Security Newsletters, 2018 Jan 14th, Lenovo Network Switch Backdoor 外

Posted on 2018-01-14 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Malwares

Summaries

DNS 설정을 하이재킹하는 맥OS용 악성코드 ^MaMi가 확인되었다. OSX/MaMi라고 명명된 이 악성코드는 Malwarebytes 포럼에 DNS 설정이 82.163.143.135, 82.163.142.137로 계속 변경된다는 리포트를 통해 발견되었다. 악성코드가 어떻게 유포되는지에 대해서는 아직 밝혀진바가 없다. 이번에 분석된 샘플은 DNS를 하이재킹하는 기능만 했지만, 스크린샷을 찍거나 마우스 이벤트의 시뮬레이션, 파일 업로드/다운로드, 명령실행 등의 기능도 갖추고 있다. (13일에서 이어짐)

Detailed News List

MaMi DNS Hijacker
- _{[SecurityAffairs]}
  New MaMi Malware targets macOS systems and changes DNS settings

Exploits/Vulnerabilities

Summaries

인텔 AMT 취약점이 공격당하면 단 몇 초만에 컴퓨터를 장악당할 수 있다. 보안연구자들이 인텔의 Advanced Management Technology^(AMT)가 악용당하면 채 1분이 안되는 물리적인 접근으로 장치가 공격당할 수 있음을 밝혀냈다. Evil Maid 공격은 코드 한줄 없이도 기업 네트워크에대한 원격 제어 능력을 내줄 수 있다. F-Secure 연구가 Harry Sintonen에 의해 발견되어 공개된 이 취약점은 2017년 발견되었던 AMT firmware 취약점이나 현재의 멜트다운/스펙터와는 무관한 취약점이다. 새로운 취약점은 매우 간단한데, 바이오스^(BIOS) 비밀번호 설정이 인텔의 MEBX^{(Management Engine BIOS Extension)} AMT BIOS 확장에 대한 접근을 막지 못한다는데 있다. AMT는 하드웨어 기반의 원격 관리 도구로, 칩 수준의 기능으로 운영체제나 소프트웨어에 의존적이지 않다. 오직 전력과 네트워크만 연결되어 있으면 된다. 공격자가 물리적으로 접근할 수 있다면, 장치를 부팅하는 동안 CTRL-P를 누르고 기본 비밀번호인 admin으로 MEBx에 로그인만 하면 된다. 기본 비밀번호를 바꾸고, 원격 접근을 활성화 한 후 사용자 확인^(Opt-in)을 None으로 설정하면 된다. (13일에서 이어짐)

Detailed News List

Intel AMT Flaw
- _{[EHackingNews]}
  New Intel Security Flaw Detected

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

코네티컷^{(Connecticut)}의 한 남성이 피싱 캠페인의 일부로 250개 넘는 아이클라우드^(iCloud) 계정을 해킹한 것에 대하여 유죄를 인정했다. 이 해킹으로 유명 여성 셀럽들의 누드 사진이 인터넷에 공개되었다. 26세의 George Garofano는 이번 일로 최대 5년의 징역형을 받게되었다. (13일에서 이어짐)
macOS의 스파이웨어 Fruitfly 제작자가 기소되었다. 스크린샷 캡쳐와 웹캠 촬영으로 사용자들을 감시할 수 있는 기능을 가진 악명높은 악성코드가 작년에 기사화 된 일이 있었다. Digita Security의 Patrick Wardle에 의해 발견된 이 악성코드는 Fruitfly 혹은 Quimitchin이라는 이름으로 불린다. 이 악성코드는 십여년간 사람들을 감시해왔다. FBI에 의핸 수년간의 수사끝에 이 악성코드의 제작자가 기소되었다. 오하이오^(Ohio) 연방 법원에서 Phillip R. Durachinsky가 Fruitfly의 제작자이며, 이 악성코드를 거의 13년간 사용해 왔다는 내용의 기소장이 제출되었다. 이 기간동안 수천대의 컴퓨터를 감염시키고 수백만장의 사진을 훔쳤다. (12일에서 이어짐)

Detailed News List

Celebgate
- _{[TheHackerNews]}
  Fourth Fappening Hacker Admits to Stealing Celebrity Pics From iCloud Accounts
Fruitfly
- _{[GrahamCluley]}
  Fruitfly malware spied on Mac users for 13 years – man charged
- _{[WeLiveSecurity]}
  Fruitfly malware spied on Mac users for 13 years – man charged

Vulnerability Patches/Software Updates

Summaries

중국의 레노보^(Lenovo)의 엔지니어가 네트워킹 스위치에 존재하는 백도어를 찾아냈다. 보안권고문^{(CVE-2017-3765)}에 따르면 이 “HP backdoor”는 펌웨어에 대한 내부 보안 감사^{(internal security audit)}을 모든 제품들에 대하여 진행하여 발견되었다. 이 백도어는 Enterpise Network Operating System^(ENOS)에 영향을 미친다. 레노보는 업데이트를 릴리즈 했으며, 인증이나 인가를 우회할 수 있는 메커니즘을 절대 허용하지 않는다고 언급했다.
Let’s Encrypt가 얼마전 소유하지 않은 인증서를 하이재킹 할 수 있었던 취약점 때문에 중단했던 서비스의 문제점을 패치했다. Let’s Encrypt는 ISRG^{(Internet Security Research Group)}에 의해, 웹사이트들에게 HTTPS용 무료 인증서를 프로그램 적으로 제공하기 위해 운영되는 비영리 SSL/TLS 인증기관^{(certificate authority)}이다. TLS-SNI는 Let’s Encrypt의 자동 인증서 관리 환경^{(ACME, Automatic Certificate Management Environment)}이 TLS 인증서에 대한 요청을 검증^(validate)라는 세가지 방식 중 하나다. 다른 두 방식인 HTTP-01과 DNS-01은 이번 문제에 영향을 받지 않는다. 문제는 TLS-SNI-01과 그 뒤를 이은 TLS_SNI-02가 특정 환경에서 공격자가 소유하지 않은 사이트에 대한 HTTPS 인증서를 획득할 수 있다는 것이었다.

