Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] Fancy Bear

Security Newsletters, 2018 Jan 27th, 네덜란드AVID, Cozy Bear 해킹 外

Posted on 2018-01-27 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 네덜란드 AIVD(General Intelligence and Security Service of the Netherlands)에서 2016년의 미국 민주당 전국 위원회(DNC, Democratic National Committee)에 대한 해킹사건에 대한 정보를 미 첩보 당국에게 제공했다. 네덜란드 뉴스에 따르면, AIVD의 요원들이 APT29 혹은 Cozy Bear라 알려진 러시아의 해킹그룹이 사용하는 모스코바의 붉은 광장에 있는 대학 건물의 네트워크에 2014년 여름 침입했다. AIVD는 네트워크에 완벽히 침투해 건물내의 CCTV까지 확인할 수 있었으며, 네트워크를 사용하는 Cozy Bear의 해커들도 확인할 수 있었다.
  • 러시아와 연관된 것으로 추정되는 해킹그룹 FancyBear가 이번에는 국제 루지 연맹(International Luge Federation)으로부터 데이터를 유출했다.
  • 구글 더블클릭(DoubleClick)을 악용해 암호화폐 채굴기를 유포하는 말버타이징(Malvertising) 캠페인이 확인되었다. 여기에는 CoinHive 스크립트 외에도, 사설 풀(pool)의 별도 웹 마이너도 사용되었다. 공격자들은 구글의 더블클릭을 악용(abused)한다.
  • 팔로알토네트웍스의 Unit 42에서 Google+, Pastebin, bit.ly 서비스들을 이용하는 공격을 탐지했다. 이 공격에서 공격자들은 최근의 팔레스타인 지역의 사건들에 관한 아랍어 문서를 미끼로 사용해 피해자들이 해당 문서를 열람하고 악성코드에 감염되도록 유도하고 있다.
  • 이란 해커들이 새로운 백도어를 가지고 IIS 웹 서버들을 노리고 있다. OilRig으로 알려진 이란과 연관된 것으로 추정되는 사이버 스파이 그룹이 중동 정부 기관과 금융 및 교육기관들의 IIS 웹서버들을 공격하고 있다. RGDoor라고 명명된 이 악성코드는, 첫번째 악성코드가 탐지되어 삭제된 경우에 공격자가 침해당한 웹서버에 다시 접근할 수 있게 해주는 악성코드로 추정된다.
  • 클라우드플레어 도메인(cloudflare.solutions)을 사용했던 키로거가 새로운 도메인으로 돌아왔다. Sucuri에서 cloudflare.solutions에 대한 정보를 공개한 뒤, 해당 도메인은 정지되었다. 공격자는 즉시 새로운 도메인들을 등록했다. cdjs.oneline, cdns.ws, msdns.online 등이다. (25일에서 이어짐)

Detailed News list

  • Dutch Intel
    • [DarkReading]
      Dutch Intel Agency Reportedly Helped US Attribute DNC Hack to Russia
    • [GrahamCluley]
      How Dutch intelligence spied on the Russian hackers attacking the DNC
    • [NakedSecurity]
      Spy vs. Spy – “Cozy Bear” election hackers undone by hackable security camera
    • [ZDNet]
      Dutch spies tipped off NSA that Russia was hacking the Democrats, new reports claim
    • [SecurityWeek]
      Dutch Spies Watched as Russians Hacked US Democrats: Report
    • [SecurityAffairs]
      The Dutch intelligence service AIVD ‘hacked’ Russian Cozy Bear systems for years
  • FancyBear
    • [EHackingNews]
      Russia-linked hackers Fancy Bears leak data from International Luge Federation
  • Malvertising Campaign abuses Google’s DoubleClick
    • [TrendMicro]
      Malvertising Campaign Abuses Google’s DoubleClick to Deliver Cryptocurrency Miners
    • [TheRegister]
      Crypto-jackers slip Coinhive mining code into YouTube site ads
  • TopHat Campaign
    • [PaloAltoNetworks]
      The TopHat Campaign: Attacks Within The Middle East Region Using Popular Third-Party Services
  • Iranian Hackers
    • [SecurityWeek]
      Iranian Hackers Target IIS Web Servers With New Backdoor
  • Keylogger Campaign
    • [ThreatPost]
      Keylogger Campaign Returns, Infecting 2,000 WordPress Sites
    • [GrahamCluley]
      Keylogger found on thousands of WordPress-based sites, stealing every keypress as you type

 

Malwares

Summaries

  • 최근 ESET의 조사결과에서 유명한 Dridex 뱅킹 트로이가 또다른 악성코드 종과 관련이 있음이 밝혀졌다. BitPaymer나 FriedEx로 알려진 정교하게 작성된 랜섬웨어다. Dridex 뱅킹 트로이는 2014년 처음에는 비교적 간단한 봇으로 등장했다. 그러나 제작자가 이 봇을 가장 정교한 뱅킹 트로이중 하나로 바꾸는데는 얼마 걸리지 않았다. 처음에는 BitPaymer라 명명된 FriedEx는 2017년 7월초에 탐지되었다. 그리고 8월에 스코틀랜드의 NHS 병원을 감염시키면서 유명해졌다.
  • CrossRAT이 윈도우즈, 맥OS, 리눅스 시스템을 노리고 있다. 전세계적인 해킹 캠페인을 Dark Caracal이라는 해킹 그룹이 모바일 기기를 사용해 벌이고 있다는 기사는 이미 공개된 바 있으나, 이번에는 CrossRAT이라는 윈도우즈, 맥OS, 리눅스를 대상으로 하는 악성코드에 대한 기사다. CrossRAT은 다중 플랫폼 트로이로, 유명한 네개의 운영체제(윈도우즈, 맥OS, 솔라리스, 리눅스)를 공격 대상으로 삼는다. 원격의 공격자가 파일 시스템을 조작하거나, 스크린샷을 찍고 임의의 파일을 실행하고, 감염된 시스템에 대한 지속적인 접근권한을 획득할 수 있다. (26일에서 이어짐)

Detailed News List

  • FriedEx
    • [WeLiveSecurity]
      FriedEx: BitPaymer ransomware the work of Dridex authors
  • CrossRAT
    • [SecurityAffairs]
      Stealth CrossRAT malware targets Windows, MacOS, and Linux systems

 

Vulnerability Patches/Software Updates

Summaries

  • 오라클이 버츄얼박스(VirtualBox)의 10개 가상머신 탈출취약점을 수정했다.
  • 레노보(Lenovo)가 ThnkPad의 지문인식기에 영향을 미치는 하드코딩된 비밀번호 취약점을 수정했다. 이 취약점은 Windows7, 8, 8.1을 사용하는 십여대의 레노보 노트북 모델에 영향을 미친다. Lonovo의 Fingerprint Manager Pro 8.01.76과 이전버젼에서 저장되는 데이터에는 윈도우즈 로그온 인증정보 및 지문정보가 포함되어있다. 그러나 이 데이터가 취약한 알고리즘으로 암호화되며, 하드코딩된 비밀번호가 사용된다. 이 취약점은 CVE-2017-3762다.

