Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] HMI

Security Newsletters, 2018 Feb 3rd, PLC/HMI 웹서버 컴포넌트 취약점 外

Posted on 2018-02-03 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • APT 그룹 Iron Tiger가 활동을 재개했다. 이번에는 Operation PZChao으로 불리는 아시아와 미국의 정부기관, 기술, 교육 및 통신 기관들을 공격 대상으로 한다. 비트디펜더(Bitdefender)의 악성코드 분석가들이 비밀번호를 훔치면서 한편으로는 암호화폐를 채굴하는 백도어와 그 악성코드의 몇달간의 활동을 탐지했다. 이 캠페인은 PZChao로 명명되었으며, 아이아와 미국의 정부기관 및 기술, 교육, 통신 기관들을 대상으로 한다.
  • 맥아피(McAfee)가 공격대상에서의 지속적인 데이터 유출을 위해 제작된 악성코드들을 추가로 발견했다고 리포트에서 밝혔다. 맥아피는 최근에 평창올림픽과 관계된 파일리스(fileless) 공격에 대해 리포트를 공개한 바 있다. 이 악성코드들은 코드내에서 발견된 문자열에 따라서 GoldDragon, Brave Prince, Ghost419, Running Rat등으로 명명되었다.

Detailed News list

  • Iron Tiger
    • [SecurityAffairs]
      Chinese Iron Tiger APT is back, a close look at the Operation PZChao
    • [ZDNet]
      Espionage malware snoops for passwords, mines bitcoin on the side
  • Gold Dragon
    • [McAfee]
      Gold Dragon Widens Olympics Malware Attacks, Gains Permanent Presence on Victims’ Systems

 

Malwares

Summaries

  • Radware의 연구가들이 Satori와 관련된 새로운 봇넷을 탐지했다. 이 봇넷은 Grand Theft Auto 비디오게임 커뮤니티를 이용해 IoT 장치들을 감염시키고 있다. Satori는 Mirai에서 파생된 봇넷이다. Radware의 조사 결과, C&C(Command-and-control)서버가 San Calvicie라는 Grand Theft Auto:San Andreas의 멀티플레이어 mod 뿐만 아니라 DDoS 공격을 유료로 제공하는 사이트에서 호스팅 되는 것을 확인했다.
  • 악성코드 제작자들이 멜트다운/스펙터(Meltdown/Spectre) 취약점 사용을 시험중에 있다는 기사가 나왔다. 독일의 안티바이러스 테스트 기업인 AV-Test에서 Meltdown/Spectre CPU bugs를 공격하는 것으로 보이는 악성코드 샘플을 139개 식별해냈다. AV-Test는 트위터를 통해 최근 공개된 CPU 취약점인 CVE-2017-5715, CVE-2017-5753, CVE-2017-5754와 관련된 것으로 보이는 샘플을 139개 확인했다고 밝혔다. AV-Test는 최초로 브라우저를 공격하기 위한 자바스크립트 버젼의 개념증명(PoC) 공격을 찾았다고 밝혔다. 대부분의 악성코드 샘플은 온라인에 공개된 PoC들이다. AV-Test가 수집하는 샘플들의 수가 1월 7일 최초 발견된 이후 지속적으로 증가하고 있으며, 1월 21일을 기점으로 그 수가 100개를 넘어섰다. 1월 말 기준으로 139개의 샘플이 수집되었다. (2일에서 이어짐)

Detailed News List

  • JenX Botnet
    • [ThreatPost]
      JenX Botnet Has Grand Theft Auto Hook
    • [InfoSecurityMagazine]
      JenX Botnet Emerges to Target IoT Devices and Grand Theft Auto
    • [SecurityWeek]
      New Botnet Is Recruiting IoT Devices
  • Meltdown/Spectre Malware
    • [HackRead]
      139 Malware Samples Identified that Exploit Meltdown & Spectre Flaws
    • [VirusBulletin]
      There is no evidence in-the-wild malware is using Meltdown or Spectre

 

Exploits/Vulnerabilities

Summaries

  • 대한민국 사용자들을 노린 공격에서 플래시(Flash)의 제로데이 익스플로잇이 확인되었다. KISA에 따르면, 최신의 플래시 플레이어 28.0.0.137과 그 이전버젼을 공격 대상으로 삼는 북한 해커들의 플래시 제로데이 취약점 공격이 확인되었다. 이 제로데이 취약점은 문서파일이나, 웹페이지, 플래시 파일을 포함한 이메일을 여는 것으로 공격당할 수 있다. 2017년 11월 중순부터 이러한 공격이 이어졌다. (2일에서 이어짐)

Detailed News List

  • Flash Zeo-Day Exploit
    • [NakedSecurity]
      Adobe warns of Flash zero-day, patch to come next week
    • [CiscoTalos]
      Flash 0 Day In The Wild: Group 123 At The Controls
    • [KrebsOnSecurity]
      Attackers Exploiting Unpatched Flaw in Flash
    • [TheHackerNews]
      (Unpatched) Adobe Flash Player Zero-Day Exploit Spotted in the Wild

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 일본에서 10대 소년이 세계 최초의 일본 암호화폐인 MonaCoin을 훔치는 악성코드를 제작한 혐의로 체포되었다. 5억 3400만 달러 규모의 사상 최대 가상화폐 거래소 해킹이 발생한 며칠 뒤의 일이다. 2018년 1월 30일, 일본 경찰은 암호화폐 이체를 위해 필요한 개인키(private key)를 훔치는 악성코드를 제작한 혐의로 17세 소년을 체포했다. 이 10대소년은 Osaka의 Kaizuka 시의 고등학교 3학년생이다. 지역신문에 따르면, 이름이 알려지지 않은 이 십대 학생은 암호화폐 시장을 실시간으로 확인할 수 있는 앱으로 위장한, 실제로는 MonaCoin 지갑의 비밀번호를 훔치는 악성앱을 만들었다. 악성코드 제작으로 십대가 체포된 일은 이번이 처음이 아니며, 2017년 6월에 14세의 소년이 랜섬웨어를 제작한 혐의로 체포되었고, 2017년 9월에는 13세 소년이 스마트폰을 공격하는 악성코드를 판매한 혐의로 체포된 바 있다.

Detailed News List

  • Japanese
    • [HackRead]
      Japanese boy arrested for developing cryptocurrency stealing malware

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 수백종류의 PLC(Programmable Logic Controller)와 HMI(Human-Machine Interface)에서 사용되는 웹서버 컴포넌트에서 취약점이 발견되었다. 보안연구가가 치명적인 스택기반 버퍼오버플로우 취약점을 3S(Smart Software Solutions) CODESYS WebVisu의 웹서버 컴포넌트에서 찾아냈다. 이 취약점은 CVE-2018-5440으로 CVSS 점수 9.8의 높은 점수를 받았다. WebVisu 제품은 현재 다수 제조사들의 116개의 PLC 및 HMI에 사용되고 있다. 여기에는 Schneider Electric, Hitachi, Advantech, Berghof Automation, Hans Turck, NEXCOM 등이 포함된다. 공격자는 원격으로 이 취약점을 공격해 서비스거부(DoS) 상태를 일으키거나, 특정 상황에서는 임의의 코드를 웹서버에서 실행시킬 수 있다.