Detailed News List

Lenovo
- _[HackRead]
  Lenovo removes backdoor present in networking switches since 2004
Let’s Encrypt
- _{[TheRegister]}
  Let’s Encrypt plugs hole that let miscreants grab HTTPS web certs for strangers’ domains

Data Breaches/Info Leakages

Summaries

누구인지 알려지지 않은 해커가 병원 서버를 장악한 뒤 몸값으로 비트코인을 요구하고 있다. 1월 11일 밤 Greenfield Indiana의 Hancock Health 병원이 정교한 사이버 공격으로 전체 네트워크가 장악 당했다. 해커는 컴퓨터 시스템에 비트코인으로 몸값을 지불할 것을 요구하는 메시지를 띄웠다. 병원에서는 해커가 감염을 확산시키는 것을 막기위해 그들의 시스템을 중단하기로 결정하고 FBI에 신고했다.

Detailed News List

Hospital Servers
- _[HackRead]
  Hacker demands ransom in Bitcoin after taking over hospital servers
- _{[EHackingNews]}
  Unknown Hackers demand Ransom in Bitcoin

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

주요 스카다^{(SCADA, Supervisory Control And Data Acquisition)}시스템의 모바일 앱에서 보안 취약점이 발견되었다. 2년 전, 산업제어시스템^{(ICS, Industrial Control Systems)}의 소프트웨어 및 하드웨어에서 취약점을 찾은바 있는데, 이번에는 스카다 모바일 앱에 대한 연구를 진행했다. IOActive와 Embedi에 소속된 이들이 34개 제조사의 SCADA 모바일 어플리케이션에 대한 조사 결과, 그들 중 대다수에서 취약점들이 발견되었다. 분석 대상 어플리케이션들은 구글 플레이에 등록되어있는 앱들 중에서 34개가 임의로 선택되었다. (12일에서 이어짐)

Detailed News List

Mobile App Flaws of SCADA ICS
- _{[SecurityAffairs]}
  Mobile App Flaws of SCADA ICS Systems Could Allow Hackers To Target Critical Infrastructe

Technologies/Technical Documents/Statistics/Reports

Summaries

시스코^(Cisco)에서 암호화된 트래픽에서 악성코드를 찾아내는 툴을 새롭게 개발했다. 1월 10일에 시스코가 공식적으로 ETA^{(Encrypted Traffic Analytics)}라는 소프트웨어 플랫폼을 릴리즈했다. 이 플랫폼은 악성 트래픽을 탐지하기 위해, 네트워크 패킷 메타데이터를 지속적으로 확인할 수 있다. 이 소프트웨어는 2017년 6월에 시작되었으나 기업^{(enterprises)}들만이 사용할 수 있어 그 이후로는 비공개 상태였다.

Detailed News List

Cisco Tool
- _{[SecurityAffairs]}
  Cisco’s new tool will detect malware in encrypted traffic

Security Newsletters, 2018 Jan 13th, 새로운 인텔 AMT 취약점 外

Posted on 2018-01-13 - 2018-01-13 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

넷플릭스 사용자를 노리는 피싱 사기가 벌어지고 있다. McAfee에 따르면, 넷플릭스 사용자의 신용카드 정보를 훔치기 위한 것으로 보이는 피싱 사기가 벌어지고 있다.
탈북자 및 그들의 후원자, 기자를 노리는 해킹 캠페인이 탐지되었다. 해커그룹이 대한민국 내 탈북자 및 언론인들을 상대로 유명 채팅 어플리케이션이나 소셜네트워크를 통해 악성코드를 보내는 것이 McAfee에 의해 탐지되었다. 고도로 표적화된 이 캠페인은 2017년 페이스북, 카카오톡을 사용해 악성코드가 담긴 피싱 링크를 전송하는 것으로 시작되었다. 이 해킹그룹이 기존 사이버범죄 그룹과 연관되는 점은 확인되지 않았다. (12일에서 이어짐)
러시아와 관련되 있는 것으로 추정되는 해킹 그룹 FancyBear가 국제 올림픽 위원회^{(IOC, International Olympic Committee)}와 국제 반도핑 기구^{(WADA, World Anti-Doping Agency)}에서 유출된 것으로 추정되는 이메일을 공개했다. FancyBear라는 이름으로 알려진 이 해킹 그룹은 이메일 아카이브를 공개했는데, 블로그 포스트를 통해 미국을 포함한 앵글로색슨^{(Anglo-Saxon)}계 국가들이 스포츠에서의 권력과 자본을 위해 싸우고 있다고 혐의를 제기했다. 이 그룹은 APT28로도 알려져 있는데, 2016년 미국 민주당 전국 위원회 해킹으로 알려진 그룹이다. FancyBear는 러시아의 올림픽 출전 금지가 명백히 정치적이라고 주장하고 있다. 이 유출 사건에 대해서 IOC는 언급을 거부했으며, WANA는 응답하지 않았다. (11일에서 이어짐)