Detailed News List

  • Oracle VirtualBox
    • [CyberScoop]
      Oracle issues patches for 10 ‘virtual machine escape’ flaws in VirtualBox
  •  Lenovo
    • [ThreatPost]
      Lenovo Fixes Hardcoded Password Flaw Impacting ThinkPad Fingerprint Scanners
    • [TheRegister]
      Lenovo’s craptastic fingerprint scanner has a hardcoded password

 

Crypto Currencies/Crypto Mining

Summaries

  • 일본 기반의 암호화폐 교환소인 CoinCheck이 해킹당해 5억 3400만 달러 가량을 도둑맞았다. 거대 암호화폐 거래소중 하나인 Coincheck이 해킹당해 NEM 토큰 5억3400만 달러 가량을 도둑맞았다. 도쿄에 위치한 거래소인 Coincheck은 암호화폐 비즈니스 역사상 가장 큰 규모인 것으로 추정되는 해킹을 당했음을 시인했다. 기자회견에서 Coincheck 회장 Koichi Wada는 고객들에게 사과하며 당국이 사고에 한 조사를 진행중에 있다고 밝혔다.
  • 모네로(Monero) 암호화폐를 채굴하기 위한 대규모의 움직임이 4개월 이상 지속되어 온 것을 팔로알토네트웍스(Palo Alto Networks)의 Unit 42에서 탐지했다. 이 작전은 오픈소스 XMRig 유틸리티를 사용해 모네로를 채굴한다. Unit42에서 예측한 바에 따르면, 이 작전에 영향을 받은 사람은 전 세계 약 1500만명에 달할 것으로 보인다. (25일에서 이어짐)

Detailed News List

  • Coincheck
    • [HackRead]
      Coincheck cryptocurrency exchange hacked; $534 Million stolen
    • [SecurityAffairs]
      Cryptocurrencies Black Friday – Japan-based digital exchange Coincheck hacked
    • [TheHackerNews]
      Someone Stole Almost Half a BILLION Dollars from Japanese Cryptocurrency Exchange
    • [CyberScoop]
      Thieves steal at least $533 million in largest cryptocurrency heist ever
    • [SecurityWeek]
      Cryptocurrencies Fall After Hack Hits Japan’s Coincheck
  • Monero Mining Operation
    • [SecurityAffairs]
      Monero Crypto-Currency Mining Operation impacted 30 Million users

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 세계 최대의 해운기업인 Maersk가 NotPetya 악성코드 감염으로 2017년에 심각한 피해를 본 것은 익히 잘 알려져 있다. 이번주 세계 경제 포럼에서 Maersk의 Jim Hagemann Snabe은 랜섬웨어 피해에 대해 자세히 설명했다. 그는 4,000대의 서버, 45,000대의 새로운 PC, 2,500개의 어플리케이션을 재설치했다고 설명했다. 그리고 이러한 작업이 열흘간의 엄청난 노력끝에 마무리될 수 있었다고 말했다. (26일에서 이어짐)

Detailed News List

  • Maersk
    • [HackRead]
      NotPetya attack: Maersk reinstalled 45,000 PCs, 2,500 apps & 4,000 servers
    • [ZDNet]
      NonPetya ransomware forced Maersk to reinstall 4000 servers, 45000 PCs
    • [SecurityWeek]
      Maersk Reinstalled 50,000 Computers After NotPetya Attack

 

Posted in Security, Security NewsTagged APT29, Cozy Bear, CrossRAT, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, Cyber Espionage, Dridex, Fancy Bear, FriedEx, Malware, OilRig, Patches, VulnerabilityLeave a comment

Security Newsletters, 2018 Jan 19th, 전세계 대상 다중 플랫폼 공격 Dark Caracal 外

Posted on 2018-01-19 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • Group123 이라 명명된 새로운 해킹그룹이 탐지되었다. 시스코에 따르면, 이 그룹은 2017년부터 2018년 새해까지 Golden Time, Evil New Year, Are You Happy?, Free Milk, North Korean Human Rights, Evil New Year 2018 여섯 건의 캠페인을 벌였다. 이중 네 건은 한컴 한글 오피스 형식의 악성코드 문서를 첨부한 스피어피싱으로 대한민국내 대상을 공격했다. 이 문서들은 ROKRAT 원격 관리 툴(RAT, Remote Administration Tool)을 설치한다.
  • 사이버 스파이 캠페인이 악성코드에 감염된 메시징 앱을 사용해 20개국 이상에서 정치적 활동가(activists), 군인, 변호사, 언론인, 그리고 기타 개인들의 스마트폰 데이터를 훔쳐왔다는 리포트가 공개되었다. 이 캠페인은 전 세계의 다중 플랫폼을 노린 공격이다. Dark Caracal이라 명명된 이 APT(Advenced Persistent Threat) 캠페인은 개인정보 및 지적재산등을 포함한 수백기가바이트의 데이터를 21개 이상의 국가들과 수천의 피해자들로부터 훔쳤다고 리포트에서 공개되었다. Dark Caracal은 90개의 침해지표(IOC, Indicator of Compromise)와 연관되는 다중 플랫폼 공격이다. 리포트에 포함된 IOC 90개 중 26개는 데스크톱 악성코드 침해지표이며, 11개의 안드로이드 악성코드 IOC, 60개의 도메인/IP 기반 IOC다.
  • FancyBear 혹은 APT28, Pawn Storm, Sofacy, Group 74, Sednit, Tsar Team, Strontium으로 알려진 사이버 스파이 그룹이 전 세계의 정치 관련 기관들을 공격하고 있다. 2015년 부터 이 그룹은 프랑스, 독일, 몬티네그로(Montenegro), 터키, 우크라이나, 미국의 정치관련 기구에 대한 공격에 연관되어왔다.

Detailed News list

  • Group 123
    • [InfoSecurityMagazine]
      New Attack Group Fires RATs and Disc Wipers at Targets
    • [SecurityAffairs]
      North Korea Group 123 involved in at least 6 different hacking campaigns in 2017
  • Dark Caracal
    • [SecurityWeek]
      Booby-Trapped Messaging Apps Used for Spying: Researchers
    • [ThreatPost]
      Sprawling Mobile Espionage Campaign Targets Android Devices
    • [TheRegister]
      Investigation outs Dark Caracal, the high-tech spying network for hire to governments
  • Russia-Linked Attacks
    • [SecurityWeek]
      Russia-Linked Attacks on Political Organizations Continue

 

