되었다. 이 앱은 시스템 로그를 수집한다. 원플러스로그킷(OnePlusLogKit) 이라 명명된 이 앱은 두번째 발견된 사전설치(pre-installed) 앱으로, 앨리엇 앤더슨(Elliot Anderson, MR.ROBOT 드라마 주인공 이름)계정을 사용하는 트위터 사용자에 의해 발견되었다. OnePlusLogKit은 시스템 수준(level)의 응용프로그램으로 원플러스 스마트폰의 다양한 정보를 수집하게 되어있다. 수집하는 정보는 WiFi/NFC/BlueTooth/GPS 위치 로그, 모뎀 시그널/데이터 로그, 실행중인 프로세스/서비스 목록, 배터리 상태, 기기에 저장된 모든 비디오 및 이미지를 포함한 미디어 데이터베이스 정보다.
  • 구글이 보안연구가에게 10만 달러의 상금을 벌게 해줬던 크롬OS(Chrome OS)의 코드실행 취약점 정보를 공개했다. 2015년 3월 구글은 크롬박스(Chromebox)나 크롬북(Chromebook)을 게스트 모드(Guest mode)에서 웹페이지를 통해 영구히 장악할 수 있는 익스플로잇에 10만 달러의 상금을 지불하겠다고 발표한 바 있다. 그에 앞서 구글은 그런 익스플로잇에 5만 달러를 제공했었다. 그리고 인터넷에서 Gzob Qq라는 이름을 쓰는 연구가가 구글에게 9월 18일에 크롬박스(Chromebox)나 크롬북(Chromebook) 장치들에서 사용하는 크롬OS(Chrome OS) 운영체제 에서 영구적인 코드 실행이 가능한 일련의 취약점들을 찾았다고 알려왔다. Gzob Qq는 구글에게 개념증명(Proof-of-Concept) 익스플로잇을 보냈고, 구글은 10월 27일에 업데이트를 통해 패치했다. 그리고 10월 11일에 연구자에게 10만 달러의 보상이 제공될 것임을 알려왔다. 이런 사례는 처음이 아니며, 이전에도 발견한 취약점에 대해 구글이 여러차례 보상을 한 바 있다.
  • Terdot 뱅킹 트로이(banking trojan)가 사이버 스파이(Cyber espionage) 도구로 활용될 수 있다. 비트디펜더(Bitdefender)가 리포트를 통해 Terdot 뱅킹 트로이가 정보 유출(information stealing) 기능을 탑재함에 따라 쉽게 사이버 스파이 도구로 변화할 수 있다고 밝혔다. Terdot은 2011년 온라인에 유출된 제우스(ZeuS) 소스코드에 기반한 악성코드다. 이 악성코드는 작년 10월 다시 활동을 재개했으며, 비트디펜더는 이 악성코드를 지속적으로 추적해왔다. Terdot은 중간자공격(MitM, Man-in-the-Middle Attack)을 위한 프록시(Proxy)로 기능하며 로그인 정보나 신용카드 정보 등을 훔치거나 방문하는 웹페이지에 HTML을 주사(Injecting HTML)하기 위해 제작되었다. 그러나 애초에 뱅킹 트로이를 목적으로 악성코드가 제작되었지만, Terdot의 능력은 본래의 목적 그 이상으로 활용될 수 있다고 밝혔다.
  • 맥아피(McAfee)의 안티해킹 서비스가 사용자들을 뱅킹 악성코드로 인도하는 사고가 있었다. 악성코드는 제3자 웹사이트에 올라와 있었지만, 맥아피의 ClickProtect와 관련된 도메인을 사용해 공유되었다. 이 링크는 사용자를 cp.mcafee.com 도메인을 통해 악성 워드 문서로 사용자를 리다이렉트 시켰고, 이 파일을 다운로드 받고 열어본 사람은 Emotet 뱅킹 악성코드에 감염되었다. 맥아피는 이에 대해서 문제를 조사중이라고 밝히며 또한 기능은 정상적으로 잘 동작했다고 말했다. 최초 최종목적지 주소는 악성코드 전파 장소로 분류되지 않았지만, 그날 늦게 맥아피의 Threat Intelligence Service가 해당 웹을 위협으로 판단하고 평판정보를 낮음(low risk)에서 높음(high risk)로 변경해 고객들이 해당 사이트로 접근할 수 없게 막았다고 대변인은 말했다.

Detailed News List

  • OnePlus
    • [TheHackerNews] Another Shady App Found Pre-Installed on OnePlus Phones that Collects System Logs
    • [HackRead] Another preinstalled app found on OnePlus that could collect user data
    • [BleepingComputer] Second OnePlus Factory App Discovered. This One Dumps Photos, WiFi & GPS Logs
    • [ZDNet] OnePlus: We’ll fix flawed app that lets attackers root our phones
  • Chrome OS Flaws
    • [SecurityWeek] Google Discloses Details of $100,000 Chrome OS Flaws
  • Terdot Banking Trojan
    • [SecurityWeek] Terdot Banking Trojan Could Act as Cyber-Espionage Tool
    • [BitDefender] Terdot: Zeus-based malware strikes back with a lbask from the past (PDF)
    • [DarkReading] Terdot Banking Trojan Spies on Email, Social Media
    • [SecurityAffairs] Terdot Banking Trojan is back and it now implements espionage capabilities
    • [InfoSecurityMagazine] Zeus Spawn ‘Terdot’ is a Banking Trojan with a Twist
    • [TheRegister] New, revamped Terdot Trojan: It’s so 2017, it even fake-posts to Twitter
    • [ZDNet] This banking malware wants to scoop up your email and social media accounts, too
  • McAfee
    • [ZDNet] McAfee’s own anti-hacking service exposed users to banking malware

 

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

  • 백악관이 제로데이(Zero-day) 취약점 공개 절차에 투명성을 제공하는 방안을 제시했다. 수요일 미 정부는 VEP(Vulnerabilities Equities Policy) 프로그램에 더 큰 투명성(Transparency)을 가져오는 변화를 소개했다. 이 절차는 미 정부 기관들이 찾아낸 소프트웨어 취약점을 공개할 것인지 여부를 결정하는 프로세스다. 백악관 사이버보안 코디네이터인 롭 조이스(Rob Joyce)는 왜 모든 발견내역이 공개되지 않는지를 설명했다. 그는 공개되지 않는다는 점에는 변화가 없지만, 그 결정 과정에 더 큰 투명성을 도입한다고 말했다.

