Caution
This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
- 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.
Newsletters
Cyber Espionage/Cyber Operations/Cyber Threats
Summaries
- 키릴(Cyril)문자를 사용한 도메인으로 RIG Exploit Kit으로 이끄는 Seamless 캠페인이 진행되고 있다. Seamless 캠페인은 RIG Exploit Kit과 Ramnit Trojan을 유포하는 가장 많은 체인 중 하나다. Seamless의 탐지는 고정 문자열과 IP URL을 사용해 탐지가 쉬웠으나, 최근 탐지된 병행되는 캠페인에서는 특수문자를 사용하고 있다. IP 주소를 사용하는 대신, 키릴문자 기반의 도메인명을 사용한다.
Detailed News list
- New Seamless Campaign
- [MalwarebytesLabs]
Seamless campaign serves RIG EK via Punycode
- [MalwarebytesLabs]
Malwares/Exploits/Vulnerabilities
Summaries
- 30개 이상의 유명 이메일 클라이언트에 영향을 미치는 Email 스푸핑 취약점이 발견되었다. 다른 사람이 보낸 메일인 것처럼 위장할 수 있는 취약점이 발견되었다. MailSploit이라는 이름이 붙은 이 취약점은 Apple Mail(macOS, iOS, watchOS), Mozilla Thunderbird, Microsoft email clients, Yahoo Mail, ProtonMail 및 기타 메일클라이언트들에 영향을 미친다. 이 클라이언트들에 DKIM이나 DMARC와 같은 스푸핑 방지 메커니즘이 구현되어 있지만, MailSploit은 이메일 클라이언트와 웹 인터페이스가 From 헤더를 파싱하는 것을 이용한다.
- 안드로이드 응용프로그램 개발자 도구에서 취약점이 발견되었다. 안드로이드 스튜디오, 이클립스, IntelliJ-IDEA에 취약점이 존재한다고 체크포인트 보안연구가들이 밝혔다. 안드로이드 어플리케이션 패키지 툴(APKTool), 쿠쿠드로이드(Cuckoo-Droid) 서비스, 기타 안드로이드 어플리케이션 리버스 엔지니어링(reverse-engineering) 도구들 역시 취약점이 존재한다. APKTools의 XML External Entity(XXE) 취약점은 전체 OS 파일 시스템을 사용자에게 노출시킬 수 있다. 공격자는 악의적인 AndroidManifest.xml 파일을 사용해 XXE 취약점을 공격할 수 있다.
Detailed News List
- MailSploit
- [InfoSecInstitute]
Mailsploit: The Undetectable Spoofing Attack - [TheHackerNews]
MailSploit — Email Spoofing Flaw Affects Over 30 Popular Email Clients
- [InfoSecInstitute]
- Android Application Developer Tools
- [ThreatPost]
Developers Targets in ‘ParseDroid’ PoC Attack - [DarkReading]
Android Developer Tools Contain Vulnerabilities - [CyberScoop]
Android developer apps suffered from multiple severe vulnerabilities
- [ThreatPost]
Legislation/Politics/Policies/Regulations/Law Enforcement/Trials
Summaries
- 독일 정부가 하드웨어 제조사들에게 제품내 백도어(Backdoor)를 집어넣게 강제 하고, 역으로 해킹공격(hack back)을 할 수 있게하는 법안을 준비중이다. 이 법안은 법 집행기관이 그들의 수사중에는 백도어를 사용해 정보를 수집할 수 있게 하는데에 목표를 두고 있다. 이 법은 통신, 차량, IoT 제품 등을 포함한 어떠한 산업의 장치든 대상으로 할 수 있다. RedaktionsNetzwerk Deutschland(RND) 지역 뉴스에 따르면, 이번주에 제안을 제출할 것으로 예상된다.