Malwares

Summaries

  • Satori, Satori Okiru 그리고 ARC CPU를 노리는 Satori 변종까지 간단히 비교 요약한 기사가 나왔다.
  • 페이스북 비밀번호를 훔치고 팝업 광고를 뿌리는 악성 앱이구글 플레이 스토어에서 발견되었다. 코드내에서 발견된 문자열에 따라 고스트팀GhostTeam이라 명명된 이 악성 앱은 트렌드마이크로가 탐지했다. 악성코드가 처음 공개된 것은 2017년 4월이었고, 공식 안드로이드 마켓플레이스에서 퍼포먼스 부스터, 소셜미디어 비디오 다운로더와 같은 유틸리티 앱으로 위장했다. 총 53개의 어플리케이션이 GhostTeam 악성코드를 유포하는 것으로 확인되었다.
  • 최근 Triton 혹은 Trisis라 명명된, 주요 인프라 기관에서 사용하는 Schneider Electric의 Triconex Safety Instrumented System 컨트롤러의 제로데이 취약점을 공격하는 악성코드가 발견되었다. 이 악성코드는 산업제어시스템(ICS, Industrial Control Systems)을 목표로 설계되었고, 중동의 한 기관에 작동중단 사태를 일으킨 후 발견되었다. 트라이톤(Triton)은 Tchneider Electric Triconex SIS 장치를 목표로 설계되었는데, 이 장치는 프로세스 상태를 모니터하며, 위험한 상황에서 안전하게 작업을 중단시키거나 안전 상태로 복원하는데에 사용된다.
  • Zyklon이라는 HTTP 악성코드를 유포하는 스팸 캠페인이 벌어지고 있다. 이 악성코드는 Microsoft Office 취약점 세개를 공격한다. 이 공격은 통신, 보험, 금융 서비스 기관을 대상으로 벌어지고 있다. 이 공격을 탐지해낸 FireEye 연구원들에 따르면, 공격자들은 비밀번호 및 암호화폐 지갑 정보를 수집하는 중이다. 공격은 여러종류의 DOC 파일을 포함한 악성 ZIP 첨부파일로 시작된다. 이 파일은 최종적으로 세 개의 Microsoft Office 취약점을 공격한다. 각각의 취약점은 CVE-2017-8759, CVE-2017-11882, 세번째는 Dynamic Data Exchange(DDE) 기능이다. (18일에서 이어짐)
  • 아주 정교하게 만들어진 안드로이드용 스파이웨어 Skygofree가 발견되었다. 카스퍼스키랩의 보안연구가들이 감염된 장치를 원격으로 완벽하게 제어할 수 있는 강력한 안드로이드 스파이웨어인 Skygofree의 새로운 변종을 탐지했다. Skygofree는 안드로이드 스파이웨어로 표적공격에 사용될 수 있으며, 전문가들에 따르면 지난 4년간 수많은 사람들이 이 스파이웨어에 감염되었다. 이 악성코드가 처음 발견된 것은 2014년이며, 지난 몇년동안 계속적으로 진화해왔다. (17일에서 이어짐)

Detailed News List

  • ARC
    • [Arbor]
      The ARC of Satori
  • Facebook Password Stealing Apps
    • [TrendMicro]
      GhostTeam Adware can Steal Facebook Credentials
    • [TheHackerNews]
      Facebook Password Stealing Apps Found on Android Play Store
    • [ZDNet]
      This Android malware wants to steal your Facebook login and bombard you with ads
  • Triton
    • [SecurityWeek]
      Triton Malware Exploited Zero-Day in Schneider Electric Devices
    • [Cyberscoop]
      Schneider Electric: Trisis leveraged zero-day flaw, used a RAT
    • [DarkReading]
      Schneider Electric: TRITON/TRISIS Attack Used 0-Day Flaw in its Safety Controller System, and a RAT
  • Zyklon
    • [InfoSecurityMagazine]
      Zyklon Spreads Using Just-Patched Microsoft Vulns
    • [SecurityAffairs]
      Threat actors are delivering the Zyklon Malware exploiting three Office vulnerabilities
  • Skygofree
    • [NakedSecurity]
      SkyGoFree malware spies on your Android phone and your messages

 

Exploits/Vulnerabilities

Summaries

  • SMS 문자 하나로 iOS 및 macOS를 다운시킬 수 있는 버그가 발견되었다. 트위터의 cheesecakeufo (Abraham Masri)에 의해 공개된 이 버그는 Github의 링크가 포함되어 있는데, 이 링크를 애플의 메세지 앱을 통해 받을 경우 iOS 및 macOS의 메시지 어플리케이션이 중단(crash)되며, 잠금화면으로 넘어가는 등의 반응이 일어날 수 있다.
  • BitTorrent 클라이언트인 Transmission에서 취약점이 발견되었다. 구글의 프로젝트제로(Project Zero)연구가인 Tavis Ormandy가 Transmission BitTorrent Client에서 치명적인 원격 코드 실행 취약점을 발견했다. 수정안이 제시되었지만 아직 개발자에 의해 구현되지는 않았다. 연구가에 의하면, 공격자는 Transmission 클라이언트를 사용하는 공격대상자가 특별하게 만들어진 웹사이트에 접근하도록 해서 임의의 코드를 실행시킬 수 있다. (17일에서 이어짐)
  • Meltdown/Spectre와 이에대한 패치, 그리고 패치에 의한 성능 문제에 대한 기사가 계속해서 이어지고 있다.

Detailed News List

  • SMS bug
    • [HackRead]
      chaiOS “Text Bomb” Can Freeze & Crash Your iPhone
  • BitTorrent Flaw
    • [EHackingNews]
      BitTorrent flaw could let hackers take control of Pcs
  • Meltdown/Spectre
    • [SecurityAffairs]
      Meltdown and Spectre patches have a variable impact and can cause unwanted reboots, Intel warns
    • [ThreatPost]
      Intel Says Firmware Fixes for Spectre and Meltdown Affecting Newer Chips
    • [SecurityWeek]
      Intel Tests Performance Impact of CPU Patches on Data Centers
    • [ZDNet]
      Windows 10 Meltdown-Spectre patch: New updates bring fix for unbootable AMD PCs
    • [ZDNet]
      Meltdown-Spectre: Intel says newer chips also hit by unwanted reboots after patch
    • [BankInfoSecurity]
      Intel Confirms Fresh Spectre, Meltdown Patch Problems
    • [TheRegister]
      Industrial systems scrambling to catch up with Meltdown, Spectre

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 레바논 정부가 Dark Caracal 해킹 캠페인과 관련이 있는 것으로 나타났다.
  • 전 고용주들과 비즈니스 경쟁자, 법 집행 기관을 대상으로 분산서비스거부(DDoS) 공격을 한 뉴멕시코 남성이 유죄를 시인했다.
  • 다크웹의 마약 딜러가 징역 80개월 형의 유죄를 선고받았다.

Detailed News List

  • Lebanese
    • [CyberScoop]
      Hackers linked to Lebanese government caught in global cyber-espionage operation
    • [NYTimes]
      Lebanese Intelligence Turned Targets’ Android Phones Into Spy Devices, Researchers Say
  • Man admits to DDoS attacks
    • [DarkReading]
      Man Admits to Directing DDoS Attacks Across the US
    • [TheRegister]
      Sad-sack Anon calling himself ‘Mr Cunnilingus’ online is busted for DDoSing ex-bosses
    • [ZDNet]
      Man pleads guilty to launching DDoS attacks against former employers
  • Drug Dealer
    • [HackRead]
      6 years jail time for ‘one of the largest’ dark web drug dealer
    • [BankInfoSecurity]
      Bitcoin-Amassing AlphaBay Drug Barons Get US Prison Time

 

Crypto Currencies/Crypto Mining

Summaries

  • Blackwallet 서비스가 DNS 하이재킹으로 해킹당해, 사용자들의 계정으로부터 400,000 달러가 도난당했다. BlackWallet.co가 1월 13일 DNS 하이재킹으로 공격을 받았다. 그결과 공격자들이 사용자의 계정에서 40만 달러를 빼냈다. (16일에서 이어짐)

Detailed News List

  • BlackWallet
    • [NakedSecurity]
      BlackWallet cryptocurrency site loses users’ money after DNS hijack

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 구글이 픽셀(Pixel) 모바일 장치를 침해할 수 있는 익스플로잇 체인을 찾아낸 연구자에게 보상금으로 총 11만 2,500달러를 지급했다.

