Security Newsletters, 2018 Feb 21st, 테슬라 클라우드 서버 채굴 악용 外

Posted on 2018-02-21 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

테슬라^(Tesla)의 클라우드 서버가 장악당해 암호화폐 채굴에 사용되었다. RedLock이라는 보안기업에 따르면, 해커들이 테슬라의 아마존 클라우드 계정을 장악해 암호화폐 채굴에 사용했다. 게다가 공격자들이 테슬라의 민감한 데이터에 접근했을 수 있다. 이는 공개되어있는 아마존 웹 서비스^{(Amazon Web Services,AWS)} 버킷들을 조사하던 과정에서 테슬라 버킷이 아무런 비밀번호도 설정되지 않은채 공개되어 있는 것이 발견되었다.

Detailed News list

Tesla
- _[HackRead]
  Hackers Compromise Tesla Cloud Server to Mine Cryptocurrency
- _{[InfoSecurityMagazine]}
  Tesla Falls to Crypto-Jackers
- _[CyberScoop]
  Tesla falls victim to cryptomining scheme, minor breach
- _[ZDNet]
  Tesla cloud systems exploited by hackers to mine cryptocurrency

Malwares

Summaries

macOS 시스템을 공격하는 Coldroot라 명명된 RAT 악성코드가 확인되었다. 안좋은 소식은 안티바이러스 소프트웨어가 이 악성코드를 탐지하지 못한다는 것이다. 이 악성코드는 macOS 시스템에서 키로거 처럼 동작한다. Patrick Wardle은 이 악성코드에 대한 상세 분석 보고서를 공개했는데, 이 악성코드는 2017년 1월 1일부터 언더그라운드 마켓에서 판매되어왔다. 그리고 Coldroot RAT의 일부 버젼은 GitHub에 2년넘게 존재하고 있다. 이 악성코드는 애플의 오디오 드라이버인 것처럼 위장한다.

Detailed News List

Coldroot RAT
- _{[SecurityAffairs]}
  Coldroot RAT cross-platform malware targets MacOS without being detected
- _[ThreatPost]
  Year-Old Coldroot RAT Targets MacOS, Still Evades Detection
- _[ZDNet]
  Meet Coldroot, a nasty Mac trojan that went undetected for years

Exploits/Vulnerabilities

Summaries

해커들이 젠킨스^(Jenkins) 서버들을 이용한 모네로 채굴로 300만 달러의 수익을 올린 것으로 나타났다. 젠킨스는 유명한 오픈소스 자동화^(automation) 서버로, CloudBees와 젠킨스 커뮤니티에 의해 유지되고 있다. 이 자동화 서버는 개발자들이 응용프로그램을 빌드, 테스트, 배포할 수 있는 기능을 제공하며, 전 세계 적으로 133,000회 이상 설치되있고 100만 이상의 사용자가 존재한다. 연구자들에 따르면 이번 대규모공격의 배후의 공격자는 CVE-2017-1000353 원격코드실행^{(RCE, Remote Code Execution)} 취약점을 공격한다. (19일에서 이어짐)

Detailed News List

Jenkins
- _{[InfoSecIsland]}
  Large Crypto-Mining Operation Targeting Jenkins CI Servers
- _[CSOOnline]
  Hackers exploit Jenkins servers, make $3 million by mining Monero
- _{[TheRegister]}
  Year-old vuln turns Jenkins servers into Monero mining slaves

Vulnerability Patches/Software Updates

Summaries

얼마전 공개되었던 문자 하나로 mac 및 iPhone을 공격할 수 있는 문자폭탄 취약점이 수정되었다. 이 취약점은 CVE-2018-4124로, 애플에 의해 월요일에 릴리즈된 업데이트에서 수정되었다.