Detailed News List

  • ICS WebServer
    • [SecurityAffairs]
      Hundreds of ICS products affected by a critical flaw in CODESYS WebVisu
    • [SecurityWeek]
      Web Server Used in 100 ICS Products Affected by Critical Flaw
    • [TheRegister]
      Hey, you know what the internet needs? Yup, more industrial control systems for kids to hack

 

Crypto Currencies/Crypto Mining

Summaries

  • MacUpdate 해킹을 통해 유포되는 새로운 맥OS의 암호화폐 채굴 악성코드가 확인되었다.
  • 세계에서 두번째로 큰 규모의 봇넷이 Redis 및 OrientDB 서버들을 공격하고 있다. 모네로 악성코드를 채굴하는 DDG Botnet이 Redis 및 OrientDB 서버를 공격하는 것이 확인되었다. Qihoo 360의 연구가들에 따르면, DDG 봇넷은 2016년에 처음 탐지되었고 2017년 한해 동안 지속적으로 업데이트 되었다. 채굴 악성코드가 이미 약 4,400대에 달하는 서버를 감염시켰으며, 2017년 3월 이후로 $925,000 가량의 모네로 코인을 채굴헀다.
  • NSA에 의해 개발되었다가 해킹그룹 Shadow Brokers에 의해 유출된 Eternal Blue 익스플로잇을 사용하는 WannaMine 악성코드가 지속적으로 퍼지고 있다. WannaMine은 2017년 10월에 PandaSecurity에 의해 처음 확인되었다. WannaMine은 파일리스(Fileless) 악성코드로, Mimikatz를 통해 획득한 인증정보를 사용해 확산된다.

Detailed News List

  • MacUpdate
    • [MalwarebytesLabs]
      New Mac cryptominer distributed via a MacUpdate hack
  • DDG
    • [SecurityAffairs]
      DDG, the second largest mining botnet targets Redis and OrientDB servers
  • Monero Miner
    • [HackRead]
      Fileless WannaMine Cryptojacking Malware Using NSA Exploit
    • [SecurityWeek]
      Crypto-Mining Botnet Ensnares 500,000 Windows Machines
    • [InfoSecurityMagazine]
      Over 500,000 Windows Machines Infected with Monero Mining Software
    • [HackRead]
      New Monero mining malware infected 500K PCs by using 2 NSA exploits

 

Posted in Security, Security NewsTagged Crypto Currency, Cryptocurrency Mining, CVE-2018-5440, Cyber Espionage, DDG botnet, Exploit, HMI, ICS, Industrial Control System, Iron Tiger, Malware, Operation PZChao, PLC, Vulnerability, WannaMineLeave a comment

Security Newsletters, 2018 Jan 6th, Microsoft Word SubDoc 취약점 外

Posted on 2018-01-06 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Malwares

Summaries

  • 판매시점 정보관리 시스템(PoS, Point of Sale)을 공격하는 악성코드 LockPoS가 새로운 기법을 도입했다. LockPoS는 PoS 신용카드 스캐너가 있는 컴퓨터 메모리에서 신용카드 정보를 훔치는 기능을 가지고 있었다. 이 악성코드는 실행중인 프로세스들의 메모리를 읽어 신용카드 정보를 수집하고 C&C 서버로 보낸다. 이전에는 드로퍼가 explorer.exe 프로세스에 바로 악성코드를 주입했는데, 이번에는 Flokibot PoS 악성코드에서 사용되었던 기법의 새로운 변종 방식을 채택한 것으로 확인되었다. (4일에서 이어짐)

Detailed News List

  • LockPoS
    • [DarkReading]
      LockPoS Malware Sneaks onto Kernel via new Injection Technique

 

Exploits/Vulnerabilities

Summaries

  • 마이크로소프트 워드에서 지원하는 subDoc(sub-document) 기능이 취약하다는 기사가 나왔다. 주 문서(Master document)에서 부문서(Sub-documents)를 로딩할 수 있도록 해주는 마이크로소프트 워드의 기능이 공격자에 의해 사용자 인증정보(credentials)를 훔치는데 사용될 수 있다. subDoc이라 명명된 이 기능은, 특정 문서를 또 다른 문서의 본문에 로드할 수 있게 해주는 기능이다. Rhino Security에 따르면, 이 기능이 원격의(인터넷에 위치한) subDoc 파일들을 호스트 문서로 불러오는데도 사용될 수 있어 특정 상황에서는 악용될 수 있다.
  • 인텔 칩에서 발견된 취약점에 대한 기사가 계속 이어지고 있다. Meltdown 혹은 Spectre로 명명된 이 취약점은, 이 취약점을 발견한 연구가에 의하면 1995년 이후의 거의 대부분의 시스템에 영향을 미친다. 커널 메모리를 읽을 수 있는것에 국한되는 것이 아니라, 대상 시스템의 전체 물리 메모리를 읽을 수 있다. 이 취약점은 지난 십여년간 만들어진 인텔 프로세서에서 구동하는 윈도우즈, 맥, 리눅스 운영체제에 영향을 미친다.

Detailed News List

  • Microsoft Word subDoc Feature
    • [SecurityWeek]
      Microsoft Word subDoc Feature Allows Password Theft
  • Intel Chip Flaw, a.k.a Meltdown and Spectre
    • [TheRegister]
      Security hole in AMD CPUs’ hidden secure processor revealed ahead of patches
    • [KrebsOnSecurity]
      Scary Chip Flaws Raise Spectre of Meltdown
    • [ZScaler]
      Meltdown and Spectre vulnerabilities: What you need to know
    • [InfoSecurityMagazine]
      Apple Confirms Devices Affected by Meltdown, Spectre
    • [ZDNet]
      ​How the Meltdown and Spectre security holes fixes will affect you
    • [TripWire]
      VERT Threat Alert: CPU Vulnerabilities – Meltdown and Spectre
    • [TheRegister]
      Qualcomm joins Intel, Apple, Arm, AMD in confirming its CPUs suffer hack bugs, too
    • [DarkReading]
      The Nightmare Before Christmas: Security Flaws Inside our Computers
    • [CSOOnline]
      Meltdown and Spectre affect the smartphone in your pocket. Should you be worried?
    • [InformationSecurityBuzz]
      “Meltdown”: “Perfect Prevention Is Not Possible”
    • [SpiderLabs]
      Overview of Meltdown and Spectre
    • [TrendLabs]
      When Speculation Is Risky: Understanding Meltdown and Spectre
    • [HackRead]
      How to Protect your Device from Meltdown and Spectre?
    • [SecurityAffairs]
      Intel releases patches to mitigate Meltdown and Spectre attacks
    • [EHackingNews]
      Meltdown and Spectre: Breakdown of The recent CPU Security Bug
    • [SecurityWeek]
      Ubuntu Preps Patches for Meltdown, Spectre CPU Flaws
    • [SecurityWeek]
      Industry Reactions to Meltdown, Spectre Attacks: Feedback Friday
    • [ARSTechnica]
      Meltdown and Spectre: Heres what Intel, Apple, Microsoft, others are doing about it (ArsTechnica)
    • [HackRead]
      Meltdown and Spectre Flaws Collateral Damage to OS & Cloud Services Unavoidable
    • [PandaSecurity]
      Meltdown and Spectre, behind the first security hole discovered in 2018:
    • [ZDNet]
      Windows Meltdown-Spectre fix: How to check if your AV is blocking Microsoft patch
    • [InfoSecurityMagzine]
      Microsoft Issues Warning for Meltdown Fix
    • [TheRegister]
      Cisco to release patches for Meltdown, Spectre CPU vulns, just in case
    • [HelpNetSecurity]
      Browser makers move to mitigate risk of Spectre browser attacks
    • [WeLiveSecurity]
      Meltdown and Spectre CPU Vulnerabilities: What You Need to Know
    • [TheHackerNews]
      [Guide] How to Protect Your Devices Against Meltdown and Spectre Attacks
    • [SecurityWeek]
      Intel Patches CPUs Against Meltdown, Spectre Exploits
    • [TheRegister]
      Woo-yay, Meltdown CPU fixes are here. Now, Spectre flaws will haunt tech industry for years
    • [CyberScoop]
      Microsoft’s chip patch is messing with anti-virus products

 

Vulnerability Patches/Software Updates

Summaries

  • Dell EMC가 Data Protection Suite에서 3개의 제로데이를 패치했다. 가상 어플라이언스를 완전히 장악할 수 있는 취약점이 Dell에 의해 패치되었다. 이 취약점들은 CVE-2017-15548, CVE-2017-15549, CVE-2017-15550이다.
  • 어드밴텍(Advantech) 웹엑세스(WebAccess)의 취약점이 패치되었다. 웹엑세스는 어드밴텍의 HMI(Human-Machine Interface) 및 SCADA(Supervisory Control And Data Acquisition) 시스템을 위한 브라우저 기반 소프트웨어 패키지다. 패치된 취약점들 중 하나는 상당히 높은 등급의 CVE-2017-16724다. 나머지는 CVE-2017-16728, CVE-2017-16720, CVE-2017-16716이다.