Detailed News List

  • Zero-day Disclosure Process, VEP
    • [SecurityWeek] White House Cyber Chief Provides Transparency Into Zero-Day Disclosure Process
    • [DarkReading] White House Releases New Charter for Using, Disclosing Security Vulnerabilities
    • [ThreatPost] White House Releases VEP Disclosure Rules

 

Patches/Updates

Summaries

  • 아파치 카우치디비(CouchDB)의 심각한 취약점이 패치되었다. 지난주 공개된 아파치 카우치DB 업데이트에서 공격자가 악용할 수 있는 권한상승 및 코드실행 공격 취약점이 패치되었다. 카우치DB는 문서지향(document-oriented) 오픈소스 데이터베이스 관리 시스템으로, NPM 등에서 사용되고 있다. 취약점은 CVE-2017-12635로 공격자가 관리자가 아닌 권한으로 관리자 권한을 획득하고 궁극적으로는 임의의 코드를 실행할 수 있다.
  • 시스코(Cisco)의 협업 제품인 Voice Operating System(VOS)에서 심각한 취약점들이 발견되었다. 시스코에 따르면, 이 취약점들은 VOS에 기반한 제품들의 업그레이드 방식에 영향을 미친다. CVE-2017-12337 번호가 부여된 취약점은, 인증되지 않은 공격자가 원격으로 이 취약점을 공격하여 해당 장비의 루트 권한의 제어권을 획득할 수 있다.

Detailed News List

  • Apache CouchDB
    • [SecurityWeek] Critical Vulnerabilities Patched in Apache CouchDB
  • Cisco Voice Operating System
    • [SecurityWeek] Critical Flaw Exposes Cisco Collaboration Products to Hacking
    • [SecurityAffairs] Cisco issued a security advisory warning of a flaw in Cisco Voice Operating System software

 

Privacy

Summaries

  • 왓츠앱의 보낸 메시지 삭제 기능이 실제로는 삭제되지 않는다는 기사가 나왔다. 왓츠앱(WhatsApp)은 최근 메시지 전송 취소기능을 소개한 바 있다. 메시지를 잘못 보냈을 경우 해당 메시지를 취소하면 ‘이 메시지는 삭제되었습니다(This message was deleted)‘라고 바뀌며 화면상에 보이지 않게 된다. 이는 문자 메시지외에 사진, 동영상, GIF, 보이스 메시지에도 적용된다. 그러나 실제로는 스냅챗(Snapchat)이 영구히 삭제된다(disappeared forever)고 말했던 것과 다르게 스마트폰에 저장되었던 것 처럼, 왓츠앱 메시지도 기기에 그대로 남아있으며 쉽게 접근할 수 있다는 것이다.
  • 아이폰의 페이스아이디 기사는 여전히 계속되고 있다. 최초 애플이 광고했던 바와는 확연히 다르게, 3D 프린터로 만들어낸 가면과 닮은 얼굴로도 인증이 뚫려버려서 기사는 꽤 오래 지속될 것으로 보인다.

Detailed News List

  • WhatsApp Messages
    • [NakedSecurity] Deleted WhatsApp sent messages might not be gone forever
    • [Android Jefe] How to SEE a deleted WhatsApp message after 7 minutes
    • [WeLiveSecurity] Think you deleted that embarrassing WhatsApp message you sent? Think again
    • [eHackingNews] WhatsApp: Deleted messages can be read using Third-Party app
  • Apple FaceID
    • [NakedSecurity] Apple’s Face ID security fooled by simple face mask

 

Data Breaches/Info Leakages

Summaries

  • 로스엔젤레스에 위치한 의류 소매업체인 Forever 21이 신용카드 정보에 허가되지 않은 접근이 있었다고 발표했다. Forever 21은 고객들에게 자사의 카드지불 시스템에 대한 조사를 시작했다고 공지했다. Forever 21은 2015년에 암호화 및 토큰화 시스템을 구현했으나 몇몇 Forever 21 매장의 일부 PoS(Point-of-Sale) 장치들의 암호화가 동작하지 않고 있었다고 밝혔다.
  • 유명 드론 제작사인 DJI가 SSL과 펌웨어 키를 GitHub에 몇년간이나 공개해 왔던 것으로 드러났다. 중국의 드론 제조사인 DJI가 .com 도메인 HTTPS 인증서(certificate)의 비밀키(Private key)를 GitHub에 4년간이나 공개해온 것으로 드러났다. SSL 비밀키는 DJI 소유의 GitHub 리포지토리에서 발견되었다. AWS 계정 인증정보와 펌웨어 AES 암호화 키 역시 노출되었는데, 잘못 설정되어 공개되어있는 AWS S3 버켓 정보도 있었다. DJI는 해당 HTTPS 인증서를 회수(Revoked)조치 하고 9월달에 새로운 인증서를 발급받았다.
  • Cash Converters가 데이터 유출 사고가 있었다고 인정했다. Cash Converters는 사용자이름, 비밀번호, 주소 정보가 제3자에 의해 접근되었을 가능성이 있다고 언급했다. 이 데이터 침해 사고는 2017년 9월에 교체된 구 영국(UK)사이트의 정보가 노출되었다. Cash Converters는 사람들이 보석이나 전자기기 등을 현금으로 거래하는 사이트다.

Detailed News List

  • Forever 21
    • [NakedSecurity] Forever 21 informs customers of a potential data breach
    • [SCMedia] Forever 21 reports data breach, failed to turn on POS encryption
    • [HotForSecurity] Forever 21 clothing stores hit by credit card data breach after encryption failure
  • DJI
    • [TheRegister] Drone maker DJI left its private SSL, firmware keys open to world+dog on GitHub FOR YEARS
  • Cash Converters
    • [BBC] Cash Converters reveals customer data breach
    • [TheRegister] Pawnbroker pwnd: Cash Converters says hacker slurped customer data

 

Internet of Things

Summaries

  • 최근에 공개된 수십억 대의 안드로이드, iOS, 윈도우즈, 리눅스 장치들에 영향을 미치는 일련의 치명적인 블루투스 취약점들이, 수백만 대의 구글 홈(Google Home)이나 아마존 에코(Amazon Echo)와 같은 목소리로 제어되는 개인비서(Personal assistant) 장치들 에서도 발견되었다. 블루본 공격은 총 8개의 블루투스 구현 취약점을 공격하는 정교한 공격법에 붙여진 이름이다. 이 공격법은 범위내에 있는 공격자가 대상 장치에서 악의적인 코드를 실행하거나 민감한 정보의 탈취, 제어권 장악, 중간자 공격 수행을 할 수 있게 한다.
  • 몇년에 걸친 규제 단속에도 불구하고 일부 보안 카메라가 여전히 해커에게 무방비로 공개되어 있다는 결과가 나왔다. 메릴랜드(Maryland)에 위치한 사이버보안 스타트업인 ReFirm이 미국내에서 TRENDnet, Belkin, Dahua 제조사에 의해 판매되는 인터넷 연결 제품들에서 취약점을 찾아냈다고 밝혔다. 이 취약점은 보안 카메라의 비디오 피드에 자유로이 접근할 수 있는 취약점이다.
  • 자기 자동차의 인포테인먼트 시스템(infotainment system)을 조사한 보안연구가의 놀라운 결과가 공개되었다. 자기차의 시스템을 조사한 이 연구가는 현대 소프트웨어 보안 원칙이 반영되지 않은 설계로 만들어 졌다고 말했다. 사용자의 스마트폰으로 부터 취득한 수많은 개인정보를 저장하고 있다는 것이다. 차량의 인포테인먼트 기기에서 코드를 실행시키는 것이 특별히 제작된 스크립트를 넣은 USB 플래시 드아리브를 접속시키는 정도로 아주 쉬우며, 시스템이 이 파일을 자동으로 읽고 전체 관리자 권한으로 실행시킨다. 또 이 연구자는 전화 기록, 연락처, 문자메시지, 이메일 메시지, 모바일 폰의 디렉토리 목록까지 차량에 동기화되어 인포테인먼트 기기에 평문으로 영구적으로 저장되는 중대한 프라이버시 문제를 찾아냈다.