Detailed News list

Netflix 피싱
- _{[InformationSecurityBuzz]}
  Netflix Phishing Scam Targeting Users
- _{[PandaSecurity]}
  New wave of phishing emails aimed at stealing Netflix accounts
탈북자
- _{[InfoSecurityMagazine]}
  North Korean Defectors Targeted in Mobile Espionage Campaign
FancyBear
- _[CyberScoop]
  Russian hacking group Fancy Bear prepares to attack Winter Olympics, U.S. Senate
- _{[InfoSecurityMagazine]}
  In Wake of Russia Ban, Fancy Bear Tries to Discredit the Olympics…Again
- _{[EHackingNews]}
  Russian hackers hacked and published 2018 Winter Olympics emails

Malwares

Summaries

스모크 로더^{(Smoke Loader)} 악성코드를 유포하는 가짜 스펙터 멜트다운 패치가 확인되었다. 말웨어바이츠^{(Malwarebytes)}에 따르면 멜트다운/스펙터 버그가 관심을 받음에 따라, 패치로 위장한 악성코드 유포도 벌어지고 있다. 독일 당국은 이러한 피싱메일에 대해 경고하기도 했다. 독일어로 꾸며진 사이트에서는 가짜 패치파일^{(Intel-AMD-SecurityPatch-11-01bsi.zip)}을 유포하며, 다른 페이로드들을 다운로드하는 Smoke Loader에 감염시킨 파일을 배포하고 있다.
DNS 설정을 하이재킹하는 맥OS용 악성코드 ^MaMi가 확인되었다. OSX/MaMi라고 명명된 이 악성코드는 Malwarebytes 포럼에 DNS 설정이 82.163.143.135, 82.163.142.137로 계속 변경된다는 리포트를 통해 발견되었다. 악성코드가 어떻게 유포되는지에 대해서는 아직 밝혀진바가 없다. 이번에 분석된 샘플은 DNS를 하이재킹하는 기능만 했지만, 스크린샷을 찍거나 마우스 이벤트의 시뮬레이션, 파일 업로드/다운로드, 명령실행 등의 기능도 갖추고 있다.

Detailed News List

Smoke Loader malware
- _{[MalwarebytesLabs]}
  Fake Spectre and Meltdown patch pushes Smoke Loader malware
MaMi
- _{[SecurityWeek]}
  ‘MaMi’ Mac Malware Hijacks DNS Settings
- _{[TheHackerNews]}
  Warning: New Undetectable DNS Hijacking Malware Targeting Apple macOS Users

Exploits/Vulnerabilities

Summaries

인텔 AMT 취약점이 공격당하면 단 몇 초만에 컴퓨터를 장악당할 수 있다. 보안연구자들이 인텔의 Advanced Management Technology^(AMT)가 악용당하면 채 1분이 안되는 물리적인 접근으로 장치가 공격당할 수 있음을 밝혀냈다. Evil Maid 공격은 코드 한줄 없이도 기업 네트워크에대한 원격 제어 능력을 내줄 수 있다. F-Secure 연구가 Harry Sintonen에 의해 발견되어 공개된 이 취약점은 2017년 발견되었던 AMT firmware 취약점이나 현재의 멜트다운/스펙터와는 무관한 취약점이다. 새로운 취약점은 매우 간단한데, 바이오스^(BIOS) 비밀번호 설정이 인텔의 MEBX^{(Management Engine BIOS Extension)} AMT BIOS 확장에 대한 접근을 막지 못한다는데 있다. AMT는 하드웨어 기반의 원격 관리 도구로, 칩 수준의 기능으로 운영체제나 소프트웨어에 의존적이지 않다. 오직 전력과 네트워크만 연결되어 있으면 된다. 공격자가 물리적으로 접근할 수 있다면, 장치를 부팅하는 동안 CTRL-P를 누르고 기본 비밀번호인 admin으로 MEBx에 로그인만 하면 된다. 기본 비밀번호를 바꾸고, 원격 접근을 활성화 한 후 사용자 확인^(Opt-in)을 None으로 설정하면 된다.
AMD가 자사의 CPU에도 결함이 있음을 인정했다. AMD는 지난주 AMD의 아키텍쳐 차이로 AMD의 프로세서는 거의 위험하지 않다라고 발표했으나, 목요일에 들어서 새로운 성명을 통해 AMD 프로세서가 스펙터 변종 둘에 취약하다고 인정했다.
맥OS에서 잘못된 비밀번호로 앱스토어 설정을 잠금해제 할 수 있는 취약점이 발견되었다. macOS High Sierra에 영향을 주는 이 취약점은, 앱스토어 설정^{(Preferences)}를 어떤 비밀번호를 입력하든 잠금해제 할 수 있다. 취약점은 macOS 10.13.2에 영향을 주는 것으로 확인되었고, 사용자가 관리자^{(administrator)}로 로그인 했을 때에만 가능하다. 관리자가 아닌 계정에서는 정확한 비밀번호를 입력해야 한다. (12일에서 이어짐)
인텔 칩에서 발견된 취약점인 멜트다운/스펙터^{(Meltdown/Spectre)}에 대한 기사가 이어지는 중이다. 이번에는 마이크로소프트가 내놓은 Windows 보안 패치^(KB40566892)가 일부 AMD CPU를 사용하는 PC를 사용불가 상태로 만들어 버리는 오류가 있다는 내용이다. AMD의 애슬론^(Athlon)을 사용하는 PC들이 패치 전에는 정상 동작하다가 이후에 동작하지 않는다는 사용자들의 리포트가 반복되고 있다는 것이다. 패치가 복구지점^{(recovery point)}을 생성하지 않는것도 문제가 되고있다. (9일에서 이어짐)
유명 채팅 앱에서 암호화된 그룹 대화를 엿볼 수 있는 취약점이 발견되었다. 유명 채팅 프로그램인 WhatsApp, Threema, Signal에서 이론적으로^{(theoretically)} 암호화를 우회해 그룹 채팅에 끼어들 수 있는 취약점이 발견되었다. 취리히에서 열린 Real World Crypto 컨퍼런스에서 독일 암호학자 팀이 해당 내용을 발표했다. (11일에서 이어짐)