Detailed News List

  • Google Reward
    • [ZDNet]
      Google awards researcher over $110,000 for Android exploit chain
    • [SecurityWeek]
      Researchers Earn $100,000 for Hacking Pixel Phone
    • [InfoSecurityMagazine]
      Bug-Hunting Hackers Earn Top Dollar for Efforts

 

Posted in Security, Security NewsTagged Bug Bounty Program, Crypto Currency, Cryptocurrency Exchanges, Cyber Espionage, Dark Caracal, Dark Web, DDoS, Fancy Bear, GhostTeam, Group 123, Mirai Okiru, Satori Botnet, Skygofree, Trisis, Triton Malware, Vulnerability, ZyklonLeave a comment

Security Newsletters, 2018 Jan 16th, 금융기관 노리는 KillDisk 변종 外

Posted on 2018-01-16 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 팬시베어(FancyBear) 사이버스파이그룹이 미 상원(Senate)을 노리고 있다는 경고가 나왔다. 트렌드마이크로에 따르면, 2016년 미 선거에서 민주당을 공격했던 해커들이 상원 의원들을 노리고 있다. 이 그룹은 Pawn Storm 혹은 Fancy Bear, Sednit, APT 28로도 알려져있다.

Detailed News list

  • FancyBear
    • [InfoSecurityMagazine]
      Kremlin-Linked Hackers Target Senate Ahead of Mid-Terms
    • [BankInfoSecurity]
      Fancy Bear Targets US Senate, Security Researchers Warn

 

Malwares

Summaries

  • 새로운 KillDisk 변종이 라틴 아메리카 금융기관 윈도우즈 장치들을 공격하고 있다. 디스크 삭제 악성코드인 KillDisk의 새로운 변종이 발견되었다. TROJ_KILLDISK.IUB로 명명된 이 변종은 라틴아메리카의 금융기관에 대한 사이버 공격과 관련된어 있다. KillDisk는 다양한 악성코드에 의해 유포되고 있으며, 더 큰 공격의 일부로 사용되었을 수 있다.
  • 악성 크롬 확장기능으로 약 50만명이 영향을 받은 것으로 드러났다. 이 확장기능들은 클릭 사기(click fraud)와 검색엔진 최적화 조작(SEO manipulation)에 사용되었다. 그러나 공격자들이 기업 네트워크에 대한 접근 권한을 획득하거나 사용자 정보를 얻는데 사용되었을 수 있다고 경고했다.
  • PowerStager라 명명된 툴은 파이썬 스크립트로 개발된 도구로, C 소스코드를 사용해 윈도우즈 바이너리를 만든다. 이 툴은 쉘코드 페이로드를 실행하는 PowerShell 스크립트를  동작시키는 다중 레이어 난독화(multiple layers of obfuscation)를 사용한다. PowerStager는 독특한 난독화 기술을 PowerShell에 사용한다.
  • Mirai Okiru 봇넷이 역사상 처음으로 ARC CPU기반의 IoT 장비를 대상으로 공격을 벌이는 것이 탐지되었다. 2016년 8월에 MalwareMusDie 팀의 보안연구가 unixfreaxjp가 악명높은 Mirai 봇넷을 처음으로 탐지헀는데, 이번에도 같은 연구자에 의해 새로 악성코드가 탐지되었다. 이번에 unixfreaxjp가 발견한 것은 컴퓨터 엔지니어링 역사상 처음으로, ARC CPU를 감염시키는 리눅스 악성코드다. 이 새로운 ELF 악성코드는 MIRAI OKIRU로 명명되었다. 악성코드가 ARC CPU기반의 시스템을 공격대상으로 삼은 것은 처음있는 일이다. 첫 발견때까지 Mirai Okiru는 거의 대부분의 안티바이러스에서 탐지되지 않았다. MalwareMustDie에서는 ARC CPU가 1년에 IoT 장치들을 10억대 이상 생산해내기 때문에, Linux와 IoT의 감염에 있어 큰 변화가 있을 것이라 예상했다. (15일에서 이어짐)
  • 악성코드를 설치하는 가짜 Meltdown/Spectre 패치가 유포중이다.
  • DNS 설정을 하이재킹하는 맥OS용 악성코드 MaMi가 확인되었다. OSX/MaMi라고 명명된 이 악성코드는 Malwarebytes 포럼에 DNS 설정이 82.163.143.135, 82.163.142.137로 계속 변경된다는 리포트를 통해 발견되었다. 악성코드가 어떻게 유포되는지에 대해서는 아직 밝혀진바가 없다. 이번에 분석된 샘플은 DNS를 하이재킹하는 기능만 했지만, 스크린샷을 찍거나 마우스 이벤트의 시뮬레이션, 파일 업로드/다운로드, 명령실행 등의 기능도 갖추고 있다. (13일에서 이어짐)

Detailed News List

  • KillDisk
    • [SecurityAffairs]
      New KillDisk variant targets Windows machines in financial organizations in Latin America
    • [SecurityWeek]
      New KillDisk Variant Spotted in Latin America
    • [TrendLabs]
      New KillDisk Variant Hits Financial Organizations in Latin America
  • 크롬 확장
    • [SecurityWeek]
      Half Million Impacted by Four Malicious Chrome Extensions
  • PowerStager
    • [SecurityWeek]
      “PowerStager” Tool Employs Unique Obfuscation
  • Mirai Okiru
    • [CSOOnline]
      Mirai Okiru: New DDoS botnet targets ARC-based IoT devices
    • [TheHackerNews]
      New Mirai Okiru Botnet targets devices running widely-used ARC Processors
  • MaMi
    • [ZDNet]
      MaMi malware targets Mac OS X DNS settings
  • Fake Meltdown/Spectre Patch
    • [SecurityWeek]
      Fake Meltdown/Spectre Patch Installs Malware
    • [InfoSecurityMagazine]
      Phishers Push Malware Disguised as Meltdown Fix

 

Exploits/Vulnerabilities

Summaries

  • 멜트다운/스펙터(Meltdown/Spectre)에 대한 기사가 이어지는 중이다.

Detailed News List

  • Meltdown/Spectre
    • [NYTimes]
      Keeping Up With the Meltdown and Spectre Bugs
    • [ARSTechnica]
      Spectre and Meltdown patches causing trouble as realistic attacks get closer (ArsTechnica)
    • [TheRegister]
      Now Meltdown patches are making industrial control systems lurch
    • [ZDNet]
      Meltdown-Spectre: More businesses warned off patching over stability issues
    • [SecurityAffairs]
      Spectre/Meltdown patches had a significant impact on SolarWinds’s AWS infrastructure
    • [CSOOnline]
      Spectre and Meltdown explained: What they are, how they work, what’s at risk
    • [TheRegister]
      Meltdown/Spectre fixes made AWS CPUs cry, says SolarWinds
    • [TheRegister]
      Oracle still silent on Meltdown, but lists patches for x86 servers among 233 new fixes
    • [SecurityWeek]
      Device Manufacturers Working on BIOS Updates to Patch CPU Flaws

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 캐나다 경찰이 유출된 비밀번호 정보를 제공하던 LeakedSource.com의 운영자를 고소했다. 캐나다 당국이 27세의 온타리오 남성을 훔친 비밀번호 정보 수십억건을 온라인에서 판매한 혐의로 체포 및 기소했다. 2017년 12월 22일 Royal Canadian Mounted Police(RCMP)가 Jordan Evan Bloom을 기소했다.
  • 아이폰의 애플 헬스 데이터가 살인사건 재판에 증거로 사용되었다. 2016년 10월 19세의 의대생 Maria Ladenburger를 강간하고 살해한 독일의 아프간 난민에 대한 재판에서 이 정보가 사용되었다. Hussein Khavari는 Ladenburger를 강간하고 그녀를 Dreisam강에 익사시킨 것을 인정했다.