- (5일에서 이어짐) 유출된 인증정보에 대한 유료 서비스를 제공했던 LeakBase가 주말을 지나며 서비스를 종료했다. 이 서비스는 작년 9월 서비스를 시작했고, 주요 해킹사건에서 유출된 20억건의 계정정보를 제공한다고 주장했다. 이 서비스는 2017년 1월에 LeakdSource가 중단되면서 주목을 받았었다. LeakBase는 트위터를 통해 유료서비스에 대한 환불을 진행할 것이라 밝혔다. 서비스를 중단하는 이유는 아직 확실히 밝혀진 것이 없지만, 브라이언 크렙스(Brian Krebs)는 LeakBase 소유자중 한명이 다크웹 마켓 Hansa와 관련이 있을 것으로 보고있다.
- (5일에서 이어짐) 역사상 가장 오래되고 널리 퍼진 봇넷 중 하나였던 안드로메다(Andromeda) 봇넷이 지난주 FBI가 이끈 국제적인 법 집행 작전에 의해 운영이 종료되었다. 유로폴에 따르면, 안드로메다 봇넷의 악성코드 기반구조는 해체되었고, 신원이 확인되지 않은 한명의 용의자가 벨라루스에서 체포되었다. 2011년에 처음 등장한 안드로메다는 마이크로소프트에 따르면, 지난 6개월간 매달 평균 100만개의 장치들에서 발견되었다. 이 악성코드는 2016년 최고 스팸 캠페인들중 하나의 배후이며, 침해당한 웹사이트나 광고 네트워크에서 자주 발견되는 악성코드 최대 80 종(families)과 관련이 있는 봇넷이다.
- (5일에서 이어짐) 친구를 조기석방 시키려던 미시건 주의 남성이 체포되어 감옥신세를 지게 됐다. Konrads Voits라는 27세의 남성은 Washtenaw Country 정부 컴퓨터 시스템에 친구를 조기석방 시키려는 목적으로 악성코드를 설치한 혐의에 대해 유죄를 인정했다. 시도는 성공하지 못했고 그는 경찰에 의해 체포되었다. 법원 문서에 따르면, Voits는 1월에 Washtenaw와 유사한 피싱 도메인 ewashtenavv.org w대신 v두개를 사용해 만들었다. 그리고 피싱 이메일과 소셜 엔지니어링으로 악성코드를 설치하게 했다. 계속적인 공격으로 죄수를 감시하는 Xjail 컴퓨터 시스템을 포함해 직원 1,600여명의 로그인 정보를 획득했으나, 이러한 시도들이 탐지되어 결국 체포되었다.
- (5일에서 이어짐) 여러 영국 하원(MP, Member of Parliament)의원들이 자신들의 해이한 보안의식을 드러내면서 정부의 사이버보안 규정에 대한 의문이 일고있다. Mid Bedfordshire의 하원의원인 Nadine Dorries는 지난 주말 여러 트윗을 통해 그녀의 직원이 자신의 비밀번호를 사용해 자신의 의회 사무실 컴퓨터에 로그인 한 것을 드러냈다. 그리고 “교환 프로그램의 인턴까지” 포함해 그녀의 직원들이 그녀 인증정보를 사용해 Nadine의 이름으로 이메일을 보내기도 한다고 덧붙였다.
- (4일에서 이어짐) 드론제조사 DJI가 중국을 위해 스파이 활동을 했다고 혐의를 추궁하는 국토안보부의 메모가 유출되었다. 지난 주 유출된 메모는 로스엔젤레스 출입국 및 세관 집행국 사무실(Immigration and Customs Enforcement bureau, ICE)에서 8월에 작성되었다. 이 메모에서 로스엔젤레스 SIP는 “중국 기반 회사인 DJI Science and Technology가 미 주요 국가기반시설(infrastructure) 및 법 집행 정보를 중국 정부에 제공하고 있음을 어느정도 확신(moderate confidence)”한다고 주장하고 있다. 그리고 DJI가 이 분야의 정부 및 사설 객체들을 민감한 미국 정보의 수집 및 악용(collect and exploit)하는 자신들의 능력을 확장하는데 선택적으로 타게팅하고 있음을 매우 확신한다(High confidence)라고 기록했다.