Detailed News List

Intel AMT Flaw
- _{[SecurityWeek]}
  Simple Attack Allows Full Remote Access to Most Corporate Laptops
- _[ThreatPost]
  Intel AMT Loophole Allows Hackers to Gain Control of Some PCs in Under a Minute
- _{[SecurityAffairs]}
  Security issue in Intel’s Active Management Technology (AMT) allows to gain full remote access to corporate devices
- _[HackRead]
  Critical Intel AMT Flaw Lets Attackers Hack Laptops in Mere Seconds
- _{[BankInfoSecurity]}
  Backdoored in 30 Seconds: Attack Exploits Intel AMT Feature
- _{[TheRegister]}
  Intel AMT security locks bypassed on corp laptops – fresh research
- _{[TheHackerNews]}
  New Intel AMT Security Issue Lets Hackers Gain Full Control of Laptops in 30 Seconds
- _[ZDNet]
  Intel AMT security loophole could allow hackers to seize control of laptops
- _{[HelpNetSecurity]}
  Intel AMT security issue gives attackers complete control over a laptop
AMD
- _{[BankInfoSecurity]}
  Spectre Reversal: AMD Confirms Chips Have Flaws
- _[ZDNet]
  AMD processors: Not as safe as you might have thought
macOS High Sierra
- _{[SecurityAffairs]}
  A flaw in macOS High Sierra allows to unlock the App Store Preferences without password
Meltdown/Spectre
- _[ZDNet]
  How to protect Windows Server from Meltdown and Spectre
- _{[HelpNetSecurity]}
  Meltdown and Spectre: To patch or to concentrate on attack detection?
- _[ZDNet]
  Meltdown-Spectre firmware glitch: Intel warns of risk of sudden reboots
- _[ZDNet]
  Spectre puts the brakes on CPU need for speed
- _{[TheRegister]}
  Intel’s Meltdown fix freaked out some Broadwells, Haswells
- _{[SecurityWeek]}
  AMD Working on Microcode Updates to Mitigate Spectre Attack
- _[ZDNet]
  Google: Our brilliant Spectre fix dodges performance hit, so you should all use it
WhatsApp
- _{[EHackingNews]}
  WhatApp group chat bug can allow anyone to join

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

코네티컷^{(Connecticut)}의 한 남성이 피싱 캠페인의 일부로 250개 넘는 아이클라우드^(iCloud) 계정을 해킹한 것에 대하여 유죄를 인정했다. 이 해킹으로 유명 여성 셀럽들의 누드 사진이 인터넷에 공개되었다. 26세의 George Garofano는 이번 일로 최대 5년의 징역형을 받게되었다.
macOS의 스파이웨어 Fruitfly 제작자가 기소되었다. 스크린샷 캡쳐와 웹캠 촬영으로 사용자들을 감시할 수 있는 기능을 가진 악명높은 악성코드가 작년에 기사화 된 일이 있었다. Digita Security의 Patrick Wardle에 의해 발견된 이 악성코드는 Fruitfly 혹은 Quimitchin이라는 이름으로 불린다. 이 악성코드는 십여년간 사람들을 감시해왔다. FBI에 의핸 수년간의 수사끝에 이 악성코드의 제작자가 기소되었다. 오하이오^(Ohio) 연방 법원에서 Phillip R. Durachinsky가 Fruitfly의 제작자이며, 이 악성코드를 거의 13년간 사용해 왔다는 내용의 기소장이 제출되었다. 이 기간동안 수천대의 컴퓨터를 감염시키고 수백만장의 사진을 훔쳤다. (12일에서 이어짐)

Detailed News List

Celebgate
- _[CyberScoop]
  Fourth man pleads guilty in ‘Celebgate’ photo leak
Fruitfly
- _{[InfoSecurityMagazine]}
  Fruitfly Malware Creator Allegedly Spied on Victims for 13 Years
- _{[MalwarebytesLabs]}
  Alleged creator of Fruitfly indicted for 13 years of spying
- _{[NakedSecurity]}
  Man charged with spying on thousands of Mac users for 13 years