Detailed News List

  • LeakedSource.com
    • [KrebsOnSecurity]
      Canadian Police Charge Operator of Hacked Password Service Leakedsource.com
  • iPhone Apple Health
    • [NakedSecurity]
      iPhone’s Apple Health data used as evidence in murder trial

 

Vulnerability Patches/Software Updates

Summaries

  • 중국의 레노보(Lenovo)의 엔지니어가 네트워킹 스위치에 존재하는 백도어를 찾아냈다. 보안권고문(CVE-2017-3765)에 따르면 이 “HP backdoor”는 펌웨어에 대한 내부 보안 감사(internal security audit)을 모든 제품들에 대하여 진행하여 발견되었다. 이 백도어는 Enterpise Network Operating System(ENOS)에 영향을 미친다. 레노보는 업데이트를 릴리즈 했으며, 인증이나 인가를 우회할 수 있는 메커니즘을 절대 허용하지 않는다고 언급했다. (15일에서 이어짐)

Detailed News List

  • Lenovo
    • [SecurityWeek]
      Backdoor Found in Lenovo, IBM Switches

 

Data Breaches/Info Leakages

Summaries

  • 원플러스(One Plus) 웹사이트의 지불 시스템이 해킹당해 고객 신용카드 정보가 침해당했다. 중국의 스마트폰 제조사가 결제 페이지가 Magento 버그로 침해당했다는 것을 부인했다. 원플러스는 다수의 고객들이 원플러스의 공식 웹사이트에서 스마트폰을 구매한 이후에 신용카드 사기 및 구매에 대한 문제를 제기한 것에 대한 성명을 발표했다. 원플러스는 부인했지만, 다른 한편으로는 영국의 IT 보안 기업인 Fidus InfoSecurity Limited는 onPlus의 결제 세피이가 마젠토(Magento) eCommerce 플랫폼을 사용하고 있었으며, 최근에 해커에 의해 공격받았음을 조사를 통해 발견했다고 밝혔다.
  • HaveIBeenPwned에 침해사이트 정보가 등록되었다. 이번에 업데이트 된 정보는 TheFlyOnTheWall, LyricsMania, Open CS:GO로 TheFlyOnTheWall 사이트는 8만여명의 계정정보를, LyricsMania 사이트는 10만여명의 계정정보, Open CS:GO 사이트는 50만여명의 계정정보가 침해당했다
  • 누구인지 알려지지 않은 해커가 병원 서버를 장악한 뒤 몸값으로 비트코인을 요구하고 있다. 1월 11일 밤 Greenfield Indiana의 Hancock Health 병원이 정교한 사이버 공격으로 전체 네트워크가 장악 당했다. 해커는 컴퓨터 시스템에 비트코인으로 몸값을 지불할 것을 요구하는 메시지를 띄웠다. 병원에서는 해커가 감염을 확산시키는 것을 막기위해 그들의 시스템을 중단하기로 결정하고 FBI에 신고했다.

Detailed News List

  • One Plus
    • [HackersOnlineClub]
      One Plus Website’s Payment System Got Hacked And Customers Credit Card Info Compromised
    • [TheHackerNews]
      OnePlus Site’s Payment System Reportedly Hacked to Steal Credit Card Details
    • [HackRead]
      OnePlus denies checkout page hack amid credit card fraud reports
    • [TheRegister]
      Customers reporting credit card fraud after using OnePlus webstore
  • TheFlyOnTheWall
    • [HaveIBeenPwned]
      The Fly on the Wall – 84,011 breached accounts
  • LyricsMania
    • [HaveIBeenPwned]
      Lyrics Mania – 109,202 breached accounts
  • Open CS:GO
    • [HaveIBeenPwned]
      Open CS:GO – 512,311 breached accounts
  • Indiana Hospital
    • [CyberScoop]
      Indiana hospital shuts down systems after ransomware attack
    • [TripWire]
      Hospital Shut Down Its Computer Network Following Ransomware Attack

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 피닉스 컨택트(Phoenix Contact) 산업용 스위치에서 심각한 보안 결함이 발견되었다. 독일 기반의 산업 자동화 솔루션을 생산하는 피닉스 컨택트(Phoenix Contact)의 산업용 스위치에서 보안 취약점이 발견되었다. Phoenix Contact의 FL SWTICH 산업용 이더넷 스위치들이 인증 우회(authentication bypass) 및 정보노출(information exposure)취약점에 영향을 받는 것이 확인되었다. 이 취약점은 펌웨어 버젼 1.0부터 1.32까지를 사용하는 3xxx, 4xxx, 48xx 시리즈에 영향이 있다. 이 취약점은 1.33에서 수정되었다. 더 심각한 취약점은 CVE-2017-16743으로, 원격에서 인증되지 않은 공격자가 조작된 HTTP Request를 전송하는 것으로 인증을 우회하여, 관리 기능에 접근(gain administrative access)할 수 있다. 두번째 취약점 CVE-2017-16741은 중간 등급의 취약점으로, 원격의 인증받지 않은 공격자가 장치의 모니터 모드를 공격해 진단 정보를 읽을 수 있다. 펌웨어 1.33에서는 사용자가 모니터 기능을 비활성화 할 수 있다.
  • 주요 스카다(SCADA, Supervisory Control And Data Acquisition)시스템의 모바일 앱에서 보안 취약점이 발견되었다. 2년 전, 산업제어시스템(ICS, Industrial Control Systems)의 소프트웨어 및 하드웨어에서 취약점을 찾은바 있는데, 이번에는 스카다 모바일 앱에 대한 연구를 진행했다. IOActive와 Embedi에 소속된 이들이 34개 제조사의 SCADA 모바일 어플리케이션에 대한 조사 결과, 그들 중 대다수에서 취약점들이 발견되었다. 분석 대상 어플리케이션들은 구글 플레이에 등록되어있는 앱들 중에서 34개가 임의로 선택되었다. (12일에서 이어짐)

Detailed News List

  • Phoenix Contact Industrial Switches
    • [SecurityWeek]
      Serious Flaws Found in Phoenix Contact Industrial Switches
  • SCADA App
    • [NakedSecurity]
      More SCADA app vulnerabilities found
    • [InformationSecurityBuzz]
      Vulnerabilities Found In SCADA Mobile Applications
    • [InformationSecurityBuzz]
      IOActive And Embedi Uncover Major Security Vulnerabilities In ICS Mobile Applications

 

Service Outage/Malfunction

Summaries

  • 실수로인해 하와이에 있는 사람들에게 탄도 미사일(ballistic missile) 경보가 발송되었다. 하와이에서 토요일 아침에 휴대전화로 긴급경보가 발송되고 TV와 라디오에도 송출되었다. 놀란 사람들은 대피소를 찾았다. 그리고 약 38분 후 잘못된 경고였음이 밝혀졌다. 하와이 정부의 David Ige는 CNN과의 인터뷰에서 거짓 경보 발송의 원인은 해킹이 아니었으며, 근무 교대의 표준 절차중에 실수로 버튼을 잘못 누른 결과였다고 밝혔다. (15일에서 이어짐)

Detailed News List

  • Hawaii
    • [GrahamCluley]
      Hawaii’s ballistic missile false alarm and a user interface failure

 

Crypto Currencies/Crypto Mining

Summaries

  • Blackwallet 서비스가 DNS 하이재킹으로 해킹당해, 사용자들의 계정으로부터 400,000 달러가 도난당했다. BlackWallet.co가 1월 13일 DNS 하이재킹으로 공격을 받았다. 그결과 공격자들이 사용자의 계정에서 40만 달러를 빼냈다.