Detailed News List

Apple
- _{[NakedSecurity]}
  Apple fixes that “1 character to crash your Mac and iPhone” bug
- _{[GrahamCluley]}
  Apple fixes ‘killer text bomb’ vulnerability with new update for iOS, macOS, watchOS, and tvOS
- _{[SecurityWeek]}
  Apple Fixes Indian Character Crash Bug in iOS, macOS

Security Newsletters, 2018 Feb 20th, 구글, Edge 브라우저 취약점 공개 外

Posted on 2018-02-20 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

은행간 이체 시스템인 SWIFT^{(Society for Worldwide Interbank Financial Telecommunication)}를 이용한 공격사례가 러시아와 인도에서 확인되었다. 인도의 은행에서 자신들의 시스템이 장악당해 미화 180만 달러 가량의 금액을 탈취당했다고 발표했다. 주말동안에는 러시아 중앙은행이 SWIFT 시스템에 있었던 공격에 대해 공개했다. 작년에 러시아 은행에서 신원을 알 수 없는 해커가 3억 3950만 루블(약 6백만 달러)를 훔쳤다는 것이다. SWIFT를 노리고 2016년 부터 진행된 일련의 공격 이후, SWIFT 국제 은행 거래 시스템이 보안을 강화했음에도 불구하고 새로운 공격이 헤드라인을 장식한 것이다.

Detailed News list

SWIFT attack
- _{[SecurityAffairs]}
  City Union Bank is the last victim of a cyber attack that used SWIFT to transfer funds
- _{[SecurityWeek]}
  Millions Stolen From Russian, Indian Banks in SWIFT Attacks
- _[TripWire]
  Attackers Abused Indian Bank’s SWIFT System to Try to Steal $2M
- _{[InfoSecurityMagazine]}
  Hackers Target Indian Lender Via Swift Transfers
- _{[HelpNetSecurity]}
  Russian, Indian banks lose millions to hackers
- _{[TheRegister]}
  Crims pull another SWIFT-ie, Indian bank stung for nearly US$2m

Malwares

Summaries

해커들이 젠킨스^(Jenkins) 서버들을 이용한 모네로 채굴로 300만 달러의 수익을 올린 것으로 나타났다. 젠킨스는 유명한 오픈소스 자동화^(automation) 서버로, CloudBees와 젠킨스 커뮤니티에 의해 유지되고 있다. 이 자동화 서버는 개발자들이 응용프로그램을 빌드, 테스트, 배포할 수 있는 기능을 제공하며, 전 세계 적으로 133,000회 이상 설치되있고 100만 이상의 사용자가 존재한다. 연구자들에 따르면 이번 대규모공격의 배후의 공격자는 CVE-2017-1000353 원격코드실행^{(RCE, Remote Code Execution)} 취약점을 공격한다. (19일에서 이어짐)

Detailed News List

JenkinsMiner
- _[HackRead]
  Hackers made $3M on Jenkins server in one of biggest mining ops ever

Exploits/Vulnerabilities

Summaries

구글 프로젝트 제로^{(Project Zero)}에서 90일간의 유예기간이 지나자, 아직 패치되지 않은 마이크로소프트 엣지^(Edge) 브라우저의 취약점 상세 정보를 공개했다. 이 취약점은 공격자가 Windows 10 Creators 업데이트의 Code Integrity Guard^(CIG)와 함께 구현된 Arbitary Code Guard^(ACG)를 우회할 수 있는 취약점이다. 엣지 브라우저에서 악성코드가 로드되고 실행되는 것을 막아주는 보안 기능이다.
macOS Sierra 운영체제가 특정 조건에서 데이터 유실 가능성이 있음이 확인되었다. macOS Sierra에 포함된 APFS^{(Apple File System)}에서, 최근 데이터 유실이 발생할 수 있는 취약점이 Mike Bombich에 의해 발견되었다.