Detailed News List

  • Amazon Echo/Google Home
    • [TheHackerNews] Bluetooth Hack Affects 20 Million Amazon Echo and Google Home Devices
    • [SecurityWeek] Amazon Echo, Google Home Vulnerable to BlueBorne Attacks
    • [Armis] BlueBorne Attack
    • [Armis] BlueBorne Cyber Threat Impacts Amazon Echo and Google Home
    • [ZDNet] ​Google Home and Amazon Echo hit by big bad Bluetooth flaws
  • Vulnerable Security Cameras
    • [TheWashingtonPost] Years after regulatory crackdown, some security cameras still open to hackers
  • Car Infotainment System
    • [MotherBoard] Researchers Hack Car Infotainment System and Find Sensitive User Data Inside

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 싱가폴에서 경찰을 사칭한 웹사이트를 통해 $60,000의 사기 피해가 일어났다. 11월 13일에 60세의 여성이 사기에 넘어가 일생동안 저축한 $60,000 가량의 금액을 잃어버리는 사건이 발생했다. 이 사건은 싱가폴 경찰(SPF, Singapore Police Force)이라 주장한 누군가의 전화 한통으로 시작되었다. 전화에서 은행 계좌가 돈세탁 등의 악의적인 목적으로 사용되고 있다고 하며 개인정보 및 은행 정보를 요구했다. 그리고 수사가 진행중이므로 누구에게도 이 내용을 발설하지 말라며 경고했다. 그리고 이튿날 가짜 경찰 웹사이트로 연결되는 링크를 받았고, 결국엔 $60,000에 달하는 금액이 사라졌다.

Detailed News List

  • Fake Police Website Scam
    • [HackRead] Woman scammed for $60,000 through fake Police website

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • NSA와 CIA의 익스플로잇들이 유출되어 공개되고 미 정부의 VEP(Vulnerabilities Equities Policy) 프로세스가 공개된 와중에, 기타 다른 정부들도 자신들의 제로데이 익스플로잇을 가지고 있을 것이라는 믿음에는 이제 의심의 여지가 없다. 그러나 이에 대한 정보는 알려진 바가 거의 없었다. 그러나 레코디드퓨처(Recorded Future)가 오늘 발표한  보고서에 따르면, 중국 정부와 관계가 있을 수 있는 APT 그룹이 사용하는 심각한 취약점들에 대한 정보는 공개를 늦추고 있다는 결과를 내놓았다. 중국에는 중국 국가 안보부(MSS, Chinese Ministry of State Security)에서 운영하는 보안 취약점 데이터베이스(CNNVD, China’s National Vulnerability Database)가 있다. 이 데이터베이스는 일반적으로 미국의 유사한 NVD(National Vulnerability Database)와 비교할 때 취약점을 더 빨리 공개한다. 그러나 몇몇 경우에서 느린 경우가 발견되었는데, 이 ‘아웃라이어’들의 경우가 놀라운 결과를 보여준다. 첫번째 경우는 CVE-2017-0199로 WannaCry와 NotPetya 대란에서 사용된 익스플로잇이다. 상세정보가 NVD에서 2017년 4월 12일에 공개되었고 CNNVD에서는 50일 이후까지 발표되지 않았다. WannaCry 대란은 주로 북한 해커들과 연관되어 왔으나, 연구자들은 TA459라고 알려진 중국의 그룹도 동일한 취약점을 동일한 시기에 러시아 및 벨라루스(Belarus)의 군대 및 항공(Aerospace) 기관들에 사용했다고 지적했다. 두번째 경우는 CVE-2016-10136과 CVE-2016-10138 이다.

Detailed News List

  • China Vulnerability Disclosures
    • [SecurityWeek] China May Delay Vulnerability Disclosures For Use in Attacks
    • [CyberScoop] China hides homegrown hacks from its vulnerability disclosure process
    • [InfoSecurityMagazine] Beijing Delays Bug Reports While Hackers Exploit Flaws — Report

 

Posted in Security, Security NewsTagged BlueBorne, Car Infotainment System, China's National Vulnerability Database, CNNVD, CVE-2016-10136, CVE-2016-10138, CVE-2017-0199, CVE-2017-12337, CVE-2017-12635, Cyber Espionage, Equation Group, FaceID, Fake news, FALLCHILL, Hidden Cobra, Internet of Things, IoT, Malware, MITM, MuddyWater, National Vulnerability Database, NVD, OnePlusLogKit, Patches, Policy, POWERSTATS, Privacy, Private Key Leakage, Ransomware, RDP, Remote Desktop Protocol, Scam, TA459, Terdot, VEP, Vulnerabilities Equities Policy, Vulnerability, WannaCry, ZeuSLeave a comment

Security Newsletters, 28, Oct, 2017

Posted on 2017-10-28 - 2017-10-28 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 포함하거나 함께 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operation/Cyber Intelligence

Summaries

  • 빠르고 무지막지했던 Bad Rabbit 랜섬웨어가 도둑맞은 NSA 익스플로잇을 사용했다고 DarkReading이 전했다. 연구자들의 초기 분석결과는 Bad Rabbit 랜섬웨어가 Petya나 NotPetya의 수정된 코드를 사용한 반면에, 확산을 위해서는 WannaCry같은 익스플로잇을 사용하지 않았다는 것이었다. 시스코 시스템즈의 탈로스(Talos) 그룹은 이 랜섬웨어가 확산을 위해 EternalRomance라고 부르는 익스플로잇을 사용했다고 말했다. 이 익스플로잇은 도난당해 유출된 NSA 도구 중 일부로, 이번 여름 피해대상기관 내부에 유포하기 위해 사용된 Nyetya (또는 Petwrap, Goldeneye) 랜섬웨어 공격 도구였다. 최근 밝혀진 내용에 따르면, Bad Rabbit은 웜 처럼 확산하기 위해서 SMB 로컬 네트워크를 사용한다. 분석가들은 하드코딩된 자격증명(credential) 목록과 Mimikatz의 비밀번호 추출 방법을 확인했다. EternalRomance는 NSA의 Equation Group이라 부르는 해킹팀의 것으로 여겨지는 많은 해킹도구중 하나이며, Shadow Brokers라 부르는 해킹팀에 의해 유출되었다. EternalRomance는 원격 코드 실행 익스플로잇으로 마이크로소프트의 SMB(Server Message Block) 취약점인 CVE-2017-0145를 공격한다.
  • 어나니머스(Anonymous)가 카탈로니아 독립에 대한 논쟁에서 스페인 정부의 웹사이트를 공격했다. 어나니머스 해커들이 스페인의 공공근로 및 교통부(Ministry of Public Works and Transport)가 운영하는 웹사이트를 카탈로니아 독립운동을 지지하며 공격했다. 공격대상 사이트들이 DDoS 공격에 시달리는 동안, 일부 사이트는 “Free Catalonia” 문구로 디페이스(deface) 되었다.
  • 오클라호마의 공공시설위원회, 사이버 공격 감지. 오클라호마의 공공시설물위원회에 이루어진 사이버공격이 정보시스템에 영향을 입혔다고 밝혔다. 웹사이트 및 이메일 서비스, 기타 네트워크의 운영이 월요일 일찍 해킹 공격이 일어난 이후 중단되었다.

