Security Newsletters, 2018 Feb 3rd, PLC/HMI 웹서버 컴포넌트 취약점 外

Posted on 2018-02-03 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

APT 그룹 Iron Tiger가 활동을 재개했다. 이번에는 Operation PZChao으로 불리는 아시아와 미국의 정부기관, 기술, 교육 및 통신 기관들을 공격 대상으로 한다. 비트디펜더^{(Bitdefender)}의 악성코드 분석가들이 비밀번호를 훔치면서 한편으로는 암호화폐를 채굴하는 백도어와 그 악성코드의 몇달간의 활동을 탐지했다. 이 캠페인은 PZChao로 명명되었으며, 아이아와 미국의 정부기관 및 기술, 교육, 통신 기관들을 대상으로 한다.
맥아피^(McAfee)가 공격대상에서의 지속적인 데이터 유출을 위해 제작된 악성코드들을 추가로 발견했다고 리포트에서 밝혔다. 맥아피는 최근에 평창올림픽과 관계된 파일리스^(fileless) 공격에 대해 리포트를 공개한 바 있다. 이 악성코드들은 코드내에서 발견된 문자열에 따라서 GoldDragon, Brave Prince, Ghost419, Running Rat등으로 명명되었다.

Detailed News list

Iron Tiger
- _{[SecurityAffairs]}
  Chinese Iron Tiger APT is back, a close look at the Operation PZChao
- _[ZDNet]
  Espionage malware snoops for passwords, mines bitcoin on the side
Gold Dragon
- _[McAfee]
  Gold Dragon Widens Olympics Malware Attacks, Gains Permanent Presence on Victims’ Systems

Malwares

Summaries

Radware의 연구가들이 Satori와 관련된 새로운 봇넷을 탐지했다. 이 봇넷은 Grand Theft Auto 비디오게임 커뮤니티를 이용해 IoT 장치들을 감염시키고 있다. Satori는 Mirai에서 파생된 봇넷이다. Radware의 조사 결과, C&C^{(Command-and-control)}서버가 San Calvicie라는 Grand Theft Auto:San Andreas의 멀티플레이어 mod 뿐만 아니라 DDoS 공격을 유료로 제공하는 사이트에서 호스팅 되는 것을 확인했다.
악성코드 제작자들이 멜트다운/스펙터^{(Meltdown/Spectre)} 취약점 사용을 시험중에 있다는 기사가 나왔다. 독일의 안티바이러스 테스트 기업인 AV-Test에서 Meltdown/Spectre CPU bugs를 공격하는 것으로 보이는 악성코드 샘플을 139개 식별해냈다. AV-Test는 트위터를 통해 최근 공개된 CPU 취약점인 ^{CVE-2017-5715, CVE-2017-5753, CVE-2017-5754}와 관련된 것으로 보이는 샘플을 139개 확인했다고 밝혔다. AV-Test는 최초로 브라우저를 공격하기 위한 자바스크립트 버젼의 개념증명^(PoC) 공격을 찾았다고 밝혔다. 대부분의 악성코드 샘플은 온라인에 공개된 PoC들이다. AV-Test가 수집하는 샘플들의 수가 1월 7일 최초 발견된 이후 지속적으로 증가하고 있으며, 1월 21일을 기점으로 그 수가 100개를 넘어섰다. 1월 말 기준으로 139개의 샘플이 수집되었다. (2일에서 이어짐)

Detailed News List

JenX Botnet
- _[ThreatPost]
  JenX Botnet Has Grand Theft Auto Hook
- _{[InfoSecurityMagazine]}
  JenX Botnet Emerges to Target IoT Devices and Grand Theft Auto
- _{[SecurityWeek]}
  New Botnet Is Recruiting IoT Devices
Meltdown/Spectre Malware
- _[HackRead]
  139 Malware Samples Identified that Exploit Meltdown & Spectre Flaws
- _{[VirusBulletin]}
  There is no evidence in-the-wild malware is using Meltdown or Spectre

Exploits/Vulnerabilities

Summaries

대한민국 사용자들을 노린 공격에서 플래시^(Flash)의 제로데이 익스플로잇이 확인되었다. KISA에 따르면, 최신의 플래시 플레이어 28.0.0.137과 그 이전버젼을 공격 대상으로 삼는 북한 해커들의 플래시 제로데이 취약점 공격이 확인되었다. 이 제로데이 취약점은 문서파일이나, 웹페이지, 플래시 파일을 포함한 이메일을 여는 것으로 공격당할 수 있다. 2017년 11월 중순부터 이러한 공격이 이어졌다. (2일에서 이어짐)

Detailed News List

Flash Zeo-Day Exploit
- _{[NakedSecurity]}
  Adobe warns of Flash zero-day, patch to come next week
- _[CiscoTalos]
  Flash 0 Day In The Wild: Group 123 At The Controls
- _{[KrebsOnSecurity]}
  Attackers Exploiting Unpatched Flaw in Flash
- _{[TheHackerNews]}
  (Unpatched) Adobe Flash Player Zero-Day Exploit Spotted in the Wild

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

일본에서 10대 소년이 세계 최초의 일본 암호화폐인 MonaCoin을 훔치는 악성코드를 제작한 혐의로 체포되었다. 5억 3400만 달러 규모의 사상 최대 가상화폐 거래소 해킹이 발생한 며칠 뒤의 일이다. 2018년 1월 30일, 일본 경찰은 암호화폐 이체를 위해 필요한 개인키^{(private key)}를 훔치는 악성코드를 제작한 혐의로 17세 소년을 체포했다. 이 10대소년은 Osaka의 Kaizuka 시의 고등학교 3학년생이다. 지역신문에 따르면, 이름이 알려지지 않은 이 십대 학생은 암호화폐 시장을 실시간으로 확인할 수 있는 앱으로 위장한, 실제로는 MonaCoin 지갑의 비밀번호를 훔치는 악성앱을 만들었다. 악성코드 제작으로 십대가 체포된 일은 이번이 처음이 아니며, 2017년 6월에 14세의 소년이 랜섬웨어를 제작한 혐의로 체포되었고, 2017년 9월에는 13세 소년이 스마트폰을 공격하는 악성코드를 판매한 혐의로 체포된 바 있다.