Detailed News List

Microsoft Edge and Google
- _{[NakedSecurity]}
  Google drops new Edge zero-day as Microsoft misses 90-day deadline
- _[CSOOnline]
  Google disclosed Microsoft Edge security flaw before it’s fixed
- _{[SecurityAffairs]}
  90 days have passed, Google discloses unpatched flaw in the Microsoft Edge browser
- _{[SecurityWeek]}
  Google Discloses Unpatched Vulnerability in Edge Web Browser
MacOS Sierra
- _[HackRead]
  Critical macOS Sierra disk image flaw leads to data loss
- _{[SecurityAffairs]}
  An APFS Filesystem flaw could lead macOS losing data under certain conditions

Security Newsletters, 2018 Feb 16th, 카우치 DB 노리는 채굴 악성코드 外

Posted on 2018-02-16 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

평창 동계 올림픽의 개회식의 서비스 다운과 클라우드 서비스 제공사인 Atos의 해킹 등 동계 올림픽 관련 기사가 계속해서 이어지고 있다. 평창 동계 올림픽의 IT 서비스 제공 업체인 ATOS가 몇 달 전에 이미 해킹당한 것으로 드러났다. Olympic Destroyer 악성코드를 2월 9일에 배포한 공격자가 평창 동계 올림픽에 클라우드 인프라를 제공하는 다국적 정보 기술 서비스 제공업체 Atos의 여러 컴퓨터들에 지난 12월에 이미 침투한 것으로 보인다. 바이러스토탈^(VirusTotal)에 업로드된 악성코드 중 초기 샘플들은 Atos의 보안팀 일부가 근무하는 곳인 프랑스에서 업로드 되었다. (15일에서 이어짐)

Detailed News list

Winter Olympic
- _{[InformationSecurityBuzz]}
  Winter Olympics Hit By ‘Olympic Destroyer’ Malware
- _{[VirusBullentin]}
  Olympic Games target of malware, again
- _{[PandaSecurity]}
  Cyber Sabotage at the Winter Olympics
- _{[SecurityWeek]}
  Researchers Warn Against Knee-Jerk Attribution of ‘Olympic Destroyer’ Attack

Malwares

Summaries

감염을 극대화 시키기 위해 네트워크에서 몰래 취약점을 찾는 랜섬웨어 캠페인이 탐지되었다. SamSam이라 명명된 랜섬웨어가 말 그대로 네트워크를 휘저으며 인터넷에 연결된 시스템들을 장악한 후, 해당 서버들을 발판으로 삼아 확산중이다. 이 랜섬웨어 캠페인은 취약한 시스템을 적극적으로 검색해, 다른 네트워크로의 확산을 위한 게이트웨이로 이용하면서 교통 네트워크, 병원, 교육시설 등을 감염시키고 있다. 이 랜섬웨어 캠페인에서는 피싱 이메일을 사용한 유포가 아닌, 인터넷에 연결된 취약한 시스템을 탐색하며 이러한 시스템들을 해당 네트워크에 SamSam 랜섬웨어를 유포하기 위한 발판으로 사용한다.
DoubleDoor라 명명된 IoT^{(Internet of Things)} 봇넷이 방화벽을 우회하는 두가지 취약점을 이용해 확산중이다. DoubleDoor는 CVE-2015-7755를 공격하는 것으로 시작한다. 이 취약점은 원격의 공격자가 Juniper Networks의 하드웨어 방화벽 장치에 사용되는 ScreenOS에 관리자 권한으로 접근할 수 있게 만들어준다. 이렇게 방화벽 보호기능을 우회한 후에는 ZyXEL PK5001Z 모뎀의 보안 기능을 CVE-2016-10401 취약점으로 회피한다. 비 관리자 계정의 비밀번호를 알고있는 경우, 공격자는 이 취약점으로 루트계정에 대한 접근 권한을 얻을 수 있다. DoubleDoor는 관리자 권한을 얻기 위해 필요한 일반 계정에 대해 비밀번호 공격을 수행한다. (15일에서 이어짐)

Detailed News List

Ransomware campaign
- _[ZDNet]
  This lucrative ransomware campaign secretly surveys vulnerable networks to maximise infections
DoubleDoor
- _{[SecurityWeek]}
  ‘DoubleDoor’ IoT Botnet Uses Two Backdoor Exploits
- _{[HelpNetSecurity]}
  IoT botnet bypasses firewalls to get to ZyXEL modems

Exploits/Vulnerabilities

Summaries

아파치 카우치DB 취약점이 Monero Miners 공격에 사용되고 있다. 트렌드마이크로에 따르면, 유명 데이터베이스 시스템인 아파치 카우치DB^{(Apache Couch DB)}의 취약점을 이용하여 모네로^(Monero) 암호화폐 채굴기를 유포하는 새로운 공격이 확인되었다. 아파치 카우치DB는 오슨소스 데이터베이스 관리 시스템이다. 공격에 사용되는 두가치 취약점은 CVE-2017-12635와 CVE-2017-12636이다. 이 취약점들을 2017년 11월에 패치되었다.