Detailed News List

  • DeLL EMC
    • [TheRegister]
      Dell EMC patches 3 zero-days in Data Protection Suite
    • [ZDNet]
      Zero-day vulnerabilities hijack full Dell EMC Data Protection Suite
  • Advantech WebAccess
    • [SecurityWeek]
      Several Vulnerabilities Patched in Advantech WebAccess

 

Data Breaches/Info Leakages

Summaries

  • 인도의 신체측정 정보 데이터베이스가 침해당해 10억명의 사용자 정보가 위험에 처했다. 더 트리뷴(the tribune)에 따르면, 해커들이 인도의 고유 식별 기관(Unique Identification Authority)인 Aadhaar biometric system에 침입해 10억명 이상의 인도 거주자의 개인 식별 가능정보(PII, Personally Identifiable Information)에 접근했다. 기자는 왓츠앱에서  데이터 판매자를 통해 데이터를 확인할 수 있었는데, 판매자가 제공한 포털 서비스에서 Aadhaar 사용자 아이디 번호를 통해 그 사람의 이름, 주소, 우편번호, 사진, 전화번호, 이메일 주소를 조회할 수 있었다.
  • 미국 국토안전부(DHS, Department of Homeland Security) 전/현직 직원 24만명의 개인 신상정보 침해가 발생했다. 국토안전부의 Office of the Inspector General(OIG)의 전 직원이 승인받지 않은 DHS OIG 수사 케이스 관리 시스템(investigative case management system)의 사본을 가지고 있었으며, 여기에는 전/현직 DHS 근무자들의 개인식별정보(personally identifiable information)가 담겨 있었다는 것이다. (5일에서 이어짐)

Detailed News List

  • Biometric Database
    • [SecurityAffairs]
      Data breach of the Aadhaar biometric system poses a serious risk for 1 Billion Indian residents
    • [DarkReading]
      Breach of India’s Biometric Database Puts 1 Billion Users at Risk
  • DHS
    • [BankInfoSecurity]
      DHS Says 246,000 Employees’ Personal Details Were Exposed
    • [HelpNetSecurity]
      DHS insider breach resulted in theft of personal info of staff and people involved in investigations
    • [SecurityAffairs]
      PyCryptoMiner botnet, a new Crypto-Miner Botnet spreads over SSH

 

Crypto Currencies/Crypto Mining

Summaries

  • 파이썬(Python) 스크립트로 작성된 암호화폐 채굴 봇넷 스크립트가 SSH를 통해 확산중이다. PyCryptoMiner라 명명된 이 봇넷은 최근 JBoss 서버 취약점(CVE-2017-12149)을 스캔하는 기능을 추가했다. 이 봇넷 스크립트는 모네로 암호화폐를 채굴하는 용도로 만들어졌으며, 리눅스 장치들의 SSH 로그인 계정을 추측해 확산중이다. 추측기반 로그인 시도가 성공하면, C&C 서버에 접속해 추가적인 파이썬 코드를 다운로드하고 실행하는 base64로 인코딩된 파이썬 스크립트를 해당 장치에 설치하는 식으로 확산된다. (5일에서 이어짐)

Detailed News List

  • Python Crypto-Miner Botnet
    • [HelpNetSecurity]
      PyCryptoMiner ropes Linux machines into Monero-mining botnet

 

Posted in Security, Security NewsTagged Crypto Currency, Cryptocurrency Mining, CVE-2017-15548, CVE-2017-15549, CVE-2017-15550, CVE-2017-16716, CVE-2017-16720, CVE-2017-16724, CVE-2017-16728, Data Breach, HMI, Human Machine Interface, Industrial Control System, Information Leakage, LockPoS, Malware, PyCryptoMiner, SCADA, VulnerabilityLeave a comment

Security Newsletters, 2017 Dec 9th, 안드로이드 야누스(Janus) 外

Posted on 2017-12-09 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 핵티비스트(Hacktivist)들이 이스라엘 공무원들의 이름, 이메일, 비밀번호와 미국 정부 사이트 목록을 온라인에 공개하고, 그들에 대한 공격을 요구하는 일이 있었다. 어나니머스(Anonymous)는 몇몇 사이트의 데이터를 유출했는데, 이는 그들의 중동에서의 정치 대한 미국의 간섭에 대항한 집단 보복으로 보인다. 어나니머스의 작전은 팔레스타인을 보호하고 도널드 트럼프가 예루살렘을 이스라엘의 수도로 인정하는 것(Donald Trump’s choice to recognize Jerusalem as the capital of Israel)에 대한 시위를 목표로 했다. 관련된 메시지가 사이버게릴라(cyberguerilla.com)에 게제되었다.
  • 인도 첩보기관(Indian Intelligence Bureau, IB)이 중국이 42개의 모바일 어플리케이션으로 감시하고 있는 상황을 우려해 군인들에게 삭제지시를 내렸다. 인도 정보기관이 중국 사이버 스파이가 유명 모바일 어플리케이션과 장치들을 사용해 인도의 보안 설비(security installations)에 대한 기밀정보를 수집하고 있다고 경고했다. 인도의 많은 사이버보안 전문가들은 궁국 군사 첩보 기관에 의한 스파이 행위 시도에 대한 우려를 표했다. 이 경고에는 42개의 중국의 유명 모바일 앱이 포함되어 있으며, WeChat, Truecaller, Weibo, UC Browser, UC News 등이 국가 보안에 심각한 위협이 될수 있다는 인도 첩보기관의 내용이 포함되어 있다.
  • 러시아 중앙은행(Central Bank of Russia)이 신년 연휴 이전에 금융기관에 대한 새로운 해커 공격에 대해서 경고했다. 중앙은행의 사이버 보안 부국장(Deputy Head of Cyber Security Department)인 Artem Sychev는 Cobalt Strike 바이러스를 사용하는 해커들의 공격이 줄어들었다고 발표했다. 그는 해커들이 연말에 은행 고객들이 엄청난 손실을 보게 만들 다른 공격을 준비하고 있을 것이라고 말했다.