Detailed News List

Japanese
- _[HackRead]
  Japanese boy arrested for developing cryptocurrency stealing malware

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

수백종류의 PLC^{(Programmable Logic Controller)}와 HMI^{(Human-Machine Interface)}에서 사용되는 웹서버 컴포넌트에서 취약점이 발견되었다. 보안연구가가 치명적인 스택기반 버퍼오버플로우 취약점을 3S^{(Smart Software Solutions)} CODESYS WebVisu의 웹서버 컴포넌트에서 찾아냈다. 이 취약점은 CVE-2018-5440으로 CVSS 점수 9.8의 높은 점수를 받았다. WebVisu 제품은 현재 다수 제조사들의 116개의 PLC 및 HMI에 사용되고 있다. 여기에는 Schneider Electric, Hitachi, Advantech, Berghof Automation, Hans Turck, NEXCOM 등이 포함된다. 공격자는 원격으로 이 취약점을 공격해 서비스거부^(DoS) 상태를 일으키거나, 특정 상황에서는 임의의 코드를 웹서버에서 실행시킬 수 있다.

Detailed News List

ICS WebServer
- _{[SecurityAffairs]}
  Hundreds of ICS products affected by a critical flaw in CODESYS WebVisu
- _{[SecurityWeek]}
  Web Server Used in 100 ICS Products Affected by Critical Flaw
- _{[TheRegister]}
  Hey, you know what the internet needs? Yup, more industrial control systems for kids to hack

Crypto Currencies/Crypto Mining

Summaries

MacUpdate 해킹을 통해 유포되는 새로운 맥OS의 암호화폐 채굴 악성코드가 확인되었다.
세계에서 두번째로 큰 규모의 봇넷이 Redis 및 OrientDB 서버들을 공격하고 있다. 모네로 악성코드를 채굴하는 DDG Botnet이 Redis 및 OrientDB 서버를 공격하는 것이 확인되었다. Qihoo 360의 연구가들에 따르면, DDG 봇넷은 2016년에 처음 탐지되었고 2017년 한해 동안 지속적으로 업데이트 되었다. 채굴 악성코드가 이미 약 4,400대에 달하는 서버를 감염시켰으며, 2017년 3월 이후로 $925,000 가량의 모네로 코인을 채굴헀다.
NSA에 의해 개발되었다가 해킹그룹 Shadow Brokers에 의해 유출된 Eternal Blue 익스플로잇을 사용하는 WannaMine 악성코드가 지속적으로 퍼지고 있다. WannaMine은 2017년 10월에 PandaSecurity에 의해 처음 확인되었다. WannaMine은 파일리스^(Fileless) 악성코드로, Mimikatz를 통해 획득한 인증정보를 사용해 확산된다.

Detailed News List

MacUpdate
- _{[MalwarebytesLabs]}
  New Mac cryptominer distributed via a MacUpdate hack
DDG
- _{[SecurityAffairs]}
  DDG, the second largest mining botnet targets Redis and OrientDB servers
Monero Miner
- _[HackRead]
  Fileless WannaMine Cryptojacking Malware Using NSA Exploit
- _{[SecurityWeek]}
  Crypto-Mining Botnet Ensnares 500,000 Windows Machines
- _{[InfoSecurityMagazine]}
  Over 500,000 Windows Machines Infected with Monero Mining Software
- _[HackRead]
  New Monero mining malware infected 500K PCs by using 2 NSA exploits

Security Newsletters, 2018 Feb 2nd, 멜트다운/스펙터 악성코드 시험중 外

Posted on 2018-02-02 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Malwares

Summaries

악성코드 제작자들이 멜트다운/스펙터^{(Meltdown/Spectre)} 취약점 사용을 시험중에 있다는 기사가 나왔다. 독일의 안티바이러스 테스트 기업인 AV-Test에서 Meltdown/Spectre CPU bugs를 공격하는 것으로 보이는 악성코드 샘플을 139개 식별해냈다. AV-Test는 트위터를 통해 최근 공개된 CPU 취약점인 ^{CVE-2017-5715, CVE-2017-5753, CVE-2017-5754}와 관련된 것으로 보이는 샘플을 139개 확인했다고 밝혔다. AV-Test는 최초로 브라우저를 공격하기 위한 자바스크립트 버젼의 개념증명^(PoC) 공격을 찾았다고 밝혔다. 대부분의 악성코드 샘플은 온라인에 공개된 PoC들이다. AV-Test가 수집하는 샘플들의 수가 1월 7일 최초 발견된 이후 지속적으로 증가하고 있으며, 1월 21일을 기점으로 그 수가 100개를 넘어섰다. 1월 말 기준으로 139개의 샘플이 수집되었다.