Detailed News List

Apache CouchDB
- _[TrendMicro]
  Vulnerabilities in Apache CouchDB Open the Door to Monero Miners

Security Newsletters, 2018 Feb 13th, Lazarus, 코인 및 금융기관 공격 外

Posted on 2018-02-13 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

라자러스 해킹그룹이 비트코인을 훔치기 위한 공격적인 피싱 캠페인을 시작했다. 맥아피^(McAfee)의 Advanced Threat Research^(ATR) 분석가들이 탐지한 바에 따르면, HaoBao라 명명된 이 캠페인은 라자러스 그룹이 이전에 미 방위산업체^{(US defense contractors)} 직원들이나 에너지 및 암호화폐 교환소를 포함한 금융분야의 직원들을 노린 피싱 이메일 캠페인을 다시 시작한 것으로 보인다. 이전의 목표가 공격대상 환경에 대한 접근 권한을 얻고 주요 군사 프로그램 정보를 얻거나 돈을 훔치기 위한 것이었다면, 이번 공격의 피싱 이메일에서는 비트코인 사용자들과 국제 금융 기관들을 그 대상으로 삼고 있다.

Detailed News list

Lazarus
- _{[InfoSecurityMagazine]}
  Lazarus Rises Again with Aggressive Bitcoin-Stealing Campaign
- _[McAfee]
  Lazarus Resurfaces, Targets Global Banks and Bitcoin Users

Malwares

Summaries

Cryakl 랜섬웨어로 인해 암호화된 파일을 복구할 수 있는 복호화 도구가 무료로 공개되었다. No More Ransom initiative가 복호화 키를 무료로 공개함에 따라, Cryakl 랜섬웨어로 인해 파일이 암호화된 피해자들은 몸값을 지불하지 않고도 파일을 복구할 수 있다. Cryakl 랜섬웨어는 2015년 9월부터 활동해 왔으며, 다른 랜섬웨어들과 마찬가지로 감염시킨 시스템의 파일들을 암호화하고 파일 복구를 위해 몸값을 지불 할 것을 요구한다. (10일에서 이어짐)

Detailed News List

Cryakl Ransomware
- _{[SecurityAffairs]}
  Victims of some versions of the Cryakl ransomware can decrypt their files for free
- _{[SecurityWeek]}
  NoMoreRansom: Free Decryption for Latest Cryakl Ransomware
- _{[TheRegister]}
  Cryakl ransomware antidote released after servers seized

Vulnerability Patches/Software Updates

Summaries

Linux KDE 환경이 USB 스틱으로 해킹당할 수 있는 취약점이 발견되어 수정되었다. 최근 수정된 리눅스 KDE 데스크탑 환경의 이 취약점은, 볼륨이름이 $()인 VFAT이 존재하는 USB를 사용해 임의의 코드를 실행할 수 있는 취약점이다. CVE-2018-6791 번호가 부여된 이 취약점은 목요일에 업데이트와 함께 수정되었다.
IBM이 Power Systems 서버의 Spectre, Meltdown에 대한 패치를 릴리즈했다. IBM에서 POWER 프로세서에 대한 펌웨어 패치를 릴리즈하기 시작한 것은 해당 공격에 대한 정보가 공개되고 약 일주일 후 부터였다. IBM은 지난주에 AIX, IBM i OS에 대한 업데이트와 함께 POWER 프로세서에 대한 패치를 공개했다. 현재 POWER7, POWER7+, POWER8, POWER9 프로세서에 대한 펌웨어 패치가 제공되고 있다.

