Caution
This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
- 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.
Newsletters
Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors
Summaries
- APT 그룹 Iron Tiger가 활동을 재개했다. 이번에는 Operation PZChao으로 불리는 아시아와 미국의 정부기관, 기술, 교육 및 통신 기관들을 공격 대상으로 한다. 비트디펜더(Bitdefender)의 악성코드 분석가들이 비밀번호를 훔치면서 한편으로는 암호화폐를 채굴하는 백도어와 그 악성코드의 몇달간의 활동을 탐지했다. 이 캠페인은 PZChao로 명명되었으며, 아이아와 미국의 정부기관 및 기술, 교육, 통신 기관들을 대상으로 한다.
- 맥아피(McAfee)가 공격대상에서의 지속적인 데이터 유출을 위해 제작된 악성코드들을 추가로 발견했다고 리포트에서 밝혔다. 맥아피는 최근에 평창올림픽과 관계된 파일리스(fileless) 공격에 대해 리포트를 공개한 바 있다. 이 악성코드들은 코드내에서 발견된 문자열에 따라서 GoldDragon, Brave Prince, Ghost419, Running Rat등으로 명명되었다.
Detailed News list
- Iron Tiger
- Gold Dragon
Malwares
Summaries
- Radware의 연구가들이 Satori와 관련된 새로운 봇넷을 탐지했다. 이 봇넷은 Grand Theft Auto 비디오게임 커뮤니티를 이용해 IoT 장치들을 감염시키고 있다. Satori는 Mirai에서 파생된 봇넷이다. Radware의 조사 결과, C&C(Command-and-control)서버가 San Calvicie라는 Grand Theft Auto:San Andreas의 멀티플레이어 mod 뿐만 아니라 DDoS 공격을 유료로 제공하는 사이트에서 호스팅 되는 것을 확인했다.
- 악성코드 제작자들이 멜트다운/스펙터(Meltdown/Spectre) 취약점 사용을 시험중에 있다는 기사가 나왔다. 독일의 안티바이러스 테스트 기업인 AV-Test에서 Meltdown/Spectre CPU bugs를 공격하는 것으로 보이는 악성코드 샘플을 139개 식별해냈다. AV-Test는 트위터를 통해 최근 공개된 CPU 취약점인 CVE-2017-5715, CVE-2017-5753, CVE-2017-5754와 관련된 것으로 보이는 샘플을 139개 확인했다고 밝혔다. AV-Test는 최초로 브라우저를 공격하기 위한 자바스크립트 버젼의 개념증명(PoC) 공격을 찾았다고 밝혔다. 대부분의 악성코드 샘플은 온라인에 공개된 PoC들이다. AV-Test가 수집하는 샘플들의 수가 1월 7일 최초 발견된 이후 지속적으로 증가하고 있으며, 1월 21일을 기점으로 그 수가 100개를 넘어섰다. 1월 말 기준으로 139개의 샘플이 수집되었다. (2일에서 이어짐)
Detailed News List
- JenX Botnet
- [ThreatPost]
JenX Botnet Has Grand Theft Auto Hook - [InfoSecurityMagazine]
JenX Botnet Emerges to Target IoT Devices and Grand Theft Auto - [SecurityWeek]
New Botnet Is Recruiting IoT Devices
- [ThreatPost]
- Meltdown/Spectre Malware
Exploits/Vulnerabilities
Summaries
- 대한민국 사용자들을 노린 공격에서 플래시(Flash)의 제로데이 익스플로잇이 확인되었다. KISA에 따르면, 최신의 플래시 플레이어 28.0.0.137과 그 이전버젼을 공격 대상으로 삼는 북한 해커들의 플래시 제로데이 취약점 공격이 확인되었다. 이 제로데이 취약점은 문서파일이나, 웹페이지, 플래시 파일을 포함한 이메일을 여는 것으로 공격당할 수 있다. 2017년 11월 중순부터 이러한 공격이 이어졌다. (2일에서 이어짐)
Detailed News List
- Flash Zeo-Day Exploit
- [NakedSecurity]
Adobe warns of Flash zero-day, patch to come next week - [CiscoTalos]
Flash 0 Day In The Wild: Group 123 At The Controls - [KrebsOnSecurity]
Attackers Exploiting Unpatched Flaw in Flash - [TheHackerNews]
(Unpatched) Adobe Flash Player Zero-Day Exploit Spotted in the Wild