Detailed News List

Meltdown/Spectre Malware
- _[ZDNet]
  Meltdown-Spectre: Malware is already being tested by attackers
- _{[TheHackerNews]}
  Meltdown/Specter-based Malware Coming Soon to Devices Near You, Are You Ready?
- _{[EHackingNews]}
  Researchers discover Malware Samples Designed to Exploit CPU Vulnerabilities
- _{[SecurityAffairs]}
  Malware exploiting Spectre and Meltdown flaws are currently based on available PoC

Exploits/Vulnerabilities

Summaries

대한민국 사용자들을 노린 공격에서 플래시^(Flash)의 제로데이 익스플로잇이 확인되었다. KISA에 따르면, 최신의 플래시 플레이어 28.0.0.137과 그 이전버젼을 공격 대상으로 삼는 북한 해커들의 플래시 제로데이 취약점 공격이 확인되었다. 이 제로데이 취약점은 문서파일이나, 웹페이지, 플래시 파일을 포함한 이메일을 여는 것으로 공격당할 수 있다. 2017년 11월 중순부터 이러한 공격이 이어졌다.
Oracle Micros의 PoS^{(Point-of-Sale)}에서 기업의 전체 비즈니스 데이터를 침해하고 다운로드받을 수 있는 취약점이 발견되었다. 이 취약점은 인증받지 않은 원격의 공격자가 PoS 서버의 데이터베이스를 읽고 쓸수 있는 접근권한을 획득할 수 있게한다. Oracle은 이 취약점이 이달 초의 분기^(Quarterly) 패치 스케쥴에서 패치되었다고 밝혔다. (31일에서 이어짐)

Detailed News List

Flash Zero-Day Exploit
- _{[DarkReading]}
  Adobe to Patch Flash Zero-Day Discovered in South Korean Attacks
- _{[SecurityAffairs]}
  South Korea Warns of Flash Zero-Day flaw exploited by North Korea in surgical attacks
- _{[TheRegister]}
  Nork hackers exploit Flash bug to pwn South Koreans. And Adobe will deal with it next week
- _[ThreatPost]
  Adobe Flash Player Zero-Day Spotted in the Wild
- _{[SecurityWeek]}
  South Korea Warns of Flash Zero-Day Exploited by North Korea
Oracle PoS
- _{[EHackingNews]}
  Security Flaw in Oracle POS systems discovered
- _[ThreatPost]
  Oracle MICROS POS Vulnerability Puts 300,000 Systems at Risk

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

지멘스^(Siemens)에서 플랜트 관리 제품의 취약점 패치를 릴리즈했다. 지멘스에서 TeleControl Basic 제품이 다수의 취약점에 영향을 받으며, 공격자가 권한 상승 및 인증 우회, 서비스거부^{(DoS, Denial-of-Service)} 공격이 가능하다고 밝혔다. 지멘스의 TeleControl Basic은 플랜트 공정을 모니터하고 관리할 수 있는 시스템이다. 이 제품은 수처리^{(water trreatment)}, 트래픽 모니터링, 에너지 분배 등의 시설들의 운영을 최적화 하는데 사용되기도 한다. TeleControl Server Basic은 TeleControl Basic control center에 사용되는 소프트웨어다. Siemens에 따르면 TeleControl Server Basic 시스템은 세가지 취약점이 존재한다. 첫번째 취약점인 CVE-2018-4836은 가장 심각한 취약점이다. 낮은 권한의 공격자가 TCP 포트 8000을 통해 권한상승이 가능하고 관리 작업^{(administrative tasks)}를 실행할 수 있다. 나머지 취약점은 CVE-2018-4835, CVE-2018-4837 이다.

Detailed News List

Siemens
- _{[SecurityWeek]}
  Siemens Patches Flaws in Plant Management Product
- _{[SecurityAffairs]}
  Siemens fixed three flaws in plant management product Siemens TeleControl Basic system

Crypto Currencies/Crypto Mining

Summaries

모네로^(Monero) 암호화폐를 채굴하는 Smominru 봇넷이 해커에게 360만 달러를 벌어주었다는 리포트가 나왔다. Proofpoint의 연구에 따르면, Smominru라는 이름의 모네로 채굴 봇넷이 감염된 기기들에서 몰래 모네로 코인을 채굴해 봇넷을 운영하는 해커에게 수백만 달러를 벌어주었다. 봇넷 운영자는 8,900 모네로 코인을 채굴했으며, 이는 360만 달러 규모로, 주당 24모네로(8500달러)를 번 셈이다. 연구가들은 Smominru 봇넷이 확산되는 것을 2017년 5월에 확인했다. 현재는 윈도우즈 호스트를 526,000대 이상의 감염시켰으며, Smominru 봇넷은 NSA에서 개발하고 Shadow brokers 해킹그룹이 유출한 EternalBlue 익스플로잇을 사용한다. 이 봇넷의 C&C 인프라는 SharkTech라는 호스팅 및 DDoS 보호 서비스를 이용하고있다. SharkTech에서는 이에 대하여 아무런 반응도 내놓지 않았다. (1일에서 이어짐)

Detailed News List

Smominru / WannaMine
- _{[PandaSecurity]}
  WannaMine – new cryptocurrency malware exposes failings of traditional anti-virus tools
- _{[SecurityWeek]}
  WannaMine Malware Spreads via NSA-Linked Exploit
- _{[SecurityAffairs]}
  WannaMine, the sophisticated crypto miner that spreads via NSA EternalBlue exploit
- _[ThreatPost]
  Massive Smominru Cryptocurrency Botnet Rakes In Millions
- _[TripWire]
  Smominru! Half a million PCs hit by cryptomining botnet
- _[ZDNet]
  A giant botnet is forcing Windows servers to mine cryptocurrency
- _{[SecurityAffairs]}
  Mining Smominru botnet used NSA exploit to infect more than 526,000 systems
- _{[TheHackerNews]}
  Cryptocurrency Mining Malware Infected Over Half-Million PCs Using NSA Exploit
- _{[InfoSecurityMagazine]}
  Cisco: Crypto-Mining Botnets Could Make $100m Annually