Detailed News list

  • Bad Rabbit
    • [DarkReading] Bad Rabbit, 도둑맞은 NSA 익스플로잇 사용
      Bad Rabbit Used Pilfered NSA Exploit
    • [theHackerNews] Bad Rabbit, 유출된 NSA의 EternalRomance 익스플로잇을 확산을 위해 사용
      Bad Rabbit Ransomware Uses Leaked ‘EternalRomance’ NSA Exploit to Spread
    • [HackRead] NSA의 EternalRomance 익스플로잇, Bad Rabbit 랜섬웨어 대혼란에서 사용
      EternalRomance NSA Exploit a Key Player in Bad Rabbit Ransomware Mayhem
    • [ThreatPost] EternalRomance 익스플로잇, Bad Rabbit 랜섬웨어에서 발견
      ETERNALROMANCE EXPLOIT FOUND IN BAD RABBIT RANSOMWARE
  • Anonymous & Catalonia
    • [SCMagazine] 어나니머스, 카탈로니아 독립 논쟁에서 스페인 정부 웹사이트 공격
      Anonymous targets Spanish government sites in Catalan independence controversy
  • Oklahoma
    • [TheSacramentoBee] 오클라호마 공공시설위원회 사이버공격 감지
      Oklahoma’s public utilities commission detects cyberattack

 

Deep Web/DarkNet/Onion

Summaries

  • 범죄자들에 국제 RDP 서비스 제공하는 다크넷 마켓. 다크넷 마켓들이 장악한 RDP 서버들에 대한 접근권한을 사이버범죄 생태계에 돈을받고 파는 일이 지난 몇년간 계속 증가하고 있다. UAS(Ultimate Anonymous Services)라는 마켓은 유명한 RDP 마켓으로, 2016년 2월 16일부터 온라인으로 활동을 해 왔다. UAS는 SOCKs 프록시 및 35,000개의 브루트포스(Bruteforce)한 RDP 정보를 제공한다. 이 RDP들은 중국, 브라질, 인도, 스페인, 콜롬비아 등 전 세계에 걸쳐 존재한다.

Detailed News List

  • Ultimate Anonymity Services
    • [Flashpoint] 범죄자들에게 RDP 서비스 제공하는 다크넷 마켓 UAS
      “Ultimate Anonymity Services” Shop Offers Cybercriminals International RDPs

 

Security Breach/Info Leakage

Summaries

  • 가장 유명한 자바스크립트 라이브러리인 jQuery의 공식 블로그가 해킹당했다. 그러나 아직 jQuery에서 호스팅하는 jQuery 라이브러리 파일들이 공격받았다는 증거는 없다. 해킹당했다는 블로그 포스트를 올린 Leah Silber의 계정이 해킹당했거나, 아직 알려지지 않은 워드프레스의 취약점을 사용한 것으로 추정된다. jQuery 블로그에 등록되었던 해킹 포스트는 삭제되었고 아직 공식 발표는 없다.

Detailed News List

  • jQuery
    • [theHackerNews] jQuery 공식 블로그 해킹당해
      jQuery Official Blog Hacked — Stay Calm, Library is Safe!
    • [HackRead] jQuery 블로그 해킹 당했다
      jQuery Blog Gets Hacked – Hackers Compromise CoinHive’s DNS

 

Crypto Currency

Summaries

  • 실제 이더리움(Ethereum) 지갑 서비스인 MyEtherWallet.com에서 보낸 것 처럼 위장한 피싱메일이 다가오는 하드포크(hard fork)에 대해 언급하면서 메일에 포함된 링크를 클릭하여 사용자 계정에 대한 잠금을 해제하고 계좌 잔액을 확인하라고 사용자들을 속였다. 유니코드를 사용해 실제 사이트처럼 꾸민 피싱사이트에서 사용자들이 속아 비밀번호를 입력하면 그 비밀번호를 이용해 이더리움 잔액을 공격자의 지갑으로 이체했고, 짧은 2시간 동안 공격자들은 약 15,000 달러의 이더리움(52.56ETH)을 훔쳐냈다.
  • 코인하이브(Coinhive)의 사고가 오래된 비밀번호의 재사용으로 인해 일어났다고 밝혔다. 코인하이브는 최근 침해사고에서 DNS 서비스 제공사인 CloudFlare의 계정을 탈취당해 공격자에 의해 변경된 자바스크립트를 배포했다. 이 Cloudflare 계정은 이전 Kickstarter 사고에서 유출된 계정의 비밀번호를 동일하게 사용하고 있었다.

Detailed News List

  • Ethereum Phishing
    • [BleepingComputer] 이더리움 피싱 공격, 두시간반에 범죄자들에게 1.5만의 순수익 안겨
      Ethereum Phishing Attack Nets Criminals 15K in Two Hours
  • CoinHive
    • [HelpNetSecurity] 코인하이브, 오래되고 재사용한 비밀번호 때문에 해킹당했다
      Coinhive breached due to old, reused password

 

Malware/Exploit/Vulnerability

Summaries

  • 지난달 스팸 메일로 악성코드를 유포하기 시작한 온라인 작전의 배후에있는 해커들이 일본을 우선순위로 삼고 공격하고 있다. 몇년간 Ursnif(Gozi)는 일본 및 북미, 유럽, 호주를 대상으로 해왔다. 그러나 최근 IBM X-Force 분석가에 따르면, 일본에서의 작전이 새로운 대상과 회피기술로 한 단계 더 발전했다. 최근 탐지된 Ursnif 악성코드 변종들의 샘플을 분석한 결과 더이상 은행 및 은행 자격증명(Credential)정보만을 노리는 것이 아니라 일본의 웹메일, 클라우드 저장소, 암호화폐 거래 플랫폼, e커머스 사이트의 사용자 인증정보(Credential)를 노리고 있다.
  • 클라우드 기반 통신 플랫폼인 슬랙이 SAML 사용자 인증에 있던 심각한 취약점을 패치했다.