Privacy

Summaries

마이크로소프트가 Skype에서의 대화에 새로운 종단간^(end-to-end) 암호화를 도입했다. Skype가 비밀대화^{(Private Conversations)}이라는 이름으로, Signal과의 파트너십을 통해 종단간^(end-to-end) 암화회 기능을 제공한다. Signal의 암호화 프로토콜을 사용해 비밀 대화^{(encrypted chat)} 및 파일 교환, 음성 녹음 메시지를 교환할 수 있다. 여기에 음성통화 및 영상통화^{(audio and video calls)}는 해당되지 않는다. (12일에서 이어짐)

Detailed News List

Skype
- _{[SecurityWeek]}
  Microsoft Brings End-to-End Encryption to Skype
- _{[HelpNetSecurity]}
  Skype users are finally getting end-to-end encryption
- _{[TheHackerNews]}
  Skype Finally Adds End-to-End Encryption for Private Conversations
- _{[SecurityAffairs]}
  Never too late, Skype supports end-to-end encryption for new Private Conversations feature

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

산업제어시스템^{(ICS, Industrial Control System)}에서도 Meltdown/Spectre 대응에 나섰다. 의료 장비 및 산업 제어 시스템을 포함한 주요 인프라 분야에 솔루션을 제공하는 제작사들이 최근 발표된 Meltdown과 Spectre 공격으로 인한 자신들의 제품의 영향에 대해 평가하기 시작했다.
핵무기 시스템도 사이버 공격 위험에 처해있다는 기사가 나왔다. 핵무기 시스템들이 디지털 시대 이전에 설계되어 사이버 위협에 대한 고려가 충분히 되어있지 않다는 것이다.
주요 스카다^{(SCADA, Supervisory Control And Data Acquisition)}시스템의 모바일 앱에서 보안 취약점이 발견되었다. 2년 전, 산업제어시스템^{(ICS, Industrial Control Systems)}의 소프트웨어 및 하드웨어에서 취약점을 찾은바 있는데, 이번에는 스카다 모바일 앱에 대한 연구를 진행했다. IOActive와 Embedi에 소속된 이들이 34개 제조사의 SCADA 모바일 어플리케이션에 대한 조사 결과, 그들 중 대다수에서 취약점들이 발견되었다. 분석 대상 어플리케이션들은 구글 플레이에 등록되어있는 앱들 중에서 34개가 임의로 선택되었다. (12일에서 이어짐)

Detailed News List

Meltdown/Spectre
- _{[SecurityWeek]}
  ICS Vendors Assessing Impact of Meltdown, Spectre Flaws
핵무기 시스템
- _{[InfoSecurityMagazine]}
  Nuke Weapon Systems at Risk From Cyber-Attacks
SCADA Apps
- _{[InfoSecurityMagazine]}
  SCADA Apps Riddled With Major Flaws
- _{[BankInfoSecurity]}
  Rising Attack Vector for Industrial IoT: Smartphone Apps

Crypto Currencies/Crypto Mining

Summaries

Oracle WebLogic Exploit이 암호화폐 채굴 캠페인에 사용되고 있다. 보안연구가들이 611 모네로 코인이 채굴된 것을 발견했다. 약 $22만 6천달러 규모다. 이 모네로 코인들은 전 세계의 취약한 서버들의 웹로직^(WebLogic) 취약점을 공격해 채굴되었다. Monero 암호화폐 채굴기를 패치되지 않은 시스템에 유포하는 전 세계적인 캠페인이 벌어지고 있다. 공격자들은 지난 12월 말 중국 연구가인 Lian Zhang이 발표한 개념증명^{(PoC, Proof-of-Concept)} 익스플로잇을 사용하고 있다. 오라클은 패치를 10월에 발표했다. (11일에서 이어짐)
WIFI 네트워크를 해킹해 채굴 스크립트를 심는 커피마이너^{(CoffeeMiner)}라는 개념증명^{(PoC, Proof-of-Concept)}프로젝트가 공개되었다. Arnau라는 이름의 개발자가 공개한 이 PoC 프로젝트는 커피마이너^{(CoffeeMiner)}로, 공개 WiFi Network을 해킹해 암호화폐 채굴 코드를 접속하는 브라우저 세션에 주입한다. 개발자는 이 프로젝트가 얼마전 스타벅스 건에서 영감을 받았다고 설명했다. 커피마이너는 로컬 네트워크의 ARP^{(Address Resolution Protocol)} 메시지를 스푸핑하여 동작한다. (7일에서 이어짐)

Detailed News List

Oracle Weblogic
- _[HackRead]
  Attackers Exploit Oracle WebLogic Flaw to Mine $266K in Monero
CoffeeMiner
- _{[InfoSecurityMagazine]}
  CoffeeMiner Forces Coffee Shop Visitors to Mine for Monero