Security Newsletters, 2018 Jan 26th, Pwn2Own 상금 200만 달러 예정 外

Posted on 2018-01-26 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

세계 최대의 해운기업인 Maersk가 NotPetya 악성코드 감염으로 2017년에 심각한 피해를 본 것은 익히 잘 알려져 있다. 이번주 세계 경제 포럼에서 Maersk의 Jim Hagemann Snabe은 랜섬웨어 피해에 대해 자세히 설명했다. 그는 4,000대의 서버, 45,000대의 새로운 PC, 2,500개의 어플리케이션을 재설치했다고 설명했다. 그리고 이러한 작업이 열흘간의 엄청난 노력끝에 마무리될 수 있었다고 말했다.
트렌드마이크로^(TrendMicro)에서 라자러스^(Lazarus) 그룹과 이 그룹이 공격에 사용하는 여러 도구중 하나인 RATANKBA라는 악성코드, 그리고 서버들에 대한 분석 기사를 공개했다. (25일에서 이어짐)
Dridex 뱅킹 트로이의 새로운 변종이 FTP 서버를 이용해 확산중이다. 공격자는 침해당한 FTP사이트를 사용해 악성문서를 호스팅한다. 이번에 탐지된 피싱 캠페인은 이번주 초 발생해 약 7시간정도 지속되었다. 이 공격의 주 공격 목표는 프랑스, 영국, 호주 사용자들이었다. 이 피싱 캠페인에 사용된 이메일은 악성 파일을 호스팅하는 FTP 서버로의 링크를 포함하고 있었다. 이 FTP 링크들은 DOC나 XLS 파일을 다운로드하게 되어있고, 악성 DOC 파일이 열리면 마이크로소프트 오피스의 DDE^{(Dynamic Data Exchange)} 기능을 사용해 Dridex payload를 다운로드 받게 된다. XLS 파일은 Dridex를 다운로드하는 매크로가 포함되어 있다. (20일에서 이어짐)

Detailed News list

Maersk
- _{[TheRegister]}
  IT ‘heroes’ saved Maersk from NotPetya with ten-day reinstallation bliz
- _{[SecurityAffairs]}
  Maersk chair revealed its company reinstalled 45,000 PCs and 4,000 Servers after NotPetya Attack
Lazarus
- _{[SecurityAffairs]}
  A look into the cyber arsenal used by Lazarus APT hackers in recent attacks against financial institutions
- _{[SecurityWeek]}
  North Korea-linked Lazarus Hackers Update Arsenal of Hacking Tools
Dridex
- _{[InformationSecurityBuzz]}
  Dridex Banking Trojan Phishing Campaign Ties To Necurs

Malwares

Summaries

CrossRAT이 윈도우즈, 맥OS, 리눅스 시스템을 노리고 있다. 전세계적인 해킹 캠페인을 Dark Caracal이라는 해킹 그룹이 모바일 기기를 사용해 벌이고 있다는 기사는 이미 공개된 바 있으나, 이번에는 CrossRAT이라는 윈도우즈, 맥OS, 리눅스를 대상으로 하는 악성코드에 대한 기사다. CrossRAT은 다중 플랫폼 트로이로, 유명한 네개의 운영체제(윈도우즈, 맥OS, 솔라리스, 리눅스)를 공격 대상으로 삼는다. 원격의 공격자가 파일 시스템을 조작하거나, 스크린샷을 찍고 임의의 파일을 실행하고, 감염된 시스템에 대한 지속적인 접근권한을 획득할 수 있다.
P2P통신을 사용하는 IoT 봇넷이 급격히 확산중이다. 보안 기업 비트디펜더^{(BitDefender)}에 의해 Hide’N Seek^(HNS)라 명명된 이 봇넷은 처음 1월 초에 탐지되었으며, 1월 20일 다시 탐지되어 급격히 확산중이다. 이 봇넷은 장치들간에 분산된 Peer-to-Peer 방식으로 통신 한다. 이 봇넷은 리퍼^(Reaper)봇넷과 동일한 익스플로잇을 사용해 장치를 감염시킨다. 그러나 아직 이 두 봇넷이 연관되었다는 증거는 없다. (25일에서 이어짐)

Detailed News List

CrossRAT
- _{[TheHackerNews]}
  Beware! Undetectable CrossRAT malware targets Windows, MacOS, and Linux systems
Hide’N Seek
- _{[InformationSecurityBuzz]}
  Unusual ‘Hide ‘N Seek’ Botnet Found
- _{[SecurityWeek]}
  “Hide ‘N Seek” IoT Botnet Ensnares 20,000 Devices in Days
- _{[SecurityAffairs]}
  New HNS botnet has already compromised more than 20,000 IoT devices

Exploits/Vulnerabilities

Summaries

Moto G5 Plus에서 잠금화면을 우회할 수 있는 취약점이 발견되었다. 아마존에서는 아마존 앱을 미리 설치하고 잠금화면에 광고를 삽입한 기기를 사용자들이 낮은 가격으로 구매할 수 있는 프로그램을 운영중이다. 이 기기들 중 하나인 Moto G5 Plus에서 이 광고와 관련된 취약점이 발견되었다. 이 취약점은 잠금화면을 인증과정없이 우회할 수 있도록 만든다. 트위터의 Jaraszski Colliefox라는 사용자는 이 취약점을 발견하고 해당 내용을 공개했는데, 지문 센서를 클릭한 후(지문 인식 실패 메시지 표시) 전원버튼을 누르고 잠금화면에 나타나는 광고를 클릭하면 인증없이 기기의 잠금을 해제 할 수 있다.
Meltdown/Spectre와 이에대한 패치, 그리고 패치에 의한 성능 문제에 대한 기사가 계속해서 이어지고 있다.