Detailed News list

  • #OpUSA, #OpIsrael
    • [SecurityAffairs]
      #OpUSA – OpIsrael – Anonymous hit Israel and threatens cyberattack on US Govt
    • [CyberGuerilla]
      Anonymous OpUSA – OpIsrael: Israili Gov’t hacked and dumped
  • China is spying through 42 mobile apps
    • [SecurityAffairs]
      The Indian Intelligence warns China is spying through 42 mobile apps
  • Russian Central Bank
    • [EHackingNews]
      Russian Central Bank warned of possible Cyber Attack before New Year

 

Malwares

Summaries

  • 이전에 Blind라는 이름으로 알려졌던 나폴레온(Napoleon) 랜섬웨어에 대한 Malwarebytes Lab의 분석보고서가 발표되었다. 이 랜섬웨어는 이전에는 Blind라는 이름으로 알려졌고, 최근에는 .napoleon 이라는 확장자를 사용하며 몇가지 변경사항이 확인되었다. 지금까지 이 새로운 변종의 유포방식은 확실하게 확인되지 않았다. Malwarebytes의 추정은 공격자들이 직접 해킹당한 컴퓨터에 드랍 및 설치한는 것으로 보고있다. 랜섬웨어가 설치되고 난 후에는 파일들 하나씩 암호화하며, 확장자에 email.lapoleon을 추가한다. HTA 형식의 랜섬노트를 남기며, Napoleon의 윈도우 화면은 Blind에 비해서 단순해졌다.
  • 앞서 정리했던 Locky와 유사한 Scarab 랜섬웨어가 피해 대상이 몸값 지불에 흥정을 할 수 있게 허락하고 있다는 기사가 나왔다. Scarab 랜섬웨어는 6월에 처음 발견되었는데, 11월에 들어서 갑자기 수백만개의 스팸메일을 통해 유포되었다. 이 이메일은 Locky 랜섬웨어를 매우 성공적으로 유포한 것으로 유명한 Necurs 봇넷에 의해 유포되었다.
  • 11월 30일에 애플이 조용히 macOS XProtect 악성코드 방지 시스템에 OSX.HiddenLotus.A.라 불리는 것에 대한 시그니처를 추가한 일이 있었다. 히든로터스(HiddenLotus)가 무엇인가에 대해서는 의문으로 남았으나, 같은날 Arnaud Abbati가 샘플을 찾아서 트위터에서 공유하며 정체가 밝혀졌다. 히든로터스는 드로퍼(dropper)로 Lê Thu Hà (HAEDC).pdf라는 파일이름을 사용했다. 이 파일은 이전에 문서파일 형태로 위장한 악성코드들 처럼 특별할 것 없어 보이지만, 실제로는 pdf 확장자를 사용한다. 하지만 인식되기로는 응용프로그램으로 인식되는데, 여기에는 pdf의 d 문자가 영어 알파벳 d가 아닌 로마 숫자 500을 의미하는 D의 소문자를 사용했다.
  • Eset에 따르면 인터넷 서비스 제공업체(ISP, Internet Service Provider)가 연관된 것으로 보이는 FinFisher 악성코드가 새로운 종류의 스파이웨어로 대체되었다. ESET에서 Win32/StrongPity2로 탐지된 이 스파이웨어는 StrongPity라 불리는 그룹의 스파이웨어와 유사하다.
  • 유명 블로깅 웹 어플리케이션인 워드프레스(WordPress)를 사용하는 사이트에서 키로거가 발경되었다. 수천개의 워드프레스 사이트가 사용자의 입력을 가로채는 악성코드에 감염된 것이 발견되었다. 이 감염은 cloudflare.solutions이라는 악성코드로 웹사이트가 감염되었던 지난 4월의 캠페인 중 일부이다. 과거에 탐지되었을 당시에는 암호화폐를 채굴하는 기능이 포함되어 있었으며, 지금은 키로깅 기능이 포함되어 있다. 기사가 작성될 당시 cloudflare.solutions 악성코드는 5,495개의 웹사이트에 감염되어 있었으며 이 숫자는 증가하고 있는 것으로 보인다. (8일에서 이어짐)
  • 전세계 수백만 시스템을 감염시켰던 Conficker 웜이 9년이 지난 지금도 여전히 활발히 활동중이다. 이 웜은 제조, 헬스케어, 정부 분야의 조직에 강력한 위협으로 남아 있을 정도로 악성코드 방지 시스템에 의해 지속적으로 탐지되고 있다. Conficker 웜이 처음 등장한 것은 2008년이다. 이번주에 트렌드 마이크로가 발표한 리포트에 따르면, Downad라 불리는 웜은 이번 해에만 330,000건이 탐지되고 차단되었다. 이 수치는 트렌드 마이크로가 Conficker를 2016년에는 3000,000건, 2015년에는 290,000건을 탐지하고 차단한 수치와 거의 일치한다. 2008년에 처음 등장한 Conficker 웜은 처음 등장시 전세계 약 900만대의 놀라운 숫자의 컴퓨터 시스템을 감염시켰다. (8일에서 이어짐)

Detailed News List

  • Blind(Napoleon) ransomware
    • [Malwarebytes]
      Napoleon: a new version of Blind ransomware
  • Scarab ransomware
    • [ZDNet]
      This ransomware asks victims to name their own price to get their files back
  • HiddenLotus
    • [Malwarebytes]
      Interesting disguise employed by new Mac malware HiddenLotus
  • StrongPity2
    • [WeLiveSecurity]
      StrongPity2 spyware replaces FinFisher in MitM campaign – ISP involved?
  • WordPress keylogger
    • [HackRead]
      More than 5,000 WordPress websites plagued with Keylogger
  • Conficker
    • [Cyberscoop]
      Conficker worm still spreading despite being nearly 10 years old

 

Exploits/Vulnerabilities

Summaries

  • 이번주 구글이 공격자가 대상 앱의 서명 검증 인증서에 영향을 미치지 않으면서도 앱에 악의적인 코드를 주입할 수 있는 취약점을 수정했다. 이 방법은 공격자가 신뢰하는 제작사에서 만든 것처럼 보이는 서명된 어플리케이션을 사용해 장비의 악성코드방지 기능을 우회하고 권한을 상승시킬 수 있는 취약점이다. 이 취약점은 야누스(Janus)라고 이름이 붙었으며, GuardSqure의 CTO인 Eric Lafortune에 의해 발견되었다. 이 취약점은 7월에 CVE-2017-13156 번호가 부여되었다. 구글은 이 취약점을 12월자 안드로이드 보안 패치의 일부로 수정했다.
  • 마이크로소프트 오피스(Microsoft Office)의 보안 취약점이 해킹 그룹에 의해 익스플로잇(Exploit)으로 활용되는데에 채 일주일이 걸리지 않는다는 기사가 나왔다. 파이어아이(FireEye)가 목요일에 공개한 연구 결과에 따르면, 지난달에 마이크로소프트가 오피스의 원격 코드 실행(remote code execution) 취약점(CVE-2017-11882)을 공개한지 일주일도 안되서, 이란의 해커들이 피싱 이메일을 통해 중동 정부 기관을 공격하는데 이 취약점을 사용했다.
  • 마이크로소프트(Microsoft)사의 오피스(Office)에 17년간 존재한 방정식 편집기(Equation Editor)의 취약점에 대한 기사가 계속해서 이어진 가운데, 해당 취약점에 대한 분석 보고서가 팔로알토네트웍스(Palo Alto Networks)의 Unit42에 의해 공개되었다.
  • 30개 이상의 유명 이메일 클라이언트에 영향을 미치는 Email 스푸핑 취약점이 발견되었다. 다른 사람이 보낸 메일인 것처럼 위장할 수 있는 취약점이 발견되었다. MailSploit이라는 이름이 붙은 이 취약점은 Apple Mail(macOS, iOS, watchOS), Mozilla Thunderbird, Microsoft email clients, Yahoo Mail, ProtonMail 및 기타 메일클라이언트들에 영향을 미친다. 이 클라이언트들에 DKIM이나 DMARC와 같은 스푸핑 방지 메커니즘이 구현되어 있지만, MailSploit은 이메일 클라이언트와 웹 인터페이스가 From 헤더를 파싱하는 것을 이용한다. (6일에서 이어짐)