Technologies/Technical Documents/Statistics/Reports

Summaries

페이스북이 2017년 한해동안 버그바운티에 88만 달러를 사용한 것으로 확인되었다. 페이스북은 2017년 한 해동안 12,000개가 넘는 취약점 정보를 받았고, 버그바운티로 보안연구가들에게 88만 달러를 지불했다. 정보당 평균 보상 금액도 2016년에 1,675 달러에서 1,900달러로 올라갔다.
보안이벤트에서 퀴즈를 맞춘 사람에게 악성코드에 감염된 USB를 상품으로 제공하는 일이 벌어졌다. 타이완의 경찰이 지난 12월 11일에서 15일에 열린 데이터 보안 엑스포에서 250개의 8G USB 드라이브를 배포했다. Tapei Times에 따르면, 이 USB가 악성코드에 감염되어 있었다. 경찰^{(CBI, the Crime Investigation Bureau)}은 감염에 대한 조사를 통해 54개의 드라이브가 XtbSeDuA.exe라는 이름의 악성코드 실행파일을 담고 있었다고 밝혔다.
와이파이 얼라이언스^{(WiFi Alliance)}가 월요일에 다음세대 무선 네트워크 보안 표준^(standard)인 WPA3를 발표했다. 거의 20년이 되어가는 WPA2를 대체할 표준이다. WPA3에서의 주요 개선안 중 하나는 공개 와이파이 네트워크에서의 보안 문제를 해결하는데 초점을 두고있다. 공개 와이파이 네트워크에서 동일 네트워크에 존재하는 다른 장치들이 보내는 데이터를 가로챌^(intercept)수 있는 문제점에 대해서, WPA3에서는 개별 데이터 암호화^{(individualized data encryption)}를 제공한다. 또다른 주요 개선점은 무작위^{(brute-force)}사전^(dictionary) 공격에 대한 보호기능이다. 공격자가 WiFi 네트워크의 비밀번호를 유추하기 어렵게 만들었다. 새로운 WPA3 보안 프로토콜에서는 공격자가 비밀번호 유추를 여러번 반복해서 실패하면 차단^(block) 한다. 2004년이후로 사용되는 WPA2는 four-Way Handshake 사용해 새로운 장치가 사전 공유^(pre-shared)된 비밀번호로 네트워크에 참여할 수 있게 한다. WPA3에서는 새로운 종류의 handshake를 사용한다. Mathy Vanhoef에 따르면, 새로운 방식은 사전^(dictionary) 공격에 취약하지 않을 것이라 한다. (10일에서 이어짐)

Detailed News List

Facebook
- _{[SecurityWeek]}
  Facebook Paid $880,000 in Bug Bounties in 2017
악성코드 USB
- _{[NakedSecurity]}
  Police give out infected USBs as prizes in cybersecurity quiz
- _{[WeLiveSecurity]}
  Security event in Taiwan ‘rewards’ quiz winners with malware-laden USB drives
WPA3
- _{[MalwarebytesLabs]}
  WPA3 will secure Wi-Fi connections in four significant ways in 2018
- _{[EHackingNews]}
  New Wi-Fi version to counter hackers

Security Newsletters, 2018 Jan 12th, Fruitfly 악성코드 제작자 기소 外

Posted on 2018-01-12 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

탈북자 및 그들의 후원자, 기자를 노리는 해킹 캠페인이 탐지되었다. 해커그룹이 대한민국 내 탈북자 및 언론인들을 상대로 유명 채팅 어플리케이션이나 소셜네트워크를 통해 악성코드를 보내는 것이 McAfee에 의해 탐지되었다. 고도로 표적화된 이 캠페인은 2017년 페이스북, 카카오톡을 사용해 악성코드가 담긴 피싱 링크를 전송하는 것으로 시작되었다. 이 해킹그룹이 기존 사이버범죄 그룹과 연관되는 점은 확인되지 않았다.
러시아와 관련되 있는 것으로 추정되는 해킹 그룹 FancyBear가 국제 올림픽 위원회^{(IOC, International Olympic Committee)}와 국제 반도핑 기구^{(WADA, World Anti-Doping Agency)}에서 유출된 것으로 추정되는 이메일을 공개했다. FancyBear라는 이름으로 알려진 이 해킹 그룹은 이메일 아카이브를 공개했는데, 블로그 포스트를 통해 미국을 포함한 앵글로색슨^{(Anglo-Saxon)}계 국가들이 스포츠에서의 권력과 자본을 위해 싸우고 있다고 혐의를 제기했다. 이 그룹은 APT28로도 알려져 있는데, 2016년 미국 민주당 전국 위원회 해킹으로 알려진 그룹이다. FancyBear는 러시아의 올림픽 출전 금지가 명백히 정치적이라고 주장하고 있다. 이 유출 사건에 대해서 IOC는 언급을 거부했으며, WANA는 응답하지 않았다. (11일에서 이어짐)
RIG Exploit kit이 암호화폐 열풍에 동참하고 있다. Malwarebytes가 공개한 정보에 따르면, 코인 채굴 악성코드를 유포하는 Ngay라는 캠페인이 진행되고 있다. 최초 드롭퍼^(dropper)는 암호화폐 채굴기인 추가 바이너리를 하나 혹은 그 이상을 포함하고 있다. 유명한 모네로 채굴기 같은 것들이다. Ngay 캠페인은 malvertising chains들 중 하나로, REG exploit kit을 자신들의 페이로드를 배포하는데 사용하고 있다. (10일에서 이어짐)

Detailed News list

탈북자 노리는 해킹 캠페인
- _{[InfoSecurityMagazine]}
  North Korean Defectors Targeted in Mobile Espionage Campaign
- _[CyberScoop]
  New hacking campaign targets North Korean defectors in South Korea
- _{[SecurityWeek]}
  Highly Targeted Attacks Hit North Korean Defectors
- _[ZDNet]
  Android trojan targets North Korean defectors and their supporters
- _[McAfee]
  North Korean Defectors and Journalists Targeted Using Social Networks and KakaoTalk
FancyBear
- _{[InfoSecurityMagazine]}
  In Wake of Russia Ban, Fancy Bear Tries to Discredit the Olympics…Again
- _{[ThreatConnect]}
  Duping Doping Domains
- _{[SecurityWeek]}
  Hackers Leak Olympic Committee Emails in Response to Russia Ban
RIG Exploit Kit
- _{[DarkReading]}
  RIG EK Remains Top of Heap, Turns to Cryptomining