Detailed News List

G5
- _[HackRead]
  Security flaw in Moto G5 Plus allows anyone to bypass lockscreen
Meltdown/Spectre
- _{[TheRegister]}
  Intel alerted computer makers to chip flaws on Nov 29 – new claim
- _{[DarkReading]}
  Hardware Security: Why Fixing Meltdown & Spectre Is So Tough
- _[SpiderLabs]
  Overview of Meltdown and Spectre
- _{[DarkReading]}
  Meltdown & Spectre: Computing’s ‘Unsafe at Any Speed’ Problem
- _{[NakedSecurity]}
  Apple offers another Meltdown fix for Mac users…
- _{[SecurityWeek]}
  Lawmakers Raise Questions About Disclosure of CPU Flaws
- _[ZDNet]
  Meltdown and Spectre response hampered by ‘exclusive club’ secrecy
- _{[TheRegister]}
  SHL just got real-mode: US lawmakers demand answers on Meltdown, Spectre handling from Intel, Microsoft and pals
- _[ZDNet]
  Linux and Intel slowly hack their way to a Spectre patch
- _[ZDNet]
  Meltdown-Spectre: Why were flaws kept secret from industry, demand lawmakers

Vulnerability Patches/Software Updates

Summaries

ASUS에서 여러종의 라우터의 취약점을 패치했다. 인증되지 않은 공격자가 루트 권한으로 임의의 명령을 실행할 수 있는 펌웨어 취약점들이다. 이번에 패치된 라우터 모델은 RT-AC88U, RT-AC3100, RT-AC86U, RT-AC68U, RT-AC66U다. 이 취약점은 AsusWRT 펌웨어 3.0.0.4.384_10007 이전 버전에 존재한다.
Libcurl에서 아주 오래된 취약점이 패치되었다. 최근버젼의 libcurl 릴리즈인 7.58.0에서는 두개의 취약점을 포함해 82개의 버그가 수정되었다. 두개의 취약점은 정보 노출(information disclosure) 취약점과 서비스거부(DoS, denial-of-service) 취약점이다.
크롬 64 업데이트가 릴리즈되었다. 이번 업데이트에서는 53개의 보안 취약점이 수정되었고, 스펙터 CPU 취약점에 대한 대응도 추가되었다.

Detailed News List

Asus
- _[ThreatPost]
  ASUS Patches Root Command Execution Flaws Haunting Over a Dozen Router Models
Libcurl
- _{[SecurityWeek]}
  Information Disclosure, DoS Flaws Patched in libcurl
- _{[SecurityAffairs]}
  libcurl has had authentication leak bug dated back to before September 1999
- _{[TheRegister]}
  libcurl has had auth leak bug since ‘the first commit we recorded’
Chrome 64
- _{[SecurityWeek]}
  Chrome 64 Brings Additional Mitigations for CPU Flaw
- _[ThreatPost]
  Firefox, Chrome Patch Vulnerabilities, Add Security Features
- _[ZDNet]
  Google: Chrome 64 is out now, giving you tougher pop-up blocker, Spectre fixes

Privacy

Summaries

성적인 사진 및 동영상을 노리고 1,000개가 넘는 대학생 나이의 여성들의 이메일 계정을 해킹한 Jonathan C. Powell이 6개월의 징역형에 처해졌다. 2016년 11월에 체포된 Powell은 지난 8월 뉴욕주 법원에서 유죄를 인정했다.

Detailed News List

Perv
- _{[TheRegister]}
  Perv raided college girls’ online accounts for nude snaps – by cracking their security questions

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

산업제어시스템^{(ICS, Industrial control systems)} 환경에서의 PC나 서버에서 소프트웨어를 동작시키기 위해 사용하는 라이센스 관리 소프트웨어^{(license management software)}에서 여러 심각한 취약점들이 발견되었다. 카스퍼스키랩의 ICS CERT 연구자들에 따르면, Hardware Against Software Piracy^(HASP)라는 라이센스 관리 시스템에서 발견된 14개의 취약점은 라이센스 관리용 USB 토큰이 사이버 공격의 원격 접근 채널로 사용될 수 있다는 의미다. 발견된 취약점에는 다수의 서비스거부(DoS, Denial of service) 취약점과 여러 원격 코드 실행^{(Remote code execution)} 취약점들이 포함된다. (23일에서 이어짐)

Detailed News List

USB Token
- _{[InformationSecurityBuzz]}
  USB Token Vulnerabilities Found

Deep Web/DarkNet/Onion/Underground Market

Summaries

아기들의 사회보장번호^(SSN)가 세금 사기를 위해 다크웹에서 판매되고 있다. Terbium Labs의 최근 연구 결과에 따르면, 아기들의 사회보장번호^{(Social Security Numbers)}와 다른 개인 식별 정보^{(Personal Identifiable Information, PII)}, 생일, 어머니의 처녀 이름 정보가 다크웹에서 거래되고 있다.