Detailed News List

  • Android Flaw ‘Janus’
    • [ThreatPost]
      Android Flaw Poisons Signed Apps with Malicious Code
    • [TheRegister]
      Android flaw lets attack code slip into signed apps
  • Flaw into Exploit
    • [CyberScoop]
      Hacking group turns Microsoft Office flaw into an exploit in less than a week
    • [MicrosoftSecurityCenter]
      CVE-2017-11882 | Microsoft Office Memory Corruption Vulnerability
  • Office Equation Editor
    • [PaloAltoNetworks]
      Analysis of CVE-2017-11882 Exploit in the Wild
  • MailSploit
    • [InformationSecurityBuzz]
      Mailsploit Lets Attackers Send Spoofed Emails On Over 33 Email Clients

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 구글이 자사의 투명성 리포트(Transparency Report) 중 National Security Letter 섹션을 확대하여, National Security Letters(NSLs)의 새로운 사례로 FBI로 부터 받은 것들을 공개하겠다고 밝혔다. 새로운 NSLs의 서브섹션은 세 컬럼으로 이루어져 있다. NSL 그 자체에 대한 링크와, NSL이 발행된 날짜, FBI가 발행한 문서에 대한 링크다. 가장 최근의 공개된 문서의 날짜는 2017년 9월 25일로 되어있다. 공개된 내용에 따르면, FBI는 NSL을 전자 통신 개인정보 보호법(Electronic Communications Privacy Act, ECPA)에 따라 비공개 요구(non-disclosure requirement)와 함께 발행했다. 이 문서는 구글이 FBI로 부터 특정 날짜에 수신한, 구글의 고객 계정에 대한 정보 요청 NSL을 공개할 수 있도록 허락했으며, 요청한 FBI 요원의 이름 및 전화번호는 삭제되었다. 구글은 또한 대상 사용자 계정도 삭제했다. 가장 오래된 NSL은 2009년의 여러 Gmail 계정에 대한 것이다. 이 문서에서는 구글에게 이름, 주소, 서비스 기간 정보를 요구하고 있다.
  • 구글이 접근성 서비스(Accessibility Services) API를 사용하는 앱에 대하여 그 기능을 제거하라고 알림을 발표하고 유예기간 이후에는 지키지 않는 앱을 마켓에서 제외시키겠다고 했던 기사가 있었다. 구글이 접근성 서비스 제거를 위해 개발자들에게 주었던 이 유예기간을 30일 더 연장했다.
  • 영국 법원에서 직원이 일으킨 대규모 데이터 유출 사건에 회사는 무고하지만, 그럼에도 불구하고 보상금(compensation)을 지불해야 한다고 밝혔다. 유럽연합에 개인정보 보호에 대해서는 상대적으로 강력한 법률이 존재한다는 것은 잘 알려진 사실이다. 이전에도 정리했던 기사에서 영국 슈퍼마켓 체인인 모리슨스(Morrisons)는 2014년에 99,998 명의 직원들이 개인정보가 담긴 파일이 파일 공유 웹사이트에 공개되는 사건이 있었다. 이 파일에는 이름, 주소, 성별, 생일, 전화번호, 은행 계좌 번호, 급여 정보가 있었다. 추후 수사를 통해 밝혀진 사실은, 이 내용들은 2013년에 있었던 징계(disciplinary) 절차에 앙심을 품은 Andrew Skelton이라는 모리슨스의 IT 수석 감사관(senior IT auditor)에 의한 것이었다.

Detailed News List

  • Google’s Transparency Report
    • [ZDNet]
      Google lifts lid on FBI data requests: Now you can read actual letters online
  • Google pauses removal of apps
    • [ZDNet]
      Google pauses removal of apps that want to use accessibility services
  • UK Court
    • [TechDirt]
      UK Court Says Company Is Innocent In Massive Data Breach Caused By Vindictive Employee, But Must Nonetheless Pay Compensation

 

Vulnerability Patches/Software Updates

Summaries

  • 애플이 홈킷(HomeKit) 장비에 영향을 미치는 취약점을 패치했다. 애플에 따르면, 스마트자물쇠(SmartLock)나 차고문 제어장치(Garage door openers)와 같은 홈킷(HomeKit) 장치들의 허가되지 않은 원격 제어를 허용할 수 있는, 홈핏 프레임워크의 미공개 취약점이 수정되었다. 이 취약점은 최초 9to5Mac이 목요일에 보도했다. 발표자료에 따르면, 이 취약점은 HomeKit 사용자의 iCloud 계정과 연결되어 있는, 최신 iOS 11.2를 사용하는 iPhone이나 iPad가 필요하다.
  • 치명적인 취약점이 마이크로소프트(Microsoft)의 악성코드 보호 엔진(MPE, Malware Protection Engine)에서 발견되어 마이크로소프트가 목요일에 이에 대한 패치를 공개했다. 이 취약점은 공격자가 공격대상 컴퓨터를 완전히 장악할 수 있게 한다. 윈도우즈10용 윈도우즈 디펜더(Windows Defender)를 포함한 다양한 마이크로소프트의 보안 제품들이 영향을 받는다. 마이크로소프트 악성코드 보호 엔진은 마이크로소프트의 모든 제품의들의 안티바이러스 및 안티스파이웨어 프로그램에 핵심 기능을 제공한다. 마이크로소프트에 따르면, 아직까지 이 취약점이 실제 공격에 사용되고 있다는 흔적은 발견되지 않았다. (8일에서 이어짐)
  • OpenSSL의 취약점 두가지가 패치되었다. OpenSSL 프로젝트가 목요일에 구글 연구가가 발견한 두가지 취약점이 패치된 OpenSSL 1.0.2n 버젼을 공개했다. 이 취약점은 구글 연구가 David Benjamin이 앞서 발표했던 OSS-Fuzz라는 퍼싱 서비스를 사용해 발견한 취약점이다. (11월 3일자 뉴스모음) 취약점 중 하나는 CVE-2017-3737이며, 다른 하나는 CVE-2017-3738이다. (8일에서 이어짐)

Detailed News List

  • Apple
    • [ThreatPost]
      Apple Fixes Flaw Impacting HomeKit Devices
    • [NakedSecurity]
      Apple fills the KRACK on iPhones – at last
  • Microsoft
    • [TheHackerNews]
      Microsoft Issues Emergency Windows Security Update For A Critical Vulnerability
    • [SecurityWeek]
      Microsoft Patches Critical Vulnerability in Malware Protection Engine
    • [DarkReading]
      Microsoft Issues Emergency Patch for ‘Critical’ Flaw in Windows Security
    • [SecurityAffairs]
      CVE-2017-11937 | Microsoft releases an emergency update to fix a flaw in Malware Protection Engine
    • [ZDNet]
      Windows 10: UK’s GCHQ found out how to hack Windows Defender to own your PC
  • OpenSSL
    • [SecurityAffairs]
      OpenSSL patches for the fourth time in 2017 its library, and it will likely be the last one

 