Detailed News List

Linux KDE
- _{[TheRegister]}
  Until last week, you could pwn KDE Linux desktop with a USB stick
- _{[GrahamCluley]}
  Uh-oh. How just inserting a USB drive can pwn a Linux box
Meltdown/Spectre
- _{[SecurityWeek]}
  IBM Releases Spectre, Meltdown Patches for Power Systems
- _[ZDNet]
  Linux Meltdown patch: ‘Up to 800 percent CPU overhead’, Netflix tests show
- _{[InfoSecurityMagazine]}
  IBM Patches Spectre and Meltdown for Power Servers

Service Outage/Malfunction

Summaries

평창 동계올림픽 개막식 직전 웹사이트가 사이버 공격으로 다운되어 12시간동안 다운되었다. 시스템 중단으로 인해 티켓을 프린트하거나 정보를 조회하는 것이 불가능 했으며, 경기장 주변의 일부 네트워크도 다운되었다. (12일에서 이어짐)

Detailed News List

Winter Olympic
- _{[DarkReading]}
  Cyberattack Aimed to Disrupt Opening of Winter Olympics
- _[ThreatPost]
  ‘Olympic Destroyer’ Malware Behind Winter Olympics Cyberattack, Researchers Say
- _[NYTimes]
  Cyberattack Caused Olympic Opening Ceremony Disruption
- _{[BankInfoSecurity]}
  Hackers Win Olympic Gold Medal for Disruption
- _[CSOOnline]
  Winter Olympics hit with cyber attack during opening ceremony
- _[CSOOnline]
  Officials say Winter Olympics were hit with cyberattack during opening ceremony
- _[Talos]
  Olympic Destroyer Takes Aim At Winter Olympics
- _{[InfoSecurityMagazine]}
  Winter Olympics Site Taken Out for 12 Hours
- _{[EHackingNews]}
  Hackers hacked servers of Olympic organizers during opening ceremony
- _{[GrahamCluley]}
  Government websites hijacked by cryptomining plugin

Crypto Currencies/Crypto Mining

Summaries

유명 브라우저 플러그인의 해킹으로 인해 수천개의 웹사이트가 하이재킹 당했다. 전세계 수천 개의 웹사이트가 웹 브라우저 플러그인 Browsealoud가 해킹당하면서 암호화폐 채굴을 위해 하이재킹 당했다. 공격자들은 피해자들의 브라우저에서 암호화폐를 채굴하는 Coinhive 스크립트를 유포했다. 이 공격에 이용된 도메인들은 약 4천여개로, 영국의 NHS, ICO^{(Information Commissioner’s Office)}, US government’s court system등 다양한 사이트들이 이용되었다. (12일에서 이어짐)

Detailed News List

Website hijacking
- _{[DarkReading]}
  Attackers Use Infected Plug-In to Install Cryptomining Tool on Over 4200 Websites
- _{[DarkReadking]}
  Attackers Use Infected Plug-In to Install Cryptomining Tool on Over 4200 Sites
- _{[TheHackerNews]}
  Thousands of Government Websites Hacked to Mine Cryptocurrencies
- _[ThreatPost]
  U.K. and U.S. Government Websites Among Thousands Infected by Cryptocurrency Miner
- _{[SecurityWeek]}
  Crypto Mining Malware Infects Thousands of Websites
- _{[WeLiveSecurity]}
  US and UK government websites hijacked to mine cryptocurrency on visitors’ machines
- _[CyberScoop]
  Government websites, including uscourts.gov, pulled into cryptomining scheme
- _[TripWire]
  4K+ Websites Infected with Crypto-Miner after Tech Provider Hacked
- _{[HelpNetSecurity]}
  Thousands of government, orgs’ websites found serving crypto mining script
- _{[InfoSecurityMagazine]}
  Crypto-Mining Malware Found on 4000+ Sites
- _[ZDNet]
  UK government websites, ICO hijacked by cryptocurrency mining malware
- _{[BankInfoSecurity]}
  Government Websites Deliver Cryptocurrency Mining Code
- _{[NakedSecurity]}
  Cryptomining script poisons government websites – What to do