Detailed News List

SSN
- _[HackRead]
  Cybercriminals Selling Social Security Numbers of Infants on Dark Web
- _{[NakedSecurity]}
  Babies’ data being sold to tax fraudsters on the dark web

Service Outage/Malfunction

Summaries

넷플릭스 및 페이스북, 인스타그램에 속도가 느려지거나 접속이 불가능한 장애가 있었다.

Detailed News List

Netflix, Facebook, Instagram
- _[HackRead]
  You are not alone Netflix is down for many and slow for some
- _[HackRead]
  You are not alone Facebook and Instagram are down for many

Crypto Currencies/Crypto Mining

Summaries

비트코인 거래소에 실제로 강도가 들었다. 권총으로 무장한 세명의 남성이 캐나다 오타와^(Ottawa)의 비트코인 거래소에 침입했다. 이 거래소의 직원 네명은 이들에게 제압당했으며 돈을 인출하라고 협박을 받았다. 사무실에서 보이지 않는곳에 있던 다섯번째 직원이 경찰에 신고해 용의자 중 한명이 수요일에 체포되었다.
해커들이 암호화폐 ICO로부터 4억달러 가량을 훔쳤다는 리포트가 나왔다. Ernst & Young의 새로운 보고서에서, 모든 펀드의 약 10% 이상이 도난 당하거나 분실되었다. 이는 2015년에서 2017년 사이의 37억 달러 펀딩 중 거의 400만 달러에 해당하는 규모다. (25일에서 이어짐)
SpriteCoin이라는 가짜 암호화폐 사기에서 MoneroPay 랜섬웨어를 유포한 것이 확인되었다. Fortinet의 연구자들이 새로운 랜섬웨어 사기를 탐지했다. 이 사기에서 해커들은 새로운 암호화폐 ‘스프라이트코인^(SpriteCoin)‘을 소개하며 피해자들에게 지갑 파일을 다운로드하고 비밀번호를 생성하라고 속였다. 이 지갑 설치파일은 윈도우즈 기반의 컴퓨터를 감염시키는 악성코드 였으며, 시스템의 파일들을 암호화 시키고 잠긴 파일들의 암호를 푸는것에 대해 몸값을 오구한다. (24일에서 이어짐)

Detailed News List

Robbery
- _{[TheHackerNews]}
  Yikes! Three armed men tried to rob a Bitcoin Exchange in Canada
ICO
- _{[InformationSecurityBuzz]}
  Hackers Steal $400M From Cryptocurrency ICOs
- _{[InfoSecurityMagazine]}
  Crypto ICOs Lose 10% of Funds to Hackers
SpriteCoin
- _{[SecurityAffairs]}
  Spritecoin ransomware masquerades as cryptocurrency wallet and also harvests victim’s data
- _[HackRead]
  MoneroPay Malware Pretends to Be a Cryptocurrency Wallet
- _[TripWire]
  15 Million People Worldwide Affected by a Single Monero Mining Operation
- _{[SecurityWeek]}
  30 Million Possibly Impacted in Crypto-Currency Mining Operation

Technologies/Technical Documents/Statistics/Reports

Summaries

구글 알파벳^(Alphabet)에서 사이버보안 기업 크로니클^(Chronicle)을 만들었다. 수요일에 알파벳이 크로니클을 발표했다. 크로니클은 2016년에 알파벳의 문샷^(moonshot) 팩토리의 프로젝트로서 시작되었다. (25일에서 이어짐)

Detailed News List

Chronicle
- _{[InformationSecurityBuzz]}
  Google Launch New Threat Analysis Platform, Chronicle
- _{[HelpNetSecurity]}
  Alphabet enters enterprise cybersecurity market, launches Chronicle
- _{[TheRegister]}
  S for Security is Google owner Alphabet’s new favorite letter

ETC

Summaries

마스터카드에서 카드 지불을 위한 생체인식^(biometrics) 기능을 구현하고 있다. 2019년 4월을 목표로 두고 있다. 마스터카드는, 매장에서 고객들이 마스터카드로 지불할 때 지문이나 안면인식 등을 통해 자신을 인증할 수 있을것이라 밝혔다.
올해의 Pwn2Own행사에서는 200만 달러까지 보상금이 주어질 예정이다. 이번 3월에 캐나다의 밴쿠버에서 열리는 CanSecWest 컨퍼런스의 Pwn2Own 챌린지에서는 해킹 대회에서 최고금액인 200만 달러까지 보상이 지불된다. 그리고 처음으로 VMWare와 Microsoft가 파트너로 참여하며, 이번 Pwn2Own 컨테스트에서는 최초로 윈도우즈 제품들의 시험판 버젼을 크랙해볼 수 있는 Windows Insider Preview challenge가 열린다.

Detailed News List

Mastercard
- _{[InfoSecurityMagazine]}
  Mastercard to Implement Biometrics for In-Store Card Payments
Pwn2Own
- _{[DarkReading]}
  This Year’s Pwn2Own Hackfest Will Offer Up to $2 Million in Rewards
- _{[SecurityWeek]}
  New Targets, $2 Million in Prizes Announced for Pwn2Own 2018

Security Newsletters, 2018 Jan 25th, Alphabet 보안 기업 Chronicle 런칭 外

Posted on 2018-01-25 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

트렌드마이크로^(TrendMicro)에서 라자러스^(Lazarus) 그룹과 이 그룹이 공격에 사용하는 여러 도구중 하나인 RATANKBA라는 악성코드, 그리고 서버들에 대한 분석 기사를 공개했다.
모네로^(Monero) 암호화폐를 채굴하기 위한 대규모의 움직임이 4개월 이상 지속되어 온 것을 팔로알토네트웍스^{(Palo Alto Networks)}의 Unit 42에서 탐지했다. 이 작전은 오픈소스 XMRig 유틸리티를 사용해 모네로를 채굴한다. Unit42에서 예측한 바에 따르면, 이 작전에 영향을 받은 사람은 전 세계 약 1500만명에 달할 것으로 보인다.