Data Breaches/Info Leakages

Summaries

  • 자전거 공유(bicycle-sharing) 플랫폼인 oBike의 싱가폴 및 전세계 13개국 사용자들의 개인정보 데이터가 유출됐다. 회사 대변인에 따르면, 데이터 유출은 친구를 oBike 플랫폼으로 초대하는 어플리케이션 프로그래밍 인터페이스(application programming interface)의 문제(gap)로 인해 발생했다. 초대 코드를 친구에게 보내고 자전거 사용 정보를 소셜네트워크에서 공유하는 기능을 사용하는 과정에서, 사용자가 인지하지 못한 상태로 개인정보에 대한 접근권한을 허용한 것이다. 이 사고는 최소 2주간 지속되었다.
  • 가상 키보드(virtual keyboard) 어플리케이션인 ai.type 앱의 개인정보 수집 데이터 유출에 대한 기사가 이어지고 있는 가운데, Have I Been Pwned 사이트를 통해 숫자가 공개되었다. 총 2천만건의 정보가 유출되었다. 유출된 정보는 주소록의 연락처 정보, 장치에 설치된 어플리케이션 목록, 통신사 이름, 생일, 장치정보, 이메일 주소, 성별, 위치정보, IMEI(International Mobile Equipment Identity) 번호, IMSI(International Mobile Subscriber Identity) 번호, IP주소, 이름, 전화번호, 프로필 사진, 소셜미디어 프로필 이다. (6일에서 이어짐)

Detailed News List

  • oBike
    • [TripWire]
      Security Breach Exposed oBike Users’ Personal Information
  • ai.type keyboard app
    • [HaveIBeenPwned]
      ai.type – 20,580,060 breached accounts
    • [InformationSecurityBuzz]
      More Than 31 Million Hit By Keyboard App Breach

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • ICS-CERT에 따르면 Rockwell Automation이 FactoryTalk 제품에서 높은 등급의 서비스거부(DoS, Denial of Service) 취약점을 패치했다. 이 취약점은 2.90이나 그 이전버젼의 FactoryTalk Alarms and Events(FTAE)에 영향을 미친다. 이 FactoryTalk Services Platform 컴포넌트는 Studio 5000 Logix Designer PLC 프로그래밍 및 설정 도구(programming and configuration tool)와 FactoryTalk View SE HMI(Human Machine Interface) software에 의해 설치된다. FTAE는 View SE HMI 시스템을 통해 알람과 이벤트의 일관된 뷰를 제공한다. 이 제품은 전세계 주요 산업기반시설, 엔터테인먼트, 자동차, 식품, 음료, 식수, 상하수도과 같은 분야에서 사용된다. 보안 취약점은 이름이 알려지지 않은 회사에 의해 Rockwell Automation에게 제보되었고, 취약점 번호 CVE-2017-14022가 부여되었다. 이 취약점은 인증받지 않은 사용자가 원격으로 조작된 패킷을 TCP 403포트로 보내 이 제품의 이력 보관 서비스(history archiver service)가 멈추게(stall) 하거나 종료되게(terminate) 할 수 있다.

Detailed News List

  • Rockwell Automation
    • [SecurityWeek]
      Rockwell Automation Patches Serious Flaw in FactoryTalk Product

 

Crypto Currencies/Crypto Mining

Summaries

  • 비트코인 가격이 계속적으로 치솟음에 따라, 점점 더 많은 사이버 범죄자들이 유명 암호화폐를 거리해는 사람들을 대상으로 눈길을 돌리고 있다. 가장 최근의 비트코인 사용자 그룹을 특정한 악성코드 배포 방식이 Fortinet 연구가들에 의해 밝혀졌다. 이메일을 통해, Gunthy가 개발한 새로운 비트코인 거래 봇인 Gunbot을 무료로 사용해 보라는 홍보내용이 전달된다. 이 이메일은 VB 스크립트를 첨부하고 있는데, 이 스크립트는 실행되면 JPEG 이미지처럼 보이는 파일을 다운로드 한다. 이 파일은 실제로는 PE 바이너리로, 최종적으로는 수많은 실행파일들을 내려받아 시스템에 설치한다. 이 파일들 중 하나는 악성코드가 시스템이 리부팅 되어도 실행될 수 있게 하며, 다른 하나는 Orcus RAT 서버가 설치된다.
  • 가장 큰 암호화폐 채굴 시장인 나이스해시(NiceHash)가 해킹사실을 인정했다. 나이스캐시는 다른사람의 컴퓨팅 파워를 구매하거나, 유사 비트코인들(altcoins)을 채굴하고 비트코인으로 지불받을 수 있는 암호화폐 채굴 시장이다. 나이스해시(NiceHash)는 해킹으로 전체 비트코인 지갑을 잃게 되었다고 발표했다. 나이스해시는 수요일 정오에 성명을 발표했는데 NiceHash 웹 사이트에 보안 침해가 있었으며, 지불 시스템이 완전히 침해당해 나이스해시의 비트코인 지갑을 도둑맞았다고 발표했다. 나이스해시가 정확한 금액을 밝히지는 않았지만, 추정되는 금액은 약 6천만 달러에 달할 것으로 보인다. (8일에서 이어짐)

Detailed News List

  • Fake trading bot
    • [HelpNetSecurity]
      Bitcoin traders beware: Fake trading bot offer delivers RAT
    • [SecurityWeek]
      Orcus RAT Campaign Targets Bitcoin Investors
  • NiceHash
    • [HackersOnlineClub]
      Bitcoin Mining Company Confirms Approx 70 Million Dollar Hack

 

Posted in Security, Security NewsTagged #OpIsrael, #OpUSA, Accessibility Service, Anonymous, Blind Ransomware, Conficker, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, CVE-2017-11882, CVE-2017-13156, CVE-2017-14022, CVE-2017-3737, CVE-2017-3738, Cyber Espionage, Data Breach, Denial of Service, DoS, HiddenLotus, HMI, Human Machine Interface, ICS, Industrial Control System, Information Leakage, Infrastructure, Internet of Things, IoT, Keylogger, MailSploit, Napoleon Ransomware, OpenSSL, Orcus RAT, Patches, Scarab Ransomware, StrongPity, StrongPity2, VulnerabilityLeave a comment

Security Newsletters, Nov 4th, 2017

Posted on 2017-11-04 - 2017-11-04 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Intelligence

Summaries

  • Zeus Panda 뱅킹 트로이 유포를 위해 검색엔진 최적화(Search Engine Optimization)를 통해 구글 검색 결과를 오염시키는 작업이 진행중이다. 공격자들이 특정 키워드에 대한 검색 결과중 뱅킹 악성코드 문서에 대한 링크를 포함하는 웹 문서를 검색결과 상위에 표시하기 위해 SEO를 조작하고 있다. SEO는 해커들이 만든 링크를 검색 결과에서 돋보이게 할 수 있다. 이번과 같은 경우에는 은행 및 금융관련 키워드 검색결과로 한정지을 수 있기 때문에, 그들이 공격하고자 하는 대상자들로 그 범위를 좁혀 효과적으로 대상자들에게서 정보를 훔쳐낼 수 있다.
  • 미 사법부가 2016년 대선 경쟁 과정에서의 DNC(Democratic National Committee) 시스템에 대한 해킹과 정보 유출에 있어서 최소 6명의 러시아 정부 구성원이 관련되 있다는 증거를 모은것으로 드러났다. DNC는 작년에 해킹당해서 개인정보를 포함하여 힐러리 클린턴 선대본부장인 존 포데스타(John Podesta)의 민감한 이메일 등 수천건의 이메일을 도둑맞았다. DNC 해킹에 사용된 도구 및 기법들은 Fancy Bear 또는 APT28, Sofacy, Sednit, Pawn Storm이라고 알려진, 러시아 군사 첩보기관이 배후에 있다 믿어지는 해킹그룹과 관련되어 있다.
  • 러시아의 Fancy Bear 해커들이 피싱을 위해 블로그스팟(Blogspot)을 악용하고 있다. Fancy Bear 또는 Pawn Storm, APT28, Sofacy, Sednit, Strontium, Tsar Team이라고 알려진 해킹 그룹이 최근 Bellingcat을 대상으로 한 공격에서는 Gmail 비밀번호를 바꾸라거나 Dropbox 공유폴더 초대로 유도하는 가짜 이메일이 있다. 이메일에 포함된 버튼에는 임의로 생성된 블로그스팟 서브도메인의 피싱페이지로 연결되어 있다. 구글에서 제공하는 서비스의 URL 때문에 URL기반의 스팸필터에서 무사통과하기 쉽다는 것이 ThreatConnect 분석가들의 의견이다.
  • Bad Rabbit 공격 동안에 우크라이나가 강력하지만 아주 조용한 피싱 공격에 당했다고 발표했다. Bad Rabbit 공격이 이어지는 동안 오데사(Odessa) 공항의 비행이 지연되고 Kiev metro의 전자지불이 안되는 등의 장애가 있었다. Serhiy Demedyuk은 이러한 공격이 벌어지는 동안 금융 및 기밀정보를 노리는 여러건의 조용하지만 강력한 공격을 반복적으로 탐지했다고 말했다. 이같은 발견은 지난 공격에서 사고들은 러시아에 있었지만 주 공격대상은 우크라이나 라는 것을 의미한다.

