Caution
This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
- 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.
Newsletters
Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors
Summaries
- 질럿 캠페인(Zealot Campaign)이 NSA의 익스플로잇을 사용해 모네로(Monero) 채굴기를 윈도우즈 및 리눅스 서버에 유포하고 있다. F5 Networks의 보안연구가들이 정교한 악성코드 캠페인을 탐지해냈다. Zealot 캠페인으로 명명된 이 공격은 공격대상 서버에 드랍되는 zealot.zip 파일이름을 따라 지어졌다. 이 공격은 리눅스와 윈도우즈 서버를 공격 대상으로 하며, 모네로(Monero) 암호화폐 채굴기를 설치한다. 이 공격자들은 인터넷에 패치되지 않은 서버들을 스캔하며, 이 서버들을 두가지 익스플로잇을 사용해 해킹한다. 하나는 아파치 스트러츠(CVE-2017-5638) 취약점이며, 하나는 NotNetNuke ASP.NET CMS(CVE-2017-9822) 취약점이다.
- 북한이 배후에 있는 것으로 추정되는 라자러스(Lazarus) 그룹이 런던의 암호화폐 기업을 공격했다. 악명높은 APT 그룹중 하나인 라자러스(Lazarus) 그룹이 복귀하며 런던의 암호화폐 기업의 직원 인증정보(credentials)를 훔치기 위한 스피어피싱(spearphishing) 캠페인을 진행하고 있다. 라자러스 그룹의 활동은 2014년과 2015년에 급등했는데, 이 그룹의 일원이 맞춤형 악성코드를 공격에 사용했으며, 이들에 대해 조사했던 보안전문가들은 이를 아주 정교한 악성코드로 평가하고 있다. 이들은 최소 2009년 부터 활동해 왔으며, 이르면 2007년까지도 생각할 수 있다. 그리고 사이버 스파이 행위와 데이터 및 시스템 장애를 목적으로 한 파괴행위까지 모두 연관되어 있다. 보안연구가들은 복한의 라자러스 APT 그룹이 최근 방글라데시 사이버 절도사건을 포함한 은행공격의 배후임을 밝혀냈다. 이들에 따르면, 이 라자러스 그룹이 전세계를 대상으로 하는 기타 다른 대규모의 사이버 스파이 작전들의 배후이기도 하다. 여기에는 Troy Operation, DarkSeoul Operation, Sony Pictures 해킹도 포함된다. (16일에서 이어짐)
Detailed News list
- Zealot Campaign
- Lazarus
Malwares
Summaries
- 트렌드 마이크로(Trend Micro) 보안 연구가들이 최근 ATM에서 정보를 훔치는 목적으로 특화된 악성코드를 발견했다. PRILEX라고 명명된 이 악성코드는 비쥬얼베이직(Visual Basic) 6.0으로 작성되었다. 이 악성코드는 뱅킹 어플리케이션을 하이재킹하고 ATM 사용자들의 정보를 훔치도록 설계되었다. 이 악성코드는 브라질에서 발견되었다. 처음 보고 된 것은 2017년 10월 이었으며, PRILEX는 특정 동적 링크 라이브러리(DLLs, Dynamic Link Libraries)를 후킹해 자체 응용프로그램 화면으로 대체(replace)하도록 만들어졌다. 공격 대상이 되는 DLL들은 브라질 은행에서 사용하는 ATM 어플리케이션에 속한 P32disp0.dll, P32mmd.dll, P32afd.dll 이다. (16일에서 이어짐)
Detailed News List
- ATM Malware
- [SecurityAffairs]
New PRILEX ATM Malware used in targeted attacks against a Brazilian bank
- [SecurityAffairs]
Exploits/Vulnerabilities
Summaries
- 아이폰X의 페이스 아이디(Face ID)가 뚫렸다는 기사는 여러번 반복되었는데, 이번에는 가면이나 가족이 아닌 직장동료의 페이스 아이디 인증을 통과한 중국 여성의 사례가 기사화 되었다. Jiangsu Broadcasting Corp에 따르면, 직장동료가 페이스아이디로 iPhoneX의 잠금을 해제할 수 있다고 컴플레인을 건 중국 여성에게 애플스토어가 어쩔 수 없이 환불을 해줬다고 한다. 애플 스토어 직원은 처음에는 불가능하다며 환불을 거부했지만 클레임을 건 Yan이 직접 직장동료와 함께 방문해 페이스아이디를 해제하는 것을 시연해 보이자 환불을 해주었다고 한다. (기사를 보면 둘이 비슷하게 생기긴 했다)
Detailed News List
- iPhone X FaceID
Legislation/Politics/Policies/Regulations/Law Enforcement/Trials
Summaries
- 42세의 Austin의 AlienVault office의 엔지니어링 부사장 Yariv Kaplan과 그의 9세 딸이 집에서 사망한채로 발견되었다고 Travis Country 보안관 사무실이 밝혔다. Austin American의 대변인은 당국이 Southweb Austin에 위치한 집에 월요일에 진입해 시체 두 구를 찾았다고 밝혔다. 수사관들은 증거로 볼때 Kaplan이 자살하기 전 자신의 딸을 먼저 쏜 것으로 보인다고 말했다. KXAN에 따르면, Kaplan이 이혼절차중에 있었으며 딸의 양육권을 얻으려 노력중에 있었다는 것을 트레비스 카운티 법원 기록에서 알 수 있었다. AlienVault는 Patch.com에게 Kaplan의 근무 사실을 확인해 주었으나, 아직 회사로부터의 코멘트는 없다.