- [NakedSecurity]
Legislation/Politics/Policies/Regulations/Law Enforcement/Trials
Summaries
- 일본에서 10대 소년이 세계 최초의 일본 암호화폐인 MonaCoin을 훔치는 악성코드를 제작한 혐의로 체포되었다. 5억 3400만 달러 규모의 사상 최대 가상화폐 거래소 해킹이 발생한 며칠 뒤의 일이다. 2018년 1월 30일, 일본 경찰은 암호화폐 이체를 위해 필요한 개인키(private key)를 훔치는 악성코드를 제작한 혐의로 17세 소년을 체포했다. 이 10대소년은 Osaka의 Kaizuka 시의 고등학교 3학년생이다. 지역신문에 따르면, 이름이 알려지지 않은 이 십대 학생은 암호화폐 시장을 실시간으로 확인할 수 있는 앱으로 위장한, 실제로는 MonaCoin 지갑의 비밀번호를 훔치는 악성앱을 만들었다. 악성코드 제작으로 십대가 체포된 일은 이번이 처음이 아니며, 2017년 6월에 14세의 소년이 랜섬웨어를 제작한 혐의로 체포되었고, 2017년 9월에는 13세 소년이 스마트폰을 공격하는 악성코드를 판매한 혐의로 체포된 바 있다.
Detailed News List
- Japanese
Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS
Summaries
- 수백종류의 PLC(Programmable Logic Controller)와 HMI(Human-Machine Interface)에서 사용되는 웹서버 컴포넌트에서 취약점이 발견되었다. 보안연구가가 치명적인 스택기반 버퍼오버플로우 취약점을 3S(Smart Software Solutions) CODESYS WebVisu의 웹서버 컴포넌트에서 찾아냈다. 이 취약점은 CVE-2018-5440으로 CVSS 점수 9.8의 높은 점수를 받았다. WebVisu 제품은 현재 다수 제조사들의 116개의 PLC 및 HMI에 사용되고 있다. 여기에는 Schneider Electric, Hitachi, Advantech, Berghof Automation, Hans Turck, NEXCOM 등이 포함된다. 공격자는 원격으로 이 취약점을 공격해 서비스거부(DoS) 상태를 일으키거나, 특정 상황에서는 임의의 코드를 웹서버에서 실행시킬 수 있다.
Detailed News List
- ICS WebServer
Crypto Currencies/Crypto Mining
Summaries
- MacUpdate 해킹을 통해 유포되는 새로운 맥OS의 암호화폐 채굴 악성코드가 확인되었다.
- 세계에서 두번째로 큰 규모의 봇넷이 Redis 및 OrientDB 서버들을 공격하고 있다. 모네로 악성코드를 채굴하는 DDG Botnet이 Redis 및 OrientDB 서버를 공격하는 것이 확인되었다. Qihoo 360의 연구가들에 따르면, DDG 봇넷은 2016년에 처음 탐지되었고 2017년 한해 동안 지속적으로 업데이트 되었다. 채굴 악성코드가 이미 약 4,400대에 달하는 서버를 감염시켰으며, 2017년 3월 이후로 $925,000 가량의 모네로 코인을 채굴헀다.
- NSA에 의해 개발되었다가 해킹그룹 Shadow Brokers에 의해 유출된 Eternal Blue 익스플로잇을 사용하는 WannaMine 악성코드가 지속적으로 퍼지고 있다. WannaMine은 2017년 10월에 PandaSecurity에 의해 처음 확인되었다. WannaMine은 파일리스(Fileless) 악성코드로, Mimikatz를 통해 획득한 인증정보를 사용해 확산된다.
Detailed News List
- MacUpdate
- [MalwarebytesLabs]
New Mac cryptominer distributed via a MacUpdate hack
- [MalwarebytesLabs]
- DDG
- [SecurityAffairs]
DDG, the second largest mining botnet targets Redis and OrientDB servers
- [SecurityAffairs]
- Monero Miner
- [HackRead]
Fileless WannaMine Cryptojacking Malware Using NSA Exploit - [SecurityWeek]
Crypto-Mining Botnet Ensnares 500,000 Windows Machines - [InfoSecurityMagazine]
Over 500,000 Windows Machines Infected with Monero Mining Software - [HackRead]
New Monero mining malware infected 500K PCs by using 2 NSA exploits
- [HackRead]