Detailed News List

  • Blackwallet
    • [SecurityAffairs]
      Blackwallet hacked, hackers stole $400,000 from users’ accounts through DNS hijacking

 

Posted in Security, Security NewsTagged Crypto Currency, Data Breach, Fancy Bear, ICS, Industrial Control System, Information Leakage, KillDisk, Malware, MaMi, Mirai, Mirai Okiru, Patches, PowerStager, SCADALeave a comment

Security Newsletters, 2018 Jan 13th, 새로운 인텔 AMT 취약점 外

Posted on 2018-01-13 - 2018-01-13 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 넷플릭스 사용자를 노리는 피싱 사기가 벌어지고 있다. McAfee에 따르면, 넷플릭스 사용자의 신용카드 정보를 훔치기 위한 것으로 보이는 피싱 사기가 벌어지고 있다.
  • 탈북자 및 그들의 후원자, 기자를 노리는 해킹 캠페인이 탐지되었다. 해커그룹이 대한민국 내 탈북자 및 언론인들을 상대로 유명 채팅 어플리케이션이나 소셜네트워크를 통해 악성코드를 보내는 것이 McAfee에 의해 탐지되었다. 고도로 표적화된 이 캠페인은 2017년 페이스북, 카카오톡을 사용해 악성코드가 담긴 피싱 링크를 전송하는 것으로 시작되었다. 이 해킹그룹이 기존 사이버범죄 그룹과 연관되는 점은 확인되지 않았다. (12일에서 이어짐)
  • 러시아와 관련되 있는 것으로 추정되는 해킹 그룹 FancyBear가 국제 올림픽 위원회(IOC, International Olympic Committee)와 국제 반도핑 기구(WADA, World Anti-Doping Agency)에서 유출된 것으로 추정되는 이메일을 공개했다. FancyBear라는 이름으로 알려진 이 해킹 그룹은 이메일 아카이브를 공개했는데, 블로그 포스트를 통해 미국을 포함한 앵글로색슨(Anglo-Saxon)계 국가들이 스포츠에서의 권력과 자본을 위해 싸우고 있다고 혐의를 제기했다. 이 그룹은 APT28로도 알려져 있는데, 2016년 미국 민주당 전국 위원회 해킹으로 알려진 그룹이다. FancyBear는 러시아의 올림픽 출전 금지가 명백히 정치적이라고 주장하고 있다. 이 유출 사건에 대해서 IOC는 언급을 거부했으며, WANA는 응답하지 않았다. (11일에서 이어짐)

Detailed News list

  • Netflix 피싱
    • [InformationSecurityBuzz]
      Netflix Phishing Scam Targeting Users
    • [PandaSecurity]
      New wave of phishing emails aimed at stealing Netflix accounts
  • 탈북자
    • [InfoSecurityMagazine]
      North Korean Defectors Targeted in Mobile Espionage Campaign
  • FancyBear
    • [CyberScoop]
      Russian hacking group Fancy Bear prepares to attack Winter Olympics, U.S. Senate
    • [InfoSecurityMagazine]
      In Wake of Russia Ban, Fancy Bear Tries to Discredit the Olympics…Again
    • [EHackingNews]
      Russian hackers hacked and published 2018 Winter Olympics emails

 

Malwares

Summaries

  • 스모크 로더(Smoke Loader) 악성코드를 유포하는 가짜 스펙터 멜트다운 패치가 확인되었다. 말웨어바이츠(Malwarebytes)에 따르면 멜트다운/스펙터 버그가 관심을 받음에 따라, 패치로 위장한 악성코드 유포도 벌어지고 있다. 독일 당국은 이러한 피싱메일에 대해 경고하기도 했다. 독일어로 꾸며진 사이트에서는 가짜 패치파일(Intel-AMD-SecurityPatch-11-01bsi.zip)을 유포하며, 다른 페이로드들을 다운로드하는 Smoke Loader에 감염시킨 파일을 배포하고 있다.
  • DNS 설정을 하이재킹하는 맥OS용 악성코드 MaMi가 확인되었다. OSX/MaMi라고 명명된 이 악성코드는 Malwarebytes 포럼에 DNS 설정이 82.163.143.135, 82.163.142.137로 계속 변경된다는 리포트를 통해 발견되었다. 악성코드가 어떻게 유포되는지에 대해서는 아직 밝혀진바가 없다. 이번에 분석된 샘플은 DNS를 하이재킹하는 기능만 했지만, 스크린샷을 찍거나 마우스 이벤트의 시뮬레이션, 파일 업로드/다운로드, 명령실행 등의 기능도 갖추고 있다.

Detailed News List

  • Smoke Loader malware
    • [MalwarebytesLabs]
      Fake Spectre and Meltdown patch pushes Smoke Loader malware
  • MaMi
    • [SecurityWeek]
      ‘MaMi’ Mac Malware Hijacks DNS Settings
    • [TheHackerNews]
      Warning: New Undetectable DNS Hijacking Malware Targeting Apple macOS Users

 