Detailed News list

  • Zeus Panda
    • [DarkReading] Hackers Poison Google Search Results to Deliver Zeus Panda
    • [SecurityWeek] Poisoned Google Search Results Lead to Banking Trojan
  • DNC Hack
    • [theHackerNews] US Identifies 6 Russian Government Officials Involved In DNC Hack
    • [InfosecurityMagazine] US Investigators Identify Russian State DNC Hackers
  • Fancy Bear & Blogspot
    • [SecurityWeek] Russian ‘Fancy Bear’ Hackers Abuse Blogspot for Phishing
  • Bad Rabbit
    • [Reuters] Exclusive: Ukraine hit by stealthier phishing attacks during BadRabbit strike

 

Deep Web/DarkNet/Onion

Summaries

  • 토르 프로젝트(Tor project)의 기반 구조에 큰 업데이트가 있었다. 토르 프로젝트가 신규버젼인 0.3.2.1-alpha를 릴리즈 하면서, 새로운 onion 서비스에 대한 지원이 포함된 것이다. 여기에는 새로운 암호화 알고리즘과 웹서비스에 대한 전반적인 인증기능 향상이 포함된다. 이번 알파 릴리즈에서는 익명성을 줄어들게 만들 수 있는, 최근 발견된 보안 이슈에 대한 해결책도 포함되었다.

Detailed News List

  • TOR 0.3.2.1-alpha
    • [theHackerNews] The Tor Project to Beef Up Privacy with Next-Generation of Onion Services

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 애플 기기가 iOS의 보안업데이트 iOS 11.1을 발표한지 몇시간만에 다시 해킹되었다. Trend Micro의 모바일 Pwn2Own 2017 대회에서 최신 iOS 버젼으로 업데이트 된 iPhone 7이 해킹되었다. 이 해킹을 성공한 팀에서는 Safari 브라우저에 대한 공격도 성공했다. 물론 이 대회에서는 삼성 갤럭시 및 다른 스마트폰에 대한 해킹도 성공했다. (11월 1일, 2일 뉴스 참조) MWR Labs의 연구원들은 삼성의 플래그십 장비에서 6개의 다른 모바일 어플리케이션에 걸쳐 코드를 실행하기 위해 11개의 취약점을 사용해 공격에 성공했다.
  • 다양한 제조사에서 사용하는 Savitech의 오디오 드라이버가 루트 인증서를 설치하는 것이 확인되었다. Savitech은 SaviAudio라는 루트 인증서를 오래된 Windows XP 운영체제 지원을 위해 설치하며, 최근 릴리즈된 드라이버에서는 인증서를 설치하지 않는다. RSA의 Kent Backman에 따르면, 자기서명된(self-signed) 루트 인증서가 Savitech의 패키지에 의해서 몰래 2013년부터 2017년까지 설치되었다. Savitech의 개인키(Private key)가 유출될 경우 악성코드의 서명에 사용되거나, 네트워크 트래픽의 복호화, 중간자(MITM, Man-in-the-Middle)공격 등에 사용될 수 있는 취약한 부분이라는 것이 그의 설명이다. 레노보가 노트북에 자신들의 인증서를 설치해 제품을 팔았었고 개인키가 유출되는 사고가 있었다.
  • 잘못 설정된 아마존 S3 Bucket이 MITM 공격에 영향을 받을 수 있다는 연구결과가 나왔다. Skyhigh Networks의 연구자들은 GhostWriter라는 공격에 의해 쓰기권한이 공개되어있는 잘못 설정된 아마존 S3 bucket이 악성 제 3자에 의해 MitM 공격에 영향을 받을 수 있다고 밝혔다. Skyhigh 에서는 수천개의 bucket들이 잘못 설정되어 공격 받을 수 있다고 한다.

Detailed News List

  • Pwn2Own
    • [InfosecurityMagazine] Apple Red-Faced After iOS 11.1 is Hacked
    • [ThreatPost] CHAIN OF 11 BUGS TAKES DOWN GALAXY S8 AT MOBILE PWN2OWN
  • Savitech Audio Driver
    • [SecurityWeek] Savitech Audio Drivers Caught Installing Root Certificate
    • [BleepingComputer] Popular USB Audio Driver Ships With Root Certificate, Big Security No-No
  • GhostWriter
    • [eSecurityPlanet] GhostWriter AWS Issue Impacts Thousands of Amazon S3 Buckets
    • [Skyhigh] Skyhigh Discovers GhostWriter: MITM Exposure In Cloud Storage Services

 

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

  • 트럼프의 트위터 계정이 비활성화(Deactivation) 되는 일이 벌어졌다. 트위터에서의 마지막 근무일이었던 누군가가 도널드 트럼프의 개인 계정(realDonaldTrump)에 접근해 계정을 비활성화 시켜 버렸다. 그래서 해당 계정 피드에 접근하면 해당 페이지를 찾을 수 없다는 메시지가 나왔으며, 계정 비활성화는 저녁 6:45에서 7시 사이에 벌어진 일인 것으로 보인다. 트위터는 이 사건에 대해 직원에 의한 인적오류(Human error)로 벌어진 일이며, 11분 동안 사용불가 상태에 있었지만 복구되었다고 밝혔다.
  • 뉴욕주의 검찰총장인 에릭 T.슈나이더맨이 최근의 Equifax 사고와 같이 8백만명의 뉴욕주 거주자들을 포함한 1억4천5백만명의 미국인들과 뉴욕시민들을 기업들의 데이터사고로부터 보호하기 위한 새로운 법안을 목요일에 소개했다. 기업친화적인 방식으로, 개인정보에 대한 보호를 강화하는 것을 목적으로 하는 법안이다. 해킹 방지 및 전자 데이터 보안 개선법(SHIELD, Stop Hacks and Improve Electronic Data Security Act)로 불리는 이 법은, 슈나이더맨에 의해 계획 법안으로 소개되었고 상원의원 David Calucci와 하원의원 Brian Kavanagh의 후원을 받았다.

