Caution
This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
- 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.
Newsletters
Malwares
Summaries
- 악성코드 제작자들이 멜트다운/스펙터(Meltdown/Spectre) 취약점 사용을 시험중에 있다는 기사가 나왔다. 독일의 안티바이러스 테스트 기업인 AV-Test에서 Meltdown/Spectre CPU bugs를 공격하는 것으로 보이는 악성코드 샘플을 139개 식별해냈다. AV-Test는 트위터를 통해 최근 공개된 CPU 취약점인 CVE-2017-5715, CVE-2017-5753, CVE-2017-5754와 관련된 것으로 보이는 샘플을 139개 확인했다고 밝혔다. AV-Test는 최초로 브라우저를 공격하기 위한 자바스크립트 버젼의 개념증명(PoC) 공격을 찾았다고 밝혔다. 대부분의 악성코드 샘플은 온라인에 공개된 PoC들이다. AV-Test가 수집하는 샘플들의 수가 1월 7일 최초 발견된 이후 지속적으로 증가하고 있으며, 1월 21일을 기점으로 그 수가 100개를 넘어섰다. 1월 말 기준으로 139개의 샘플이 수집되었다.
Detailed News List
- Meltdown/Spectre Malware
- [ZDNet]
Meltdown-Spectre: Malware is already being tested by attackers - [TheHackerNews]
Meltdown/Specter-based Malware Coming Soon to Devices Near You, Are You Ready? - [EHackingNews]
Researchers discover Malware Samples Designed to Exploit CPU Vulnerabilities - [SecurityAffairs]
Malware exploiting Spectre and Meltdown flaws are currently based on available PoC
- [ZDNet]
Exploits/Vulnerabilities
Summaries
- 대한민국 사용자들을 노린 공격에서 플래시(Flash)의 제로데이 익스플로잇이 확인되었다. KISA에 따르면, 최신의 플래시 플레이어 28.0.0.137과 그 이전버젼을 공격 대상으로 삼는 북한 해커들의 플래시 제로데이 취약점 공격이 확인되었다. 이 제로데이 취약점은 문서파일이나, 웹페이지, 플래시 파일을 포함한 이메일을 여는 것으로 공격당할 수 있다. 2017년 11월 중순부터 이러한 공격이 이어졌다.
- Oracle Micros의 PoS(Point-of-Sale)에서 기업의 전체 비즈니스 데이터를 침해하고 다운로드받을 수 있는 취약점이 발견되었다. 이 취약점은 인증받지 않은 원격의 공격자가 PoS 서버의 데이터베이스를 읽고 쓸수 있는 접근권한을 획득할 수 있게한다. Oracle은 이 취약점이 이달 초의 분기(Quarterly) 패치 스케쥴에서 패치되었다고 밝혔다. (31일에서 이어짐)
Detailed News List
- Flash Zero-Day Exploit
- [DarkReading]
Adobe to Patch Flash Zero-Day Discovered in South Korean Attacks - [SecurityAffairs]
South Korea Warns of Flash Zero-Day flaw exploited by North Korea in surgical attacks - [TheRegister]
Nork hackers exploit Flash bug to pwn South Koreans. And Adobe will deal with it next week - [ThreatPost]
Adobe Flash Player Zero-Day Spotted in the Wild - [SecurityWeek]
South Korea Warns of Flash Zero-Day Exploited by North Korea
- [DarkReading]
- Oracle PoS
- [EHackingNews]
Security Flaw in Oracle POS systems discovered - [ThreatPost]
Oracle MICROS POS Vulnerability Puts 300,000 Systems at Risk
- [EHackingNews]
Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS
Summaries
- 지멘스(Siemens)에서 플랜트 관리 제품의 취약점 패치를 릴리즈했다. 지멘스에서 TeleControl Basic 제품이 다수의 취약점에 영향을 받으며, 공격자가 권한 상승 및 인증 우회, 서비스거부(DoS, Denial-of-Service) 공격이 가능하다고 밝혔다. 지멘스의 TeleControl Basic은 플랜트 공정을 모니터하고 관리할 수 있는 시스템이다. 이 제품은 수처리(water trreatment), 트래픽 모니터링, 에너지 분배 등의 시설들의 운영을 최적화 하는데 사용되기도 한다. TeleControl Server Basic은 TeleControl Basic control center에 사용되는 소프트웨어다. Siemens에 따르면 TeleControl Server Basic 시스템은 세가지 취약점이 존재한다. 첫번째 취약점인 CVE-2018-4836은 가장 심각한 취약점이다. 낮은 권한의 공격자가 TCP 포트 8000을 통해 권한상승이 가능하고 관리 작업(administrative tasks)를 실행할 수 있다. 나머지 취약점은 CVE-2018-4835, CVE-2018-4837 이다.
Detailed News List
- Siemens
Crypto Currencies/Crypto Mining
Summaries
- 모네로(Monero) 암호화폐를 채굴하는 Smominru 봇넷이 해커에게 360만 달러를 벌어주었다는 리포트가 나왔다. Proofpoint의 연구에 따르면, Smominru라는 이름의 모네로 채굴 봇넷이 감염된 기기들에서 몰래 모네로 코인을 채굴해 봇넷을 운영하는 해커에게 수백만 달러를 벌어주었다. 봇넷 운영자는 8,900 모네로 코인을 채굴했으며, 이는 360만 달러 규모로, 주당 24모네로(8500달러)를 번 셈이다. 연구가들은 Smominru 봇넷이 확산되는 것을 2017년 5월에 확인했다. 현재는 윈도우즈 호스트를 526,000대 이상의 감염시켰으며, Smominru 봇넷은 NSA에서 개발하고 Shadow brokers 해킹그룹이 유출한 EternalBlue 익스플로잇을 사용한다. 이 봇넷의 C&C 인프라는 SharkTech라는 호스팅 및 DDoS 보호 서비스를 이용하고있다. SharkTech에서는 이에 대하여 아무런 반응도 내놓지 않았다. (1일에서 이어짐)
Detailed News List
- Smominru / WannaMine
- [PandaSecurity]
WannaMine – new cryptocurrency malware exposes failings of traditional anti-virus tools - [SecurityWeek]
WannaMine Malware Spreads via NSA-Linked Exploit - [SecurityAffairs]
WannaMine, the sophisticated crypto miner that spreads via NSA EternalBlue exploit - [ThreatPost]
Massive Smominru Cryptocurrency Botnet Rakes In Millions - [TripWire]
Smominru! Half a million PCs hit by cryptomining botnet - [ZDNet]
A giant botnet is forcing Windows servers to mine cryptocurrency - [SecurityAffairs]
Mining Smominru botnet used NSA exploit to infect more than 526,000 systems - [TheHackerNews]
Cryptocurrency Mining Malware Infected Over Half-Million PCs Using NSA Exploit - [InfoSecurityMagazine]
Cisco: Crypto-Mining Botnets Could Make $100m Annually
- [PandaSecurity]