Exploits/Vulnerabilities

Summaries

  • 인텔 AMT 취약점이 공격당하면 단 몇 초만에 컴퓨터를 장악당할 수 있다. 보안연구자들이 인텔의 Advanced Management Technology(AMT)가 악용당하면 채 1분이 안되는 물리적인 접근으로 장치가 공격당할 수 있음을 밝혀냈다. Evil Maid 공격은 코드 한줄 없이도 기업 네트워크에대한 원격 제어 능력을 내줄 수 있다. F-Secure 연구가 Harry Sintonen에 의해 발견되어 공개된 이 취약점은 2017년 발견되었던 AMT firmware 취약점이나 현재의 멜트다운/스펙터와는 무관한 취약점이다. 새로운 취약점은 매우 간단한데, 바이오스(BIOS) 비밀번호 설정이 인텔의 MEBX(Management Engine BIOS Extension) AMT BIOS 확장에 대한 접근을 막지 못한다는데 있다. AMT는 하드웨어 기반의 원격 관리 도구로, 칩 수준의 기능으로 운영체제나 소프트웨어에 의존적이지 않다. 오직 전력과 네트워크만 연결되어 있으면 된다. 공격자가 물리적으로 접근할 수 있다면, 장치를 부팅하는 동안 CTRL-P를 누르고 기본 비밀번호인 admin으로 MEBx에 로그인만 하면 된다. 기본 비밀번호를 바꾸고, 원격 접근을 활성화 한 후 사용자 확인(Opt-in)을 None으로 설정하면 된다.
  • AMD가 자사의 CPU에도 결함이 있음을 인정했다. AMD는 지난주 AMD의 아키텍쳐 차이로 AMD의 프로세서는 거의 위험하지 않다라고 발표했으나, 목요일에 들어서 새로운 성명을 통해 AMD 프로세서가 스펙터 변종 둘에 취약하다고 인정했다.
  • 맥OS에서 잘못된 비밀번호로 앱스토어 설정을 잠금해제 할 수 있는 취약점이 발견되었다. macOS High Sierra에 영향을 주는 이 취약점은, 앱스토어 설정(Preferences)를 어떤 비밀번호를 입력하든 잠금해제 할 수 있다. 취약점은 macOS 10.13.2에 영향을 주는 것으로 확인되었고, 사용자가 관리자(administrator)로 로그인 했을 때에만 가능하다. 관리자가 아닌 계정에서는 정확한 비밀번호를 입력해야 한다. (12일에서 이어짐)
  • 인텔 칩에서 발견된 취약점인 멜트다운/스펙터(Meltdown/Spectre)에 대한 기사가 이어지는 중이다. 이번에는 마이크로소프트가 내놓은 Windows 보안 패치(KB40566892)가 일부 AMD CPU를 사용하는 PC를 사용불가 상태로 만들어 버리는 오류가 있다는 내용이다. AMD의 애슬론(Athlon)을 사용하는 PC들이 패치 전에는 정상 동작하다가 이후에 동작하지 않는다는 사용자들의 리포트가 반복되고 있다는 것이다. 패치가 복구지점(recovery point)을 생성하지 않는것도 문제가 되고있다. (9일에서 이어짐)
  • 유명 채팅 앱에서 암호화된 그룹 대화를 엿볼 수 있는 취약점이 발견되었다. 유명 채팅 프로그램인 WhatsApp, Threema, Signal에서 이론적으로(theoretically) 암호화를 우회해 그룹 채팅에 끼어들 수 있는 취약점이 발견되었다. 취리히에서 열린 Real World Crypto 컨퍼런스에서 독일 암호학자 팀이 해당 내용을 발표했다. (11일에서 이어짐)

Detailed News List

  • Intel AMT Flaw
    • [SecurityWeek]
      Simple Attack Allows Full Remote Access to Most Corporate Laptops
    • [ThreatPost]
      Intel AMT Loophole Allows Hackers to Gain Control of Some PCs in Under a Minute
    • [SecurityAffairs]
      Security issue in Intel’s Active Management Technology (AMT) allows to gain full remote access to corporate devices
    • [HackRead]
      Critical Intel AMT Flaw Lets Attackers Hack Laptops in Mere Seconds
    • [BankInfoSecurity]
      Backdoored in 30 Seconds: Attack Exploits Intel AMT Feature
    • [TheRegister]
      Intel AMT security locks bypassed on corp laptops – fresh research
    • [TheHackerNews]
      New Intel AMT Security Issue Lets Hackers Gain Full Control of Laptops in 30 Seconds
    • [ZDNet]
      Intel AMT security loophole could allow hackers to seize control of laptops
    • [HelpNetSecurity]
      Intel AMT security issue gives attackers complete control over a laptop
  • AMD
    • [BankInfoSecurity]
      Spectre Reversal: AMD Confirms Chips Have Flaws
    • [ZDNet]
      AMD processors: Not as safe as you might have thought
  • macOS High Sierra
    • [SecurityAffairs]
      A flaw in macOS High Sierra allows to unlock the App Store Preferences without password
  • Meltdown/Spectre
    • [ZDNet]
      How to protect Windows Server from Meltdown and Spectre
    • [HelpNetSecurity]
      Meltdown and Spectre: To patch or to concentrate on attack detection?
    • [ZDNet]
      Meltdown-Spectre firmware glitch: Intel warns of risk of sudden reboots
    • [ZDNet]
      Spectre puts the brakes on CPU need for speed
    • [TheRegister]
      Intel’s Meltdown fix freaked out some Broadwells, Haswells
    • [SecurityWeek]
      AMD Working on Microcode Updates to Mitigate Spectre Attack
    • [ZDNet]
      Google: Our brilliant Spectre fix dodges performance hit, so you should all use it
  • WhatsApp
    • [EHackingNews]
      WhatApp group chat bug can allow anyone to join

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 코네티컷(Connecticut)의 한 남성이 피싱 캠페인의 일부로 250개 넘는 아이클라우드(iCloud) 계정을 해킹한 것에 대하여 유죄를 인정했다. 이 해킹으로 유명 여성 셀럽들의 누드 사진이 인터넷에 공개되었다. 26세의 George Garofano는 이번 일로 최대 5년의 징역형을 받게되었다.
  • macOS의 스파이웨어 Fruitfly 제작자가 기소되었다. 스크린샷 캡쳐와 웹캠 촬영으로 사용자들을 감시할 수 있는 기능을 가진 악명높은 악성코드가 작년에 기사화 된 일이 있었다. Digita Security의 Patrick Wardle에 의해 발견된 이 악성코드는 Fruitfly 혹은 Quimitchin이라는 이름으로 불린다. 이 악성코드는 십여년간 사람들을 감시해왔다. FBI에 의핸 수년간의 수사끝에 이 악성코드의 제작자가 기소되었다. 오하이오(Ohio) 연방 법원에서 Phillip R. Durachinsky가 Fruitfly의 제작자이며, 이 악성코드를 거의 13년간 사용해 왔다는 내용의 기소장이 제출되었다. 이 기간동안 수천대의 컴퓨터를 감염시키고 수백만장의 사진을 훔쳤다. (12일에서 이어짐)

Detailed News List

  • Celebgate
    • [CyberScoop]
      Fourth man pleads guilty in ‘Celebgate’ photo leak
  • Fruitfly
    • [InfoSecurityMagazine]
      Fruitfly Malware Creator Allegedly Spied on Victims for 13 Years
    • [MalwarebytesLabs]
      Alleged creator of Fruitfly indicted for 13 years of spying
    • [NakedSecurity]
      Man charged with spying on thousands of Mac users for 13 years

 

Privacy

Summaries

  • 마이크로소프트가 Skype에서의 대화에 새로운 종단간(end-to-end) 암호화를 도입했다. Skype가 비밀대화(Private Conversations)이라는 이름으로, Signal과의 파트너십을 통해 종단간(end-to-end) 암화회 기능을 제공한다. Signal의 암호화 프로토콜을 사용해 비밀 대화(encrypted chat) 및 파일 교환, 음성 녹음 메시지를 교환할 수 있다. 여기에 음성통화 및 영상통화(audio and video calls)는 해당되지 않는다. (12일에서 이어짐)

Detailed News List

  • Skype
    • [SecurityWeek]
      Microsoft Brings End-to-End Encryption to Skype
    • [HelpNetSecurity]
      Skype users are finally getting end-to-end encryption
    • [TheHackerNews]
      Skype Finally Adds End-to-End Encryption for Private Conversations
    • [SecurityAffairs]
      Never too late, Skype supports end-to-end encryption for new Private Conversations feature