Detailed News List

  • URSNIF
    • [ThreatPost] Ursnif 뱅킹 트로이가 일본에서 확산중
      URSNIF BANKING TROJAN SPREADING IN JAPAN
  • SLACK
    • [ThreatPost] SLACK, SAML 사용자 인증에 심각한 취약점 패치
      SLACK PLUGS ‘SEVERE’ SAML USER AUTHENTICATION HOLE

 

Legislation/Politics/Policy/Regulation/Law Enforcement

Summaries

  • –

Detailed News List

  • –

 

Internet of Things

Summaries

  • Reaper IoT 봇넷이 DDoS 서비스를 위한 도구인 것으로 보인다. 최근 10,000 ~ 20,000개의 명령 장치와, 봇넷 노드로 보이는 추가적인 2백만개의 호스트가 식별되었다. 2백만개의 호스트가 왜 봇넷에 흡수되지 않았는지는 아직까지 확실치 않지만, Arbot Network의 ASERT(Arbor’s Security Engineering & Response Team)는 중국 내부의 DDoS서비스 시장에서 사용될 것으로 추측했다.
  • 체크포인트(Check Point)의 보안연구가의 연구결과에 따르면, LG SmartThinQ 스마트 홈디바이스에서 취약점을 발견했다. 이 취약점은 LG에서 생산된 냉장고, 오븐, 식기세척기, 에어컨, 드라이어, 세탁기 등의 인터넷 연결을 가로챌 수 있게 한다. 그리고 원격으로 LG의 홈봇이나 카메라가 내장된 로봇청소기를 조종할 수 있고 비디오 영상을 실시간으로 확인 할 수 있었다.

Detailed News List

  • Reaper Botnet
    • [DarkReading] Reaper 봇넷, 유료 DDoS 서비스 도구로 보여
      ‘Reaper’ IoT Botnet Likely a DDoS-for-Hire Tool
    • [360NetLab] IoT Reaper
      IoT_reaper: A Few Updates
  • LG Smart Appliances
    • [theHackerNews] 해커에 의해 LG 스마트 기기가 원격조종되는 스파이 로봇이 될 수 있다
      Hackers Could Turn LG Smart Appliances Into Remote-Controlled Spy Robot
    • [HackRead] 보안연구가, 청소기를 해킹해 스파이 도구로 만들다
      Researchers hack vacuum cleaner; turn it into perfect spying device
    • [Phys.org] 보안취약점으로 해커가 스마트 오븐을 켤 수 있다
      Security flaw could have let hackers turn on smart ovens

 

Industrial/Infrastructure/Physical System/HVAC

Summaries

  • 활동가들에 의해 소가 제기된지 며칠 후에 선거서버가 지워졌다. 조지아 선거 메인서버가 7월에 지워졌고, 두개의 백업은 8월에 세번이나 자기소거(degaussing) 됐다. 현재 조지아 선거 관리 공무원들에 대하여 제기된 연방 소송의 핵심으로 여겨지는 서버와 백업들이 완전히 지워진 것으로 알려졌다. 한 보안연구가에 의해 투표시스템의 심각한 문제가 발견된 이후, 조지아는 아주 엄격한 정밀조사 과정에 있었다. 그후 소송이 이어졌고, 법원에는 6월 20일 의회 특별선거 결과의 취소에 대한 요청 및 컴퓨터기반의 투표시스템이 다시 사용되는 것을 막아달라는 요청이 있었다. 이 사건은 7월 3일 Fulton County Superior Court에 접수되었다. 그러나 지난 목요일 APNews 소식에 따르면, 데이터는 7월 7일 Kennesaw State University의 the Center for Elections Systems에 의해 파괴되었다. 그리고 이메일로 확인된 내용에 따르면 두개의 백업 서버는 세 차례 자기소거(degaussing)된 것으로 확인됐다. 이에 대해서는 Kennesaw State University의 Tammy Demel 대변인은 다음과 같이 답변을 했다. 2017년 3월에 데이터 침해에 연관된 것으로 여겨지는 서버들이 연방수사국(FBI)에 제출되었고, 데이터는 수사과정에서 포렌식 이미지와 모든데이터의 복사본으로 만들어져 수사국에 보관되었다는 것이다. 그리고 그 이후 연방수사국으로부터 어떤 데이터도 침해당하지 않았다는 연락을 받았으며 수사는 종료되었다고 한다. 수사 종료 후에는, 해당 장비의 재활용을 위해 일상적인 업무절차를 거쳐 드라이브의 소거작업 등이 진행되었다고 밝혔다.
  • 선박의 AmosConnect 8 웹 플랫폼의 두가지 취약점에 대한 보고서가 발표되었다. 이 플랫폼은 IT 및 네비게이션시스템에 대한 모니터링 및 선원들을 위한 메시징, 이메일, 웹브라우징 등의 기능을 제공하는 플랫폼이다. 보고서에서는 이 취약점이 공격받을 경우 선원들의 개인정보 및 광범위한 운영데이터의 노출, 고립되어 운영되어야 하는 선박의 주요 시스템들의 손상이 발생 할 수 있다고 밝혔다.
  • NATO 사무총장이 동맹국들이 러시아의 전화네트워크 마비(Jamming) 기술에 대한 우려가 높아지고 있다고 밝혔다. 나토의 사무총장인 Jens Stoltenberg가 2017년 10월 26일 브뤼셀의 나토 본부에서 열린 나토-러시아 협의 회의(Nato-Russia Council)에서, 지난달 군사훈련간 사용된 전자전 종류의 무기에 의한 일부 전화 네트워크의 장애에 대하여 동맹국들의 우려가 커지고 있다고 밝혔다. 최소한 두 동맹국이 그런사실을 알려왔다고 말했으며, 러시아가 워게임에 대하여 더욱 투명하게 대처할 필요가 있다고 강조했다. 지난 9월 14에서 20일까지 러시아가 벨라루스와 함께 진행했던 Zapad 훈련 진행중에 라트비아, 노르웨이, 스웨덴의 Oeland 섬의 전화 서비스가 몇 시간 동안 중단되었다. 이 장애는 발틱해(Baltic Sea)에 있던 러시아의 통신선에 의해 발생한 것으로 추측된다.