Detailed News List

  • Trump
    • [InfosecurityMagazine] Trump’s Twitter Deactivation: Security Questions Arise
    • [Motherboard] Someone at Twitter ‘Inadvertently’ Deactivated Donald Trump’s Account for 11 Minutes
  • New York SHIELD Act
    • [SecurityWeek] New York State Proposes Stricter Data Protection Laws Post Equifax

 

Security Breaches/Info Leakages

Summaries

  • 5만명의 호주 직원 개인정보가 유출당했다. 보고에 따르면 정부 기관, 은행, 공공시설에서 일하는 48,270명 직원의 개인정보가 아마존 S3 bucket의 설정실수로 인해 온라인에 공개되었다. 공개된 파일에는 실명, 비밀번호, 아이디, 전화번호, 이메일 주소, 신용카드 번호, 소득정보가 포함되어 있었다.
  • 말레이시아가 전국민이 영향을 받을 수 있는 규모의 개인정보 유출에 시달리고 있다. 4,600만명의 휴대전화 가입자 정보가 다크웹에서 발견되었고, 그곳에 거주하는 외국인의 정보도 포함되었을 것으로 보인다. 대상 통신사업자는 Altel, Celcom, DiGi, Enabling Asia, Friendimobile, Maxis, MerchantTradeAsia, PLDT, RedTone, TuneTalk, Umobile, XOX다. 유출된 정보에는 사용자 이름, 주소, 전화번호, 심카드번호, IMSI번호, ID카드 번호다. 이 외에도 고용사이트인 jobstreet.com과 여러 정부 웹사이트의 데이터도 함께 발견되면서 상황은 악화되는 것으로 보인다.

Detailed News List

  • Australians Exposed
    • [InfosecurityMagazine] 50K Australians Exposed in Server Misconfig Snafu
  • Malaysian Data Breach
    • [InfosecurityMagazine] Malaysian Data Breach Could Affect Entire Population

 

Industrial/Infrastructure/Physical System/HVAC

Summaries

  • 미 상원의원인 마틴 하인리히(Martin Heinrich)와 수잔 콜린스(Susan Collins)가 초당파적인 법안을 제안했다. 이 법안에서는 국토안보부(the Department of Homeland Security, DHS)가 DefCon의 Voting Machine Hacking Village와 같은 대회를 후원하는데 힘을 실어주게 되어있다. 물론 이번 여름의 DefCon VMMV에서는 화이트햇 해커들이 투표기계의 소프트웨어에서 수많은 취약점을 찾아냈다.
  • 러시아에 관련된 해커들이 터키의 주요 사회기반시설을 노리고 있다. Energetic Bear 또는 Dragonfly, Crouching Yeti라 불리는 해킹그룹은 2010년 부터 활동해왔으며, 미국과 유럽의 에너지 영역을 주 대상으로 삼아왔다. 그러나 최근 RiskIQ의 발표에 따르면, 이 그룹이 터키의 주요 사회기반시설에 관련된 사람들을 대상으로 워터링홀(Watering hole) 공격을 하기 위해 터키 에너지 기업에 속한 웹사이트들에 대한 공급체인공격(Supply chain attack)을 하고 있다고 한다.
  • ICS에서 좋은 의도를 가지고 진행한 취약점 진단이 정확한 예측과 확인없이 어떤 재앙을 불러 일으킬 수 있는지를 짧게 잘 표현한 글이 올라왔다. 변전소의 취약점 스캔을 진행하던 중 SCADA가 인지하지 못하는 상황에서 릴레이들이 오작동을 시작한 것. 수백개의 릴레이가 영향을 받았고 장비를 재부팅해야 하는 상황이 필요했다고 한다.

Detailed News List

  • Voting System
    • [NakedSecurity] Senators act to SAVE voting machines
  • Russia-Turkey
    • [SecurityWeek] Russia-Linked Hackers Target Turkish Critical Infrastructure
  • An almost catastrophic failure by good guys
    • [Control] Are the Good Guys as Dangerous as the Bad Guys – an Almost Catastrophic Failure of the Transmission Grid

 

Patches/Updates

Summaries

  • 대만에 위치한 어드벤텍(Advantech)이 자사 제품인 WebAccess의 원격 코드 실행 취약점을 패치했다. 어드벤텍 WebAccess는 브라우저 기반의 인간-기계 인터페이스(Human-Machine Interface, HMI) 및 감독관리 및 데이터수집 시스템(supervisory control and data acquisition system, SCADA system)을 위한 소프트웨어 패키지다. ICS-CERT에 따르면, 8.2_20170817 이전의 WebAccess 버젼은 스택오버플로우 취약점(CVE-2017-14016)과 신뢰할 수 없는 포인터 역참조(CVE-2017-12719)에 영향을 받는다.

Detailed News List

  • Advantech
    • [SecurityWeek] Advantech Patches Code Execution Flaws in SCADA Product

 

 

Technologies/Technical Documents/Reports

Summaries

  • 2017년 한 해 동안, 해커들은 새로운 랜섬웨어 유포 방식을 만들어내 WannaCry, NotPetya 그리고 가장 최근의 Bad Rabbit과 같은 악성코드를 유포했다. Sophos가 작성한 2018년 악성코드 예측 보고서에 따르면 이러한 경향이 내년에도 계속 이어질 것으로 보인다.

Detailed News List

  • 2018년 악성코드 예측 보고서
    • [NakedSecurity] 2018 Malware Forecast: learning from the long summer of ransomware

 

Privacy

Summaries

  • 에스토니아가 칩 오류로 인한 신분도용을 막기 위해서, 약 760,000에게 발행된 전자ID카드를 정지시킬 것이라 발표했다. E-stonia라고도 불리는 에스토니아는 약 1,300만명에게 전자ID카드를 발행해 e-government 포털에서 공공서비스에 대한 온라인 접근을 할 수 있게 했다. 그러나 최근 보안전문가들이 이 카드에 내장된 스위스산 칩에서 취약점을 발견했다. 총리 Juri Ratas는 이에대해 e-state는 신뢰를 기반으로 기능하기 때문에 에스토니아 ID카드의 신용도용 가능성을 두고볼 수 없다며 카드 주인이 취약점 패치를 위한 업데이트를 다운로드 하기 전 까지 카드의 보안인증서를 정지시키겠다는 결정을 발표했다.

Detailed News List

  • Estonia Electronic ID Cards
    • [SecurityWeek] Estonia Blocks Electronic ID Cards Over Identity-Theft Risk

 

Crypto Currencies

Summaries

  • CryptoShuffler 트로이가 유명 암호화폐 지갑을 훔치고 있다. 카스퍼스키랩(Kaspersky Lab)에 따르면 Dash, Monero, Ethereum, Bitcoin, Zcash 등을 대상으로하는 CryptoShuffler 악성코드와 해커가 약 150,000 달러 가량의 비트코인을 훔친 것으로 보인다. 클립보드에 복사되는 지갑주소를 공격자의 것으로 바꿔치기 해 코인을 송금해야 할 대상을 공격자로 바꾸는 방식이다. 단순하지만 매우 효과적인 방법이다.

Detailed News List

  • CryptoShuffler
    • [HackRead] Hackers Stole $150,000 from Cryptocurrency Wallets Using CryptoShuffler Trojan

 

Internet of Things

Summaries

  • –

Detailed News List

  • –

 

Social Engineering

Summaries

  • –

Detailed News List

  • –
Posted in Security, Security NewsTagged APT28, Bad Rabbit, Crouching Yeti, CryptoShuffler, CVE-2017-12719, CVE-2017-14016, Cyber Espionage, DarkNet, Data Breach, Deep web, DNC Hacking, Dragonfly, Energetic Bear, Fancy Bear, HMI, ICS, Industrial Control System, Malware, MITM, Patches, Pawn Storm, Privacy, SCADA, Sednit, Self-signed certificate, SEO Poisoning, Sofacy, Strontium, Supply chain attack, Tor project, Tsar Team, Voting Machine, Vulnerability, Watering hole, Zeus PandaLeave a comment

Search

Recent Posts

  • Exploit PoC for CVE-2023-20887 VMWare Aria Operations for Networks
  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外

Categories

  • Diet (7)
  • Exploit (1)
  • Flaw (2)
  • Hacking (1)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2023년 6월 (1)
  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.