Detailed News list

Lazarus
- _[TrendMicro]
  Lazarus Campaign Targeting Cryptocurrencies Reveals Remote Controller Tool, an Evolved RATANKBA, and More
Monero Mining Operation
- _[Unit42]
  Large Scale Monero Cryptocurrency Mining Operation using XMRig

Malwares

Summaries

클라우드플레어 도메인^{(cloudflare.solutions)}을 사용했던 키로거가 새로운 도메인으로 돌아왔다. Sucuri에서 cloudflare.solutions에 대한 정보를 공개한 뒤, 해당 도메인은 정지되었다. 공격자는 즉시 새로운 도메인들을 등록했다. cdjs.oneline, cdns.ws, msdns.online 등이다.
미라이 마수타^{(Mirai Masuta)}봇넷에 대한 기사가 이어지고 있다. Mirai를 기반으로 한 새로운 IoT 봇넷인 Masuta는 최소 두 개의 변종이 있는 것으로 보인다고 NewSky Security에서 밝혔다. Masuta의 소스코드가 비공개 다크웹의 포럼에서 발견되었고, 연구자들이 발견한 바에 따르면 악성코드의 설정 파일은 미라이와 비교했을때 다른 암호화 키를 사용한다. 그리고 연구자들은 nexusiotsolutions.net이라는 도메인을 C7C 서버로 사용하는데, 이 도메인은 Nexus Zeta라는 최근의 Satori 공격과 관련된 개인이 사용하는 도메인이다. 이 도메인은 nexuszeta1337@gmail.com 이메일을 사용해 등록되었다. 그래서 NewSky Security는 Nexus Zeta가 Satori에 이어, Masuta 봇넷의 제작에 관련된 것으로 추정한다.
P2P통신을 사용하는 IoT 봇넷이 급격히 확산중이다. 보안 기업 비트디펜더^{(BitDefender)}에 의해 Hide’N Seek^(HNS)라 명명된 이 봇넷은 처음 1월 초에 탐지되었으며, 1월 20일 다시 탐지되어 급격히 확산중이다. 이 봇넷은 장치들간에 분산된 Peer-to-Peer 방식으로 통신 한다. 이 봇넷은 리퍼^(Reaper)봇넷과 동일한 익스플로잇을 사용해 장치를 감염시킨다. 그러나 아직 이 두 봇넷이 연관되었다는 증거는 없다.

Detailed News List

Keylogger
- _[Sucuri]
  Cloudflare[.]solutions Keylogger Returns on New Domains
Mirai Masuta
- _{[SecurityWeek]}
  Mirai-Based Masuta Botnet Weaponizes Old Router Vulnerability
- _{[SecurityAffairs]}
  Satori’s threat actors are behind the new Masuta botnet that is targeting routers in the wild
- _{[TheRegister]}
  Fresh botnet recruiting routers with weak credentials
P2P IoT Botnet
- _[ZDNet]
  This unusual new IoT botnet is spreading rapidly via peer-to-peer communication

Exploits/Vulnerabilities

Summaries

일렉트론^(Electron) 프레임워크에서 심각한 취약점이 발견되었다. 일렉트론은 Skype나 Slack과 같은 유명 어플리케이션을 제작하는데 사용된 프레임워크다. 이 프레임워크에서 심각한 원격 코드 실행 취약점^{(remote code execution vulnerability)}이 발견되었다. 이 앱들은 윈도우즈에서 실행되고, myapp://과 같은 프로토콜에 대한 기본 핸들러로 앱 자신을 등록했을 때 취약하다. 이 취약점은 CVE-2018-1000006 번호가 부여되었다. (24일에서 이어짐)
Meltdown/Spectre와 이에대한 패치, 그리고 패치에 의한 성능 문제에 대한 기사가 계속해서 이어지고 있다.

Detailed News List

Electron framework
- _[ThreatPost]
  Skype, Slack and Other Popular Windows Apps Vulnerable to Critical Framework Bug
- _{[SecurityAffairs]}
  Critical code execution flaw in Electron framework impacts popular Desktop apps such as Skype and Signal
- _[ThreatPost]
  Skype, Slack and Other Popular Windows Apps Vulnerable to Critical Framework Bug
- _{[SecurityWeek]}
  Code Execution Flaw Impacts Popular Desktop Apps
- _[ZDNet]
  Electron critical vulnerability strikes app developers
- _{[TheHackerNews]}
  Critical Flaw Hits Popular Windows Apps Built With Electron JS Framework
- _{[TheRegister]}
  Skype, Slack, other apps inherit Electron vuln
Meltdown/Spectre
- _[CyberScoop]
  Congress wants answers on embargo of Spectre and Meltdown information
- _{[InformationSecurityBuzz]}
  Intel Halt Of Spectre And Meltdown Patches
- _{[BankInfoSecurity]}
  Expect More Cybersecurity ‘Meltdowns’
- _[ZDNet]
  Spectre flaw: Dell and HP pull Intel’s buggy patch, new BIOS updates coming
- _{[SecurityWeek]}
  Apple Patches Meltdown Flaw in Older Versions of macOS

Vulnerability Patches/Software Updates

Summaries

워드프레스 플러그인에서 사이트 구독자 목록을 유출시키는 취약점이 패치되었다. 워드프레스 플러그인인 Email Subscribers & Newsletters에서 Dominykas Gelucevicius가 취약점을 찾아냈다. Gelucevicius의 설명에 따르면, 이 취약점은 3.4.8 이전 버젼의 플러그인은 모두 취약하다.
파이어폭스 58 업데이트가 릴리즈되었다.