Malwares

Summaries

신종 Ursnif 악성코드가 사용하는 Double Process Hollowing이라는 프로세스 인젝션 방법에 대한 기사가 올라왔다. 유포되고있는 Ursnif 악성코드의 새로운 종에서 Double Process Hollowing 이라는 이름이 붙은 새로운 고도화된 회피 기법을 채택한 것이 확인되었다. 새로운 기법으로 PoS 장치들을 감염시키고 있는 LockPoS와도 유사하지만, 동일하지 않은 기법이다. 다수의 요즘 안티바이러스 소프트웨어에 탐지되지 않도록 해주는 회피기법이다. 이 방식의 마지막 단계는 자신을 explorer.exe 프로세스의 스레드로서 숨기는 것이다. 이것을 달성하기 위해서 더블 프로세스 할로윙이라는 윈도우즈 Native API에 기반한 기법을 사용하는데, svchost.exe 시스템 프로세스를 통해 권한 상승을 하고, 악성코드를 explorer.exe에 주입하는데 이용한다.

Detailed News List

Double Process Hollowing
- _{[SecurityAffairs]}
  CSE Malware ZLab – Double Process Hollowing -The stealth process injection of the new Ursnif malware

Exploits/Vulnerabilities

Summaries

맥OS에서 잘못된 비밀번호로 앱스토어 설정을 잠금해제 할 수 있는 취약점이 발견되었다. macOS High Sierra에 영향을 주는 이 취약점은, 앱스토어 설정^{(Preferences)}를 어떤 비밀번호를 입력하든 잠금해제 할 수 있다. 취약점은 macOS 10.13.2에 영향을 주는 것으로 확인되었고, 사용자가 관리자^{(administrator)}로 로그인 했을 때에만 가능하다. 관리자가 아닌 계정에서는 정확한 비밀번호를 입력해야 한다.
Gmail에서 서비스를 중단시킬 수 있는 심각한 취약점이 발견되었다. 이 취약점은 Roberto Bindi라는 보안 연구가에 의해 발견되었는데, 특수하게 조작된 메시지를 보내는 것으로 대상자가 Gmail 서비스를 접근하지 못하게 할 수 있다. 호기심에 발견된 이 취약점은 처음에는 조작된 메시지로 브라우저를 충돌시키는 결과를 냈으나, 더 나아가 이러한 메시지를 Gmail을 통해 보내자 Gmail 서비스가 종료되는 결과를 확인했다.
유명 채팅 앱에서 암호화된 그룹 대화를 엿볼 수 있는 취약점이 발견되었다. 유명 채팅 프로그램인 WhatsApp, Threema, Signal에서 이론적으로^{(theoretically)} 암호화를 우회해 그룹 채팅에 끼어들 수 있는 취약점이 발견되었다. 취리히에서 열린 Real World Crypto 컨퍼런스에서 독일 암호학자 팀이 해당 내용을 발표했다. (11일에서 이어짐)
인텔 칩에서 발견된 취약점인 멜트다운/스펙터^{(Meltdown/Spectre)}에 대한 기사가 이어지는 중이다. 이번에는 마이크로소프트가 내놓은 Windows 보안 패치^(KB40566892)가 일부 AMD CPU를 사용하는 PC를 사용불가 상태로 만들어 버리는 오류가 있다는 내용이다. AMD의 애슬론^(Athlon)을 사용하는 PC들이 패치 전에는 정상 동작하다가 이후에 동작하지 않는다는 사용자들의 리포트가 반복되고 있다는 것이다. 패치가 복구지점^{(recovery point)}을 생성하지 않는것도 문제가 되고있다. (9일에서 이어짐)

Detailed News List

맥OS 비밀번호 취약점
- _{[SecurityWeek]}
  Bogus Passwords Can Unlock AppStore Preferences in macOS
- _{[TechRepublic]}
  macOS High Sierra bug lets App Store preferences be unlocked with any fake password
- _{[TheHackerNews]}
  [Bug] macOS High Sierra App Store Preferences Can Be Unlocked Without a Password
- _{[HackersOnlineClub]}
  Mac OS Bug Allows System Preferences To Be Unlocked With Any Password, Haven’t Fixed Yet
Gmail
- _{[SecurityAffairs]}
  Italian researcher discovered that Gmail shutdown after sending a Zalgo text
WhatsApp
- _[HackRead]
  WhatsApp Vulnerability Lets Anyone Spy on Group Chats
- _[ThreatPost]
  WhatsApp Downplays Damage of a Group Invite Bug
- _{[InformationSecurityBuzz]}
  WhatsApp Encryption Flaw Allows Servers To Add People To Private Groups Without Permission
- _{[GrahamCluley]}
  WhatsApp flaw could allow anyone to sneak into your private group chat
- _{[HelpNetSecurity]}
  WhatsApp, Signal group chats not as secure as users might believe
- _[TripWire]
  WhatsApp flaw could allow anyone to sneak into your private group chat
- _{[SecurityAffairs]}
  A security issue in WhatsApp potentially allows attackers to eavesdrop on encrypted Group chats
Spectre/Meltdown
- _{[TechRepublic]}
  Why Meltdown and Spectre help make the case for event logging (TechRepublic)
- _[ZDNet]
  How much slower will your PC feel after patching for Spectre-Meltdown?
- _[AlienVault]
  Improve Your Readiness To Defeat Meltdown & Spectre
- _{[SecurityWeek]}
  Meltdown Patch Broke Some Ubuntu Systems
- _{[MalwarebytesLabs]}
  Meltdown and Spectre fallout: patching problems persist
- _[ZDNet]
  Linux vs Meltdown: Ubuntu gets second update after first one fails to boot
- _[ZDNet]
  Major Linux distros have Meltdown patches, but that’s only part of the fix (ZDNet)