Detailed News List

  • 조지아 선거 서버 삭제
    • [arsTechnica] 소송제기 며칠 뒤, 조지아 선거서버 지워져
      Days after activists sued, Georgia’s election server was wiped clean
    • [TheRegister] 미 투표서버 의문스러운 삭제
      US voting server in election security probe is mysteriously wiped
    • [APNews] 조지아 선거 서버, 소송 제기후 삭제
      APNewsBreak: Georgia election server wiped after suit filed
  • 해상 통신 시스템 취약점
    • [Wired] 유명 해상통신 플랫폼의 버그로 선박 노출
      A BUG IN A POPULAR MARITIME PLATFORM LEFT SHIPS EXPOSED
    • [ThreatPost] Inmarsat의 위성통신 시스템의 치명적인 두가지 버그 발견
      TWO CRITICAL VULNERABILITIES FOUND IN INMARSAT’S SATCOM SYSTEMS
    • [TheRegister] 해상 통신시스템 취약점 발견
      Maritime comms flaws exposed: It’s OK cuz we canned it, says vendor
    • [ZDNet] 내장백도어로 인해 해상 선박 데이터에 해커가 접근 가능
      Hackers can gain access to maritime ship data through a built-in backdoor
    • [CMU CERT] Inmarsat AmosConnec8 메일 클라이언트 SQL Injection 및 백도어계정 취약점
      Inmarsat AmosConnect8 Mail Client Vulnerable to SQL Injection and Backdoor Account
  • Zapad & Phone Jamming
    • [C4ISRNet] 나토 사무총장, 동맹국들의 러시아 전화 마비공격에 대한 우려 언급
      NATO chief says allies concerned about Russian phone jamming

 

Technology/Technical Document/Report

Summaries

  • 구글이 HTTPS와 같은 일을 DNS 쿼리에서도 하려는 중이다. 2015년 IEFE(Internet Engineering Task Force)에 제출된, DNS 질의를 암호화하는 DNS-over-TLS에 대한 내용이 AOSP(Android Open Source Project)에 등록되었다. 일반 DNS 질의는 인터넷에 평문 평태로 전송되기 때문에 중간자공격(MitM, Man-in-the-Middle Attack)에 의해 추적되거나 변경될 수 있다. 그래서 방문하는 모든 사이트들의 정보가 ISP나 VPN 제공사에 의해 기록될 수 있다.

Detailed News List

  • DNS
    • [NakedSecurity] 암호화되지 않은 DNS를 노리는 안드로이드
      Android takes aim at ISP surveillance with DNS privacy

 

Social Engineering

Summaries

  • –

Detailed News List

  • –

 

Privacy

Summaries

  • 사생활 침해로 이어질 수 있는 iOS의 기능이 이슈다. 앱이 카메라에 접근할 권한을 허용하기만 하면, 실제 사용자가 알지 못하는 순간에 LED 노출이나 불빛등의 특징 없이도 전/후방 카메라로 스냅사진을 찍어 그 데이터가 인터넷에 업로드되고 안면인식 등의 분석이 이루어질 수 있다는 것이다. 거기에는 애플의 iOS11에서 소개한 새로운 기능인 CoreML이라는 신경망에 의한 사생활 침해 가능성이 큰 논란이 되고 있는데, CoreML 권한을 사용하는 앱에서 사용자의 마이크, 달력등의 데이터 스트림에 접근하여 안면인식, 자연어처리, 대상인식 등 신경망과 의사결정트리 등 온갖 머신러닝 도구들을 사용할 수 있는 것이다.

Detailed News List

  • iOS privacy
    • [NakedSecurity] iOS의 사생활 침해
      The iOS privacy loophole that’s staring you right in the face
    • [Wired] 애플의 머신러닝엔진이 당신 아이폰에 들어있는 비밀을 들춰낼지 모른다
      APPLE’S MACHINE LEARNING ENGINE COULD SURFACE YOUR IPHONE’S SECRETS
Posted in Security, Security NewsTagged Anonymous, Bad Rabbit, Crypto Currency, CVE-2017-0145, Cyber Espionage, DarkNet, Data Breach, Deep web, Equation Group, EternalRomance, Ethereum, Exploit, Gozi, Hacking, ICS, Industrial Control System, IoT, IOTroop, jQuery, Machine Learning, Malware, Maritime platform, Mimikatz, Phone jamming, Reaper, Security, UAS, Ursnif, VulnerabilityLeave a comment

Security Newsletters, 27, Oct, 2017

Posted on 2017-10-27 - 2017-10-27 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 포함하거나 함께 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operation/Cyber Intelligence

Summaries

  • 카스퍼스키랩, 가정용 컴퓨터에서 NSA 파일을 수집 후 삭제. 러시아 요원이 미국 정부의 데이터를 훔치는데 카스퍼스키랩이 도움을 줬다는 의혹이 계속되는 가운데 Moscow에 위치한 카스퍼스키랩이 2014년 9월에 가정용 컴퓨터에서 NSA 해킹툴의 소스코드가 포함된 파일을 자사의 소프트웨어로 수집했다고 인정했다. 하지만 카스퍼스키랩은 CEO인 유진 카스퍼스키의 지시에 따라서 해당 파일을 삭제했고 어느 누구와도 공유하지 않았다고 내부 조사 리포트에서 밝혔다. 그 내용에 따르면, 해당 파일은 NSA 도급업자의 가정용 컴퓨터에서 카스퍼스키랩의 AV네트워크에 분석을 위해 자동으로 업로드 되었고, 업로드 된 7zip 압축파일은 NSA의 해킹팀인 Equation Group이 사용한 해킹 툴이 포함된 파일이었다. AV소프트웨어가 동작하면서 악성코드에 감염된 혹은 악성코드를 포함한 새로운 파일을 탐지했을 때 파일이 분석용 네트워크로 업로드 되는 기능은 AV의 일반적인 기능이며, 이번 경우에는 압축파일에 악성코드와 소스코드가 함께 포함되어 있었다. 카스퍼스키랩은 파일을 삭제한 이유에 대해서, 첫번째로 자사 백신 기능을 강화하는데 소스코드까지는 필요없으며 두번째로는 기밀자료를 다루는 것에 대한 우려 때문이라고 밝혔다. 이러한 우려는 카스퍼스키랩의 분석가들은 카스퍼스키랩의 AV소프트웨어가 이렇게 우연히 수집하게되는 기밀자료는 삭제한다는 정책으로 자리잡았다고 대변인은 설명했다.
  • 화요일에 탐지되어 몇시간 안에 빠르게 퍼져나갔던 Bad Rabbit 랜섬웨어 공격이 거의 끝난 것으로 보인다. 그러나 주로 러시아의 시스템을 공격대상으로 삼아 아주 빠르게 진행되었던 Bad Rabbit 랜섬웨어의 시작점에 대해서는 미스터리한 부분이 남아있다. 랜섬웨어를 깊이 파헤친 분석가들은 아직도 랜섬웨어를 퍼트리기 위한 워터링홀(watering-hole) 공격이 어떻게 이루어졌는지, 웜처럼 확산되는 감염이 돈을 위한 것인지 대혼란을 위한 것인지에 대해서도 답을 내지 못하고 있다. 여러 연구가들은 Bad Rabbit 랜섬웨어가 이전의 NotPetya, Petya와 몇몇 공통 코드를 공유하고 있으나 이것이 동일한 그룹이 배후에 있다는 의미로 보긴 어렵다고 결론을 내렸다.