- (3일에서 이어짐) 뉴저지(New Jersey) Bergen의 Tenafly 고등학교 학생이 자신이 다니는 학교의 컴퓨터 시스템을 성적을 조작해 아이비 리그 대학의 입학승인을 받으려 한 혐의로 기소당했다. NorthJersey.com에 따르면, 기소당한 16세의 학생은 컴퓨터 시스템에 해킹해 들어가 등급과 전체 평점(GPA, Grade Point Average)을 조작했다. 이 학생은 대학 지원서와 함께 조작된 성적을 보내기까지 했다. 그러나 이 사기가 밝혀지면서 행정처에서는 지원서를 모두 회수했다.
Detailed News List
- German Goverment prepares Law for backdoors and hacking back
- LeakBase goes dark
- [InfoSecurityMagazine]
Breached Password-Trading Site Leakbase Goes Dark - [SecurityAffairs]
Hacked password service Leakbase shuts down, someone suspects it was associated to the Hansa seizure - [TheRegister]
Turns out Leakbase can keep a secret: It has shut down with zero info
- [InfoSecurityMagazine]
- Andromeda(Gamarue) Botnet Take Down
- [TheInquirer]
Andromeda botnet busted by a bunch of spooks and cyber security boffins - [CyberScoop]
Andromeda botnet mastermind arrested in Belarus, identified by his ICQ number - [ZDNet]
A giant botnet behind one million malware attacks a month just got shut down - [InfoSecurityMagazine]
Global Police Dismantle Andromeda Botnet - [DarkReading]
FBI, Europol, Microsoft, ESET Team Up, Dismantle One of World’s Largest Malware Operations - [TheRegister]
International team takes down virus-spewing Andromeda botnet
- [TheInquirer]
- Facing Jail for Hacking Jail
- [TheRegister]
Prison Hacker Who Tried To Free Friend Now Likely To Join Him Inside - [HelpNetSecurity]
Hacker who tried to spring friend from jail will end up in prison himself - [GrahamCluley]
How a hack almost sprung a prisoner out of jail - [TripWire]
How a hack almost sprung a prisoner out of jail - [TheHackerNews]
Young Hacker, Who Took Over Jail Network to Get Friend Released Early, Faces Prison - [HackRead]
Man hacks prison computers; alter records for pal’s early release
- [TheRegister]
- MPs’ lax cybersecurity practices
- [NakedSecurity]
Politicians boast about sharing passwords, bask in blissful ignorance - [SecurityWeek]
UK Members of Parliament Share Passwords with Staff
- [NakedSecurity]
- DJI Drone
- Student hacks school’s computer system to alter grades
Vulnerability Patches/Software Updates
Summaries
- 구글이 12월 패치에서 다수의 픽셀(Pixel)과 넥서스(Nexus) 취약점 수정했다. 2017-12-01 보안 패치레벨은 6개의 Critical 취약점과 13개의 High 등급 취약점을 수정한다. 프레임워크(3개의 High 등급 권한상승버그), 미디어 프레임워크(5개의 Critical 원격 코드 실행, 2개의 High 권한상승, 4개의 High 서비스거부 버그), 시스템 컴포넌트(1개의 원격코드실행, 1개의 High 권한상승, 3개의 High 정보노출)다. 2017-12-05 보안 패치레벨은 4개의 Critical 취약점과 24개의 High 등급 취약점을 수정한다. 취약점은 커널 컴포넌트(4개의 High 권한상승), MediaTek 컴포넌트(3개의 High 권한상승), NVIDIA 컴포넌트(3개의 High 권한상승), Qualcomm 컴포넌트(3개의 Critical 원격코드실행, 6개의 High 권한상승), Qualcomm 비공개소스 컴포넌트(1개의 Critical, 8개의 High 비공개 취약점)다.