- 미 정부가 이탈리아의 보안기업 해킹팀(Hacking Team)의 방대한 데이터 유출사건에 대한 수사를 방해했다는(undermined) 주장에 대해서 부인했다. 지난 주, 밀라노의 치안 판사 (magistrate)는 2015년 데이터 절도 사건에 관여한 것으로 추정되는 용의자 6명에 대한 수사를 보류(shelving)할 것을 권고했다. 한 고위 사법기관 소식통에 따르면, 미국 관료들이 중요한 증거가 포함되어 있을지 모르는 주요 용의자와 관련된 컴퓨터들을 넘겨주지 않았다고 비판했다.
Detailed News List
- Murder-Suicide
- US deinies
Vulnerability Patches/Software Updates
Summaries
- 마이크로소프트(Microsoft)가 워드(Word)의 DDE(Dynamic Data Exchange) 기능을 비활성화 했다. 사이버 범죄자들이 동적 업데이트 교환 프로토콜을 악용하는 것을 방지하기 위해서 모든 버젼의 워드에서 해당 기능을 비활성화 했다. DDE 프로토콜은 윈도우즈 응용프로그램이 데이터를 서로간에 전송하는 목적으로 설계되었다. 오피스 응용프로그램간에 데이터를 교환하기 위해 공유메모리를 사용하며, DDE 프로토콜은 오피스에서 오브젝트 링크 및 임베딩(OLE, Object Linking and Embedding)을 대체해왔다.
Detailed News List
- Microsoft disables Dynamic Data Exchange Protocol in Word
- [SecurityWeek]
Microsoft Disables Dynamic Update Exchange Protocol in Word
- [SecurityWeek]
Privacy
Summaries
- 멜번의 연구가들이 정부에게 익명화된(anonymised) 데이터 공개에 대해 경고했다. 멜번 대학교(Melbourne University)의 Chris Culnane, Benjamin Rubinsteinm, Vanessa Teague 박사의 결론에 따르면, 정부가 작년에 공개한 의료데이터를 사용해 개인을 재 식별(re-identified)해 낼 수 있었다.
Detailed News List
- Anonymisation
Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS
Summaries
- 러시아의 송유관 제어 컴퓨터가 해킹되어 모네로(Monero) 암호화폐 채굴 작업에 동원되었다. 12월 15일 금요일에 러시아 당국이 밝힌 바에 따르면, 세계에서 제일 큰 국영 파이프라인 기업인 Transneft가 사이버 공격을 당했으며 컴퓨터들이 해킹되어 모네로를 채굴했다. Reuters에 따르면, 회사 대변인 Igor Demin은 Transneft의 컴퓨터들이 자동으로 모네로 채굴 코드를 웹에서 다운로드 했다. 제한된 정보만이 제공되어 이렇게 침해당한 장치들에서 얼마나 많은 코인이 생성되었는지는 알려지지 않았다. (17일에서 이어짐)
- 새로운 트라이톤(Triton) 악성코드가 주요 사회기반시설(critical infrastructure)에 대한 공격을 준비하고 있는 것이 탐지되었다. 산업 제어 시스템(ICS, Industrial Control Systems)을 노리는 새로운 Triton 악성코드가 파이어아이(FireEye) 연구자들에 의해 발견되었다. 트라이톤(Triton)이라 명명된 이 악성코드는 이름이 알려지지 않은 주요 사회기반시설 기관(critical infrastructure organization)을 노린 공격에 사용되어왔다. 보안전문가들은 금전적인 동기가 부족한 점과 공격의 정교한 수준으로 보았을때, 국가가 배후에 있는(state-sponsored) 공격자가 사보타주를 목적으로 한 것으로 보고있다. 파이어아이는 아직까지 Triton 공격을 어떠한 APT 그룹과도 연관짓지 않았다. 보안 전문가들은, 그들이 탐지한 행위들이 작전의 정찰단계 일부(part of the reconnaissance phase)였을 것이라 추정하고 있다. Triton 악성코드는 Schneider Electric의 Triconex Safety Instrumented System(SIS) 컨트롤러를 공격 대상으로 만들어졌다. 이 제품들은 산업 환경에서 프로세스 상태를 모니터하고 잠재적으로 위험한 상황에서 안전하게 복구하거나 차단하기 위한 제품이다. (15일에서 이어짐)
Detailed News List
- Russian Pipeline giant
- Triton
- [TheInciderCarNews]
Cyber security firm responds to ICS Attack framework dubbed Triton - [AutomationWorld]
Cyber Attack Hits Safety System in Critical Infrastructure
- [TheInciderCarNews]