Detailed News list

  • Kaspersky Lab
    • [DarkReading] 카스퍼스키 랩, NSA 파일을 가정용 컴퓨터로부터 수집했으나 삭제했다
      Kaspersky Lab Collected, Then Deleted NSA File from a Home Computer
  • Bad Rabbit
    • [DarkReading] Bad Rabbit은 무너졌으나 의문이 남았다
      Bad Rabbit Dies Down But Questions Remain

 

Deep Web/DarkNet/Onion

Summaries

  • 다크웹에서의 랜섬웨어 판매가 2,502%의 급격한 성장을 보였다. 미국 사이버 보안 기업인 카본블랙(Carbon Black)에 따르면, 2016년에 비해서 올해 다크웹에서의 랜섬웨어 판매가 2,502%로 증가했다. 리포트에서는 랜섬웨어를 판매하는 6,300개 이상의 다크넷 마켓이 존재하며 45,000개 이상의 제품을 제공하고 있다고 밝혔다. DIY 악성코드 킷은 $0.5에서부터 $3,000까지 다양하고, 평균 가격은 $10.5라고 한다. 반면 맞춤제작 키트(Custom kits)는 $3,000 이상의 가격을 요구한다. 판매액은 2016년 $249,287에서 올해 $6,237,248로 2,500%의 성장을 보였다.
  • 다크넷의 유명 마켓 중 하나인 TradeRoute가 오프라인으로 전환되고 사용자들이 마켓 시스템에 남겨놓은 암호화폐가 도둑맞은 것으로 추정된다. Phishkingz라는 닉네임의 유명한 피싱사기꾼이 TradeRoute의 관리자 페이지에 접근이 가능했고, TradeRoute 사이트가 오프라인으로 전환되기 이전에 Phishikingz가 사용하는 것으로 알려진 비트코인 지갑주소에 수천비트코인(1,760BTC)이 상당히 짧은 시간 내에 이체되었다. 그리고 TradeRoute가 운영되는 기간동안 같은 지갑 주소로 80,623 BTC가 이체되었다. 달러로 환산시 약 4억 5천만 달러로, 한화 약 5000억원이다. 실제로 밝혀진다면 역사상 가장 큰 금액의 사기로 기록될 것이다.

Detailed News List

  • Ransomware Sales
    • [DarkWebNews] 랜섬웨어 판매 2,502%의 성장
      Ransomware Sales on Dark Web Boost by 2502%
    • [CarbonBlack] 카본블랙 리포트
      CarbonBlack Report
  • TradeRoute
    • [DarkWebNews] 다크넷 마켓 TradeRoute가 출구사기에 당하다
      Darknet Market TradeRoute Exit Scammed

 

Security Breach/Info Leakage

Summaries

  • MotherBoard는 Equifax 데이터 유출 사고가 발생하기 몇 달 앞서 이미 보안연구자에 의해 침해가능성이 Equifax에게 알려졌으나, 그에 대한 조치는 데이터 유출 사고가 일어난 후에나 이루어 졌다고 밝혔다. 다수의 해킹 그룹이 Equifax를 침해했을 가능성은 물론, 보안 경고에 대하여 Equifax가 심각하게 생각하고 주의를 기울였는가 여부에 대한 의문이 생기게 하는 부분이다. 2016년 늦게 보안연구자가 인터넷에 노출되어있는 Equifax의 웹사이트 서버들을 점검했고, 그 결과 몇시간의 스캐닝만에 모든 미국인의 사회보장번호(social security numbers), 이름, 생일, 거주지주소 등이 포함된 개인정보 데이터에 접근할 수 있게하는 서버가 있음을 발견했다고 한다. Equifax의 직원용으로 제작된 것처럼 보이는 포털 사이트였으나, 누구나 접근할 수 있게 인터넷에 노출되어 있었고 인증받지 않은 사람도 Equifax의 고객정보를 검색해서 찾아볼 수 있는 상태였다. 진단 과정에서 다수 서버를 장악할 수 있었으며, SQL Injection과 같은 다른 취약점 다수도 확인할 수 있었다. 많은 서버가 오래된 버젼의 소프트웨어로 운영되었다고 한다.

Detailed News List

  • Equifax
    • [MotherBoard] Equifax, 이미 사고위험에 대하여 경고를 들었었다
      Equifax Was Warned

 

Crypto Currency

Summaries

  • –

Detailed News List

  • –

 

Malware/Exploit/Vulnerability

Summaries

  • DUHK 공격에 대해 기사가 계속되고 있다. 이 공격으로 VPN이나 웹 세션에 사용된 암호화 키를 복구해 낼 수 있다. 이 취약점에 영향을 받는 제품으로는 ANSI X9.31 RNG(Random Number Generator)에 기반한 Fortinet, Cisco, TechGuard 등의 제조사들의 장비가 영향을 받는다. 2016년에 FIPS 승인된 의사난수 생성 알고리즘(PseudoRandom Number Generation Algorithm) 목록에서 제거되기 전에는, ANSI X9.31 RNG는 지난 약 30년간 다양한 암호 표준에 포함되었다. 문제는 의사난수 생성기의 시드(Seed)값이 고정되면 같은 난수값이 생성된다는 것인데, 몇몇제품에서는 이 시드값을 하드코딩 해 놓았기 때문에 펌웨어를 리버스엔지니어링해서 찾아낼 수 있다는 점이다. 연구가가 취약점을 검증한 일부 제품들은 BeCrypt Ltd., Cisco Systems Inc, Deltacrypt Technologies Inc, Fortinet Inc, MRV Communications, Neoscale Systems Inc, Neopost Technologies, Renesas Technology America, TechGuard Security, Tendyron Corporation, ViaSat Inc, Vocera Communications Inc. 등이 있다.
  • 제거하려 하면 랜섬웨어로 돌변하는 악성코드가 나타났다. SfyLabs의 보안연구가들이 LokiBot이라 명명한 안드로이드 뱅킹 악성코드를 탐지했으며, 사용자가 이것을 감염된 장치에서 제거하려고 하면 랜섬웨어로 바뀌게 된다. 이 악성코드는 올해 6월부터 뉴스에 오르내렸으나, 악성코드의 제작자가 계속적으로 기능을 추가하여 이제는 다양한 뱅킹 어플리케이션이나 아웃룩Skype, WhatApp과 같은 유명 어플리케이션으로부터 개인 및 금융정보를 훔치는 제대로된 악성으로 발전했다. LokiBot은 정상 앱에서 발생한 것처럼 알림 메시지를 위장하거나, 장치에서 정보를 읽고 유출할 수 있으며, 연락처 정보를 사용해 자신을 재확산 하기도 한다. 그리고 사용자 브라우저 기록을 C&C서버로 보내고, 제거하려 하면 파일을 암호화하고 랜섬웨어로 변해 장치를 잠근 후 70에서 100달러의 비트코인을 요구한다.
  • Tyrant 랜섬웨어가 유명 VPN 어플리케이션으로 위장해 이란에서 퍼지고 있다. 이란의 CERTCC(Iran Computer Emergency Response Team Coordination Center)에서 보안 경고를 발표했다. Psiphon VPN 어플리케이션으로 위장한 이 Tyrant 랜섬웨어는 감염된 사람들에게 금전을 요구하고 있으며, 24시간안에 약 $15의 돈을 지불해야 한다. Tyrant 랜섬웨어는 이란을 특정하여 배포되었다. 위협 메시지가 이란어(Farsi)로만 작성되어 있고, 지역의 지불 시스템인 exchanging.ir과 webmoney724.ir만을 사용한다. 그러나 테스트 버젼이나 시험버젼으로 보이는 이 Tyrant 랜섬웨어 자체의 수준이 낮기 때문에, 쉽게 처리할 수 있을 것이라는 분석가들의 평도 이어지고 있다.
  • Sage 랜섬웨어가 사용자 인터페이스와 쉬운 지불 방식으로 차별화를 하고 있다. 사이버 범죄자들이 랜섬웨어로 계속 수익을 벌어들이면서 이 시장도 포화 상태로 접어들고 있는 것이다. 그래서 Sage 랜섬웨어는 새로운 버젼 2.2를 통해 포화상태의 랜섬웨어 환경에서 돋보이려고 하고 있다. 밝은 색상의 사용자 인터페이스를 쓰고, 상호작용하는 위협 메시지를 사용한다. 그리고 비트코인 주소가 담긴 QR코드를 제공해, 피해자가 몸값을 쉽게 지불할 수 있도록 하고 있다. 다른 랜섬웨어들의 단조로운 사용자 인터페이스가 아닌, 다채롭고 접근하기 쉬운 사용자 인터페이스를 제공하며. 피해자의 상황 설명과 데이터를 복구하기 위한 지침을 제공하는 것이다.