Detailed News List
- Google Android December Patches
- [ZDNet]
Android security: Google details Pixel and Nexus vulnerabilities in December bulletin - [SecurityWeek]
Android’s December 2017 Patches Resolve Critical Flaws - [ZDNet]
Android security alert: Google’s latest bulletin warns of 47 bugs, 10 critical - [TheRegister]
Google prepares 47 Android bug fixes, ten of them rated Critical
- [ZDNet]
Data Breaches/Info Leakages
Summaries
- 유명 키보드 앱이 3100만명의 사용자 개인정보를 수집하고 이 정보를 유출시키는 사고가 있었다. 문제는 앱 제조사의 데이터베이스가 비밀번호로 보호되고 있지 않았기 때문이었다. 서버는 전세계 4000만명 이상의 사용자가 사용하는 개인화 가능한 온스크린(on-screen) 키보드 앱인 AI.type의 공동설립자 Eitan Fitusi의 소유다. 서버가 비밀번호로 보호되어있지 않아서 누구나 사용자 레코드에 접근이 가능했고, 데이터베이스에는 577기가바이트 이상의 민감 정보가 존재했다. 해당 내용을 발견한 Kromtech Security Center에서 연락을 취한 후 보안설정이 되었으나, Fitusi는 이에대한 답변을 하지 않았다. 노출된 데이터는 사용자 이름, 이메일 주소, 앱 설치기간 이었고, 사용자의 도시와 국가와 같은 위치정보도 포함되어 있었다. 무료버젼을 사용하는 사용자 정보는 더 자세한 정보도 존재했다. 장치의 IMSI와 IMEI 번호, 장치의 제조번호 및 모델정보, 화면 해상도, 안드로이드 정보와 같은 중요 정보들도 존재했다.
Detailed News List
- Keyboard App
Industrial/Infrastructure/Physical System/HVAC/SCADA
Summaries
- 독일에 기반을 둔 WAGO의 PLC(Programmable Login Controller)에서 취약점이 발견되었다. SEC Consult의 보안연구가에 의해 발견된 이 취약점은, 리눅스 기반의 WAGO PFC200 PLC 시리즈에 영향을 미친다. 보안 취약점은 CODESYS 런타임 툴킷 2.4.7.0 버젼 때문인데, 이 임베디드 소프트웨어는 3S(Smart Software Solutions)에 의해 개발되었고 기타 산업 컨트롤러와 수백개의 PLC들을 제조하는 여러 제조사에서 사용한다.
Detailed News List
- WAGO PLCs
- [SecurityWeek]
Critical Flaw in WAGO PLC Exposes Organizations to Attacks
- [SecurityWeek]
Internet of Things
Summaries
- 라우터(Router)의 제로데이에 기반한 봇넷 공격이 임박했다고 하는 기사가 나왔다. 새로운 Mirai 변종이 공격준비가 끝났다는 것이다. 14개월 전 소스코드가 공개된 이후, 봇넷 운영자들은 새로운 버젼을 계속적으로 릴리즈해 왔다. 가장 최근의 변종에서는 근래에 발견된 가정 및 소규모 사무실용으로 많이 사용되는 라우터를 취약점을 공격하는 기능이 들어가있다. 이 취약점은 강력한 암호를 설정해 놓고너 원격 관리기능(remote administration)을 꺼 놓아도 공격가능하다. 영향을 받는 화웨이(Huawei) 장치 중 하나는 EchoLife Home Gateway이고 다른 하나는 Huawei Home Gateway다. 약 90,000에서 100,000대의 새로 감염된 장치들이 두 화웨이 라우터 모델 중 하나다. 새로운 악성코드는 다른 장치들을 대상으로 공격하기 위한 65,000개의 사용자 이름 및 비밀번호 사전을 갖추고있다.
Detailed News List
- New Mirai Strain