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

macOS의 스파이웨어 Fruitfly 제작자가 기소되었다. 스크린샷 캡쳐와 웹캠 촬영으로 사용자들을 감시할 수 있는 기능을 가진 악명높은 악성코드가 작년에 기사화 된 일이 있었다. Digita Security의 Patrick Wardle에 의해 발견된 이 악성코드는 Fruitfly 혹은 Quimitchin이라는 이름으로 불린다. 이 악성코드는 십여년간 사람들을 감시해왔다. FBI에 의핸 수년간의 수사끝에 이 악성코드의 제작자가 기소되었다. 오하이오^(Ohio) 연방 법원에서 Phillip R. Durachinsky가 Fruitfly의 제작자이며, 이 악성코드를 거의 13년간 사용해 왔다는 내용의 기소장이 제출되었다. 이 기간동안 수천대의 컴퓨터를 감염시키고 수백만장의 사진을 훔쳤다.

Detailed News List

Fruitfly
- _[HackRead]
  Man used Fruitfly Mac malware to spy on US citizens for 13 years
- _{[HelpNetSecurity]}
  Alleged Fruitfly macOS spyware author indicted
- _{[SecurityWeek]}
  Mac Malware Creator Indicted in U.S.
- _{[VirusBulletin]}
  Alleged author of creepy FruitFly macOS malware arrested
- _{[InfoSecurityMagazine]}
  Fruitfly Malware Creator Allegedly Spied on Victims for 13 Years
- _{[BankInfoSecurity]}
  Malware Writer Allegedly Spied on Computers for 13 Years
- _{[TheHackerNews]}
  macOS Malware Creator Charged With Spying on Thousands of PCs Over 13 Years
- _[TripWire]
  Malware Dev Charged with Spying on “Thousands” of Users for 13 Years

Privacy

Summaries

마이크로소프트가 Skype에서의 대화에 새로운 종단간^(end-to-end) 암호화를 도입했다. Skype가 비밀대화^{(Private Conversations)}이라는 이름으로, Signal과의 파트너십을 통해 종단간^(end-to-end) 암화회 기능을 제공한다. Signal의 암호화 프로토콜을 사용해 비밀 대화^{(encrypted chat)} 및 파일 교환, 음성 녹음 메시지를 교환할 수 있다. 여기에 음성통화 및 영상통화^{(audio and video calls)}는 해당되지 않는다.

Detailed News List

Microsoft Skype
- _{[DarkReading]}
  Microsoft Launches ‘Private Conversations’ in Skype
- _[CyberScoop]
  Microsoft adopts Signal’s encryption protocol for new private conversation mode
- _[ZDNet]
  Microsoft starts testing end-to-end encrypted Skype conversations

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

주요 스카다^{(SCADA, Supervisory Control And Data Acquisition)}시스템의 모바일 앱에서 보안 취약점이 발견되었다. 2년 전, 산업제어시스템^{(ICS, Industrial Control Systems)}의 소프트웨어 및 하드웨어에서 취약점을 찾은바 있는데, 이번에는 스카다 모바일 앱에 대한 연구를 진행했다. IOActive와 Embedi에 소속된 이들이 34개 제조사의 SCADA 모바일 어플리케이션에 대한 조사 결과, 그들 중 대다수에서 취약점들이 발견되었다. 분석 대상 어플리케이션들은 구글 플레이에 등록되어있는 앱들 중에서 34개가 임의로 선택되었다.

Detailed News List

SCADA APPs
- _{[SecurityWeek]}
  Security Flaws Found in Majority of SCADA Mobile Apps
- _{[DarkReading]}
  Vulnerable Mobile Apps: The Next ICS/SCADA Cyber Threat
- _{[TheRegister]}
  Everything running smoothly at the plant? *Whips out mobile phone* Wait. Nooo…
- _{[HelpNetSecurity]}
  Researchers uncover major security vulnerabilities in ICS mobile applications

Technologies/Technical Documents/Statistics/Reports

Summaries

Let’s Encrypt이 하이재킹이 공격이 가능한 것을 확인하고 TLS-SNI-01 Validation을 중단했다. 무료 SSL 및 TLS 인증서를 웹마스터에게 제공하는 인증기관인 Let’s Encrypt는 보안 연구가로부터 TLS-SNI-01 시스템이 악용될 수 있다는 리포트를 받았다. 공유 호스팅(shared hosting) 인프라구조 및 네트워크에서 소유하지 않은 도메인에 대한 인증서를 취득할 수 있다.

Detailed News List

Let’s Encrypt
- _[ZDNet]
  Let’s Encrypt disables TLS-SNI-01 validation