Detailed News List

  • DUHK Attack
    • [theHackerNews] DUHK 공격, 해커가 VPN과 웹 세션에서 사용하는 암호화 키를 복구해낼 수 있게 한다.
      DUHK Attack Lets Hackers Recover Encryption Key Used in VPNs & Web Sessions
  • LokiBot
    • [HackRead] 제거하려 하면 랜섬웨어로 변하는 LokiBot 악성코드
      This malware turns itself into ransomware if you try to remove it
  • Tyrant
    • [BleepingComputer] Tyrant 랜섬웨어, 유명 VPN 어플리케이션으로 위장해 이란에서 유포
      Tyrant Ransomware Spreads in Iran Disguised as Popular VPN App
  • Sage
    • [PhishMe] Sage 랜섬웨어, 매력적인 사용자 인터페이스와 쉬운 지불 방식으로 차별화
      Sage Ransomware Distinguishes Itself with Engaging User Interface and Easy Payment Process

 

Legislation/Politics/Policy/Regulation/Law Enforcement

Summaries

  • Google Play의 취약점 현상금 제도가 운영된다. 스파이웨어, 뱅킹봇, 애드웨어 등의 악성 어플리케이션으로 많은 문제를 겪고 있던 구글 플레이스토어가 등록되어있는 어플리케이션들에 대하여 현상금 제도를 운영한다. 구글 플레이스토어는 HackerOne과 협업하며, 플레이스토어에 올라와있는 유명 앱에서 버그를 찾으면 1,000 달러까지 보너스를 제공한다. HackerOne의 구글 플레이스토어 보안 보상 프로그램 페이지에서는 어떤 어플리케이션이 이에 해당하는지 설명하고 있다. 이 목록에는 유명한 어플리케이션인 Alibaba, Dropbox, Snapchat, Tinder 등이 있으며 더 많은 대상 어플리케이션이 추가될 예정이다.

Detailed News List

  • Google Play Bug Bounty
    • [NakedSecurity] 구글 플레이스토어의 앱을 해킹하면, 보상금 받는다
      Google wants you to hack Play Store apps, and it’s paying

 

Internet of Things

Summaries

  • –

Detailed News List

  • –

 

Industrial/Infrastructure/Physical System/HVAC

Summaries

  • NIST(National Institute of Standards and Technology)의 산업제어시스템(Industrial Control System) 보안에 대한 문서가 공개되었다. 이 Special Publication 800-82 (Rev2) 문서에서는 산업제어시스템(ICS)를 어떻게 안전하게 만드는가에 대한 가이드를 제공한다. 여기에는 SCADA(Supervisory Control and Data Acquisition) 시스템과 DCS(Distributed Control Systems) 및 기타 PLC(Programmable Logic Controllers)와 같은 제어시스템설정이 포함된다.
  • SANS에서 산업제어시스템(ICS)의 안전한 아키텍쳐에 대한 백서를 공개했다. Secure Architecture for Industrial Control Systems 문서 에서는 기존 ICS의 독립적인 고립(Stand-alone isolated systems) 구조에서 상호접속(interconnected systems) 구조로의 변화에 대해 다룬다.

Detailed News List

  • NIST
    • [NIST] NIST의 산업제어시스템 보안 가이드
      NIST Special Publication 800-82 Revision 2: Guide to Industrial Control Systems (ICS) Security (PDF)
  • SANS
    • [SANS] SANS의 산업제어시스템의 안전한 아키텍쳐
      Secure Architecture for Industrial Control Systems (PDF)

 

Technology/Technical Document/Report

Summaries

  • 복수의 AntiVirus 제품을 설치해 사용하는 사용자들의 약 40%가 첫 반년동안 악성코드 공격을 받는다고 MalwareBytes 리포트가 밝혔다. 거의 천만개의 엔드포인트를 스캔한  리포트(The Mapping AV Detection Failures)에서는 두개 이상의 전통적이거나 시그니처 기반의 안티바이러스 제품이 설치되어 있음에도 다수의 악성코드 공격이 발생하는 것이 발견되었다. 랜섬웨어나 봇넷, 트로이 같은 악성코드들은 전형적인 안티바이러스 제품들을 쉽게 우회할 수 있는 것으로 나타났다.

Detailed News List

  • [DarkReading] 다수의 안티바이러스 소프트웨어를 설치해도 40% 사용자를 악성코드로부터 보호하는데 실패한다.
    Doubling Up on AV Fails to Protect 40% of Users from Malware Attacks

 

Social Engineering

Summaries

  • –

Detailed News List

  • –
Posted in Security, Security NewsTagged Bad Rabbit, Crypto Currency, Cyber Espionage, Data Breach, Deep web, DUHK, Equation Group, Equifax, Exploit, Google Play Bug Bounty, Hacking, ICS, Industrial Control System, IoT, Lokibot, Malware, Sage, SCADA, Security, TradeRoute, Tyrant, VulnerabilityLeave a comment

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.