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 산업제어시스템(ICS, Industrial Control System)에서도 Meltdown/Spectre 대응에 나섰다. 의료 장비 및 산업 제어 시스템을 포함한 주요 인프라 분야에 솔루션을 제공하는 제작사들이 최근 발표된 Meltdown과 Spectre 공격으로 인한 자신들의 제품의 영향에 대해 평가하기 시작했다.
  • 핵무기 시스템도 사이버 공격 위험에 처해있다는 기사가 나왔다. 핵무기 시스템들이 디지털 시대 이전에 설계되어 사이버 위협에 대한 고려가 충분히 되어있지 않다는 것이다.
  • 주요 스카다(SCADA, Supervisory Control And Data Acquisition)시스템의 모바일 앱에서 보안 취약점이 발견되었다. 2년 전, 산업제어시스템(ICS, Industrial Control Systems)의 소프트웨어 및 하드웨어에서 취약점을 찾은바 있는데, 이번에는 스카다 모바일 앱에 대한 연구를 진행했다. IOActive와 Embedi에 소속된 이들이 34개 제조사의 SCADA 모바일 어플리케이션에 대한 조사 결과, 그들 중 대다수에서 취약점들이 발견되었다. 분석 대상 어플리케이션들은 구글 플레이에 등록되어있는 앱들 중에서 34개가 임의로 선택되었다. (12일에서 이어짐)

Detailed News List

  • Meltdown/Spectre
    • [SecurityWeek]
      ICS Vendors Assessing Impact of Meltdown, Spectre Flaws
  • 핵무기 시스템
    • [InfoSecurityMagazine]
      Nuke Weapon Systems at Risk From Cyber-Attacks
  • SCADA Apps
    • [InfoSecurityMagazine]
      SCADA Apps Riddled With Major Flaws
    • [BankInfoSecurity]
      Rising Attack Vector for Industrial IoT: Smartphone Apps

 

Crypto Currencies/Crypto Mining

Summaries

  • Oracle WebLogic Exploit이 암호화폐 채굴 캠페인에 사용되고 있다. 보안연구가들이 611 모네로 코인이 채굴된 것을 발견했다. 약 $22만 6천달러 규모다. 이 모네로 코인들은 전 세계의 취약한 서버들의 웹로직(WebLogic) 취약점을 공격해 채굴되었다. Monero 암호화폐 채굴기를 패치되지 않은 시스템에 유포하는 전 세계적인 캠페인이 벌어지고 있다. 공격자들은 지난 12월 말 중국 연구가인 Lian Zhang이 발표한 개념증명(PoC, Proof-of-Concept) 익스플로잇을 사용하고 있다. 오라클은 패치를 10월에 발표했다. (11일에서 이어짐)
  • WIFI 네트워크를 해킹해 채굴 스크립트를 심는 커피마이너(CoffeeMiner)라는 개념증명(PoC, Proof-of-Concept)프로젝트가 공개되었다. Arnau라는 이름의 개발자가 공개한 이 PoC 프로젝트는 커피마이너(CoffeeMiner)로, 공개 WiFi Network을 해킹해 암호화폐 채굴 코드를 접속하는 브라우저 세션에 주입한다. 개발자는 이 프로젝트가 얼마전 스타벅스 건에서 영감을 받았다고 설명했다. 커피마이너는 로컬 네트워크의 ARP(Address Resolution Protocol) 메시지를 스푸핑하여 동작한다. (7일에서 이어짐)

Detailed News List

  • Oracle Weblogic
    • [HackRead]
      Attackers Exploit Oracle WebLogic Flaw to Mine $266K in Monero
  • CoffeeMiner
    • [InfoSecurityMagazine]
      CoffeeMiner Forces Coffee Shop Visitors to Mine for Monero

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 페이스북이 2017년 한해동안 버그바운티에 88만 달러를 사용한 것으로 확인되었다. 페이스북은 2017년 한 해동안 12,000개가 넘는 취약점 정보를 받았고, 버그바운티로 보안연구가들에게 88만 달러를 지불했다. 정보당 평균 보상 금액도 2016년에 1,675 달러에서 1,900달러로 올라갔다.
  • 보안이벤트에서 퀴즈를 맞춘 사람에게 악성코드에 감염된 USB를 상품으로 제공하는 일이 벌어졌다. 타이완의 경찰이 지난 12월 11일에서 15일에 열린 데이터 보안 엑스포에서 250개의 8G USB 드라이브를 배포했다. Tapei Times에 따르면, 이 USB가 악성코드에 감염되어 있었다. 경찰(CBI, the Crime Investigation Bureau)은 감염에 대한 조사를 통해 54개의 드라이브가 XtbSeDuA.exe라는 이름의 악성코드 실행파일을 담고 있었다고 밝혔다.
  • 와이파이 얼라이언스(WiFi Alliance)가 월요일에 다음세대 무선 네트워크 보안 표준(standard)인 WPA3를 발표했다. 거의 20년이 되어가는 WPA2를 대체할 표준이다. WPA3에서의 주요 개선안 중 하나는 공개 와이파이 네트워크에서의 보안 문제를 해결하는데 초점을 두고있다. 공개 와이파이 네트워크에서 동일 네트워크에 존재하는 다른 장치들이 보내는 데이터를 가로챌(intercept)수 있는 문제점에 대해서, WPA3에서는 개별 데이터 암호화(individualized data encryption)를 제공한다. 또다른 주요 개선점은 무작위(brute-force)사전(dictionary) 공격에 대한 보호기능이다. 공격자가 WiFi 네트워크의 비밀번호를 유추하기 어렵게 만들었다. 새로운 WPA3 보안 프로토콜에서는 공격자가 비밀번호 유추를 여러번 반복해서 실패하면 차단(block) 한다. 2004년이후로 사용되는 WPA2는 four-Way Handshake 사용해 새로운 장치가 사전 공유(pre-shared)된 비밀번호로 네트워크에 참여할 수 있게 한다. WPA3에서는 새로운 종류의 handshake를 사용한다. Mathy Vanhoef에 따르면, 새로운 방식은 사전(dictionary) 공격에 취약하지 않을 것이라 한다. (10일에서 이어짐)

Detailed News List

  • Facebook
    • [SecurityWeek]
      Facebook Paid $880,000 in Bug Bounties in 2017
  • 악성코드 USB
    • [NakedSecurity]
      Police give out infected USBs as prizes in cybersecurity quiz
    • [WeLiveSecurity]
      Security event in Taiwan ‘rewards’ quiz winners with malware-laden USB drives
  •  WPA3
    • [MalwarebytesLabs]
      WPA3 will secure Wi-Fi connections in four significant ways in 2018
    • [EHackingNews]
      New Wi-Fi version to counter hackers

 

Posted in Security, Security NewsTagged Bug Bounty Program, CoffeeMiner, Crypto Currency, Cryptocurrency Mining, Cyber Espionage, Fancy Bear, Fruitfly, ICS, Industrial Control System, Malware, MaMi, Privacy, SCADA, Smoke Loader, VulnerabilityLeave a comment

글 내비게이션

이전 글

Search

Recent Posts

  • Exploit PoC for CVE-2023-20887 VMWare Aria Operations for Networks
  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外

Categories

  • Diet (7)
  • Exploit (1)
  • Flaw (2)
  • Hacking (1)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2023년 6월 (1)
  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.