Detailed News List

WordPress Plugin
- _[TripWire]
  WordPress Plugin Fixes Bug Allowing Download of 100K+ Sites’ Subscriber Lists
Mozilla Firefox 58
- _[ZDNet]
  Firefox 58 arrives with tracker blocking to make browsing faster, and fixes for dozens of security flaws

Privacy

Summaries

윈도우즈 10에서 원격 측정 데이터^{(telemetry data)}를 위한 새로운 개인정보 보호 도구가 나온다. 2018년 4월 업데이트를 시작으로, 마이크로소프트가 윈도우즈 10 사용자들이 마이크로소프트의 원격측정 서버로 보내지는 수집된 진단 데이터를 검사할 수 있는 도구를 출시한다. 마이크로소프트는 윈도우즈 10의 다음번 릴리즈에서 윈도우즈 진단 데이터 뷰어 도구^{(Windows Diagnostic Data Viewer utility)}를 포함한다고 공식적으로 확인했다.

Detailed News List

Windows 10
- _[ZDNet]
  Windows 10: Microsoft rolls out new privacy tools for telemetry data

Data Breaches/Info Leakages

Summaries

벨^(Bell) 캐나다가 데이터 침해 사고를 당했다. 이미 정보유출 사고를 겪은 바 있는 벨 캐나다가 고객 데이터베이스를 또 해킹당했다. 벨 캐나다는 2017년 5월 190만명의 고객정보가 도난당한바 있다.

Detailed News List

Bell Canada
- _{[TheRegister]}
  Bell Canada Canucks it up again: Second hack in just eight months
- _{[DarkReading]}
  Bell Canada Hit with 2nd Breach in 8 Months
- _{[InformationSecurityBuzz]}
  Bell Canada Cyber Breach
- _{[InfoSecurityMagazine]}
  Bell Canada Suffers Customer Data Breach
- _{[SecurityAffairs]}
  Bell Canada suffers a data breach for the second time in less than a year
- _{[SecurityWeek]}
  Bell Canada Hit by Data Breach

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

산업제어시스템^{(ICS, Industrial control systems)} 환경에서의 PC나 서버에서 소프트웨어를 동작시키기 위해 사용하는 라이센스 관리 소프트웨어^{(license management software)}에서 여러 심각한 취약점들이 발견되었다. 카스퍼스키랩의 ICS CERT 연구자들에 따르면, Hardware Against Software Piracy^(HASP)라는 라이센스 관리 시스템에서 발견된 14개의 취약점은 라이센스 관리용 USB 토큰이 사이버 공격의 원격 접근 채널로 사용될 수 있다는 의미다. 발견된 취약점에는 다수의 서비스거부(DoS, Denial of service) 취약점과 여러 원격 코드 실행^{(Remote code execution)} 취약점들이 포함된다. (23일에서 이어짐)

Detailed News List

USB Token
- _{[InformationSecurityBuzz]}
  Vulnerabilities Found In USB Tokens Used In Industrial Control Systems

Crypto Currencies/Crypto Mining

Summaries

가짜 암호화폐 사기에서 랜섬웨어를 유포한 것이 확인되었다. Fortinet의 연구자들이 새로운 랜섬웨어 사기를 탐지했다. 이 사기에서 해커들은 새로운 암호화폐 ‘스프라이트코인^(SpriteCoin)‘을 소개하며 피해자들에게 지갑 파일을 다운로드하고 비밀번호를 생성하라고 속였다. 이 지갑 설치파일은 윈도우즈 기반의 컴퓨터를 감염시키는 악성코드 였으며, 시스템의 파일들을 암호화 시키고 잠긴 파일들의 암호를 푸는것에 대해 몸값을 오구한다. (24일에서 이어짐)

Detailed News List

SpriteCoin fraud
- _[CSOOnline]
  Hackers lure victims with fake cryptocurrency SpriteCoin
- _[CSOOnline]
  Fake SpriteCoin cryptocurrency installs ransomware and more malware if ransom is paid

Technologies/Technical Documents/Statistics/Reports

Summaries

구글 알파벳^(Alphabet)에서 사이버보안 기업 크로니클^(Chronicle)을 만들었다. 수요일에 알파벳이 크로니클을 발표했다. 크로니클은 2016년에 알파벳의 문샷^(moonshot) 팩토리의 프로젝트로서 시작되었다.

Detailed News List

Google Chronicle
- _{[KrebsOnSecurity]}
  Chronicle: A Meteor Aimed At Planet Threat Intel?
- _{[SecurityWeek]}
  Google Parent Alphabet Launches Cybersecurity Firm Chronicle
- _{[DarkReading]}
  Meet Chronicle: Alphabet’s New Cybersecurity Business
- _[CyberScoop]
  Alphabet launches Chronicle, a new cybersecurity company
- _[ZDNet]
  Alphabet hatches cybersecurity company Chronicle using Google technology