Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Security News
  • Contact

[태그:] Infrastructure

Security Newsletters, 2018 Feb 9th, 애플 부트로더 소스코드 유출 外

Posted on 2018-02-09 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Malwares

Summaries

  • 훔친 신용카드 정보를 DNS 트래픽에 숨겨 유출하는 PoS 악성코드가 발견되었다. UDPoS라 명명된 이 악성코드는, 훔친 신용카드 정보를 DNS Request 트래픽을 사용해 외부로 전송한다.
  • 몸값으로 벌어들인 수익을 나누는 랜섬웨어 서비스(Ransomware-as-a-Service)를 통해 범죄자들이 랜섬웨어를 이용하기가 더 쉬워질 것이라는 전망이 나왔다. 랜섬웨어가 이제 서비스로서 해킹포럼에서 거래되고 있다. GandCrab 랜섬웨어는 RIG exploit kit과 GandCab exploit kit에 의해 유포된다. 포럼에 등록된 일명 ‘파트너십 프로그램’ 광고에 따르면, 제작자는 랜섬웨어에 지불된 몸값의 일부를 받아간다. 서비스를 이용하는 범죄자들은 랜섬웨어 몸값 수익의 70%까지 얻을 수 있다.
  • 구글 드라이브, 마이크로소프트 오피스265의 악성코드 탐지 기능을 회피할 수 있는 ShurL0ckr 랜섬웨어가 발견되었다. Godjue 랜섬웨어의 새로운 변종인 ShurL0ckr라는 이름의 랜섬웨어가 보안기업 Cylance에 의해 다크웹에서 확인되었다. 이 악성코드는 악성코드 탐지 기능을 내장한 유명 클라우드 플랫폼인 구글 드라이브와 마이크로소프트 오피스 365의 탐지기능을 우회할 수 있다. ShurL0ckr는 잘 알려진 Satan 랜섬웨어와 동일한 방식으로 동작하는 Zero-day ransomware-as-a-service로, 제작자가 디스크의 파일을 암호화하는 랜섬웨어 페이로드를 제작 및 유포하면 공격자가 수익의 일부를 지불하는 방식이다. Cylance가 VirusTotal을 통해 확인한 결과, 전체 67개의 안티바이러스 소프트웨어 중 오직 7%만 이 새로운 악성코드를 탐지했다. (8일에서 이어짐)

Detailed News List

  • PoS Malware
    • [DarkReading]
      New POS Malware Steals Data via DNS Traffic
    • [CyberScoop]
      Newly uncovered malware uses DNS requests to siphon credit card data
    • [SecurityWeek]
      New PoS Malware Family Discovered
    • [ZDNet]
      Malware hides as LogMein DNS traffic to target point of sale systems
  • Ransomeware-as-a-Service
    • [ZDNet]
      Ransomware gets easier for would-be crooks as developers offer malware-as-a-service
  • Cloud
    • [SecurityWeek]
      Malware is Pervasive Across Cloud Platforms: Report
    • [ThreatPost]
      Gojdue Variant Eludes Microsoft, Google Cloud Protection, Researchers Say

 

Exploits/Vulnerabilities

Summaries

  • 넷기어(NETGEAR) 라우터에서 다수의 취약점이 발견되었다. 넷기어 라우터의 여러 제품에서 인증 우회(remote authentication bypass) 취약점이 발견되었다. 장비의 웹 기반 환경설정 인터페이스에 비밀번호 없이도 접근해 조작할 수 있는 취약점이다. URL에 &genie=1만 추가하면 되는 간단하지만 치명적인 취약점이다.
  • 워드프레스(WordPress)에서 서비스거부(DoS) 취약점이 발견되었다. CVE-2018-6389인 이 취약점은 워드프레스 사이트에 대량의 트래픽을 동원하지 않고도 서비스거부 상태를 일으킬 수 있다. 이스라엘의 IT보안 연구가 Barak Tawily가 발견한 이 취약점은 워드프레스의 가장 최근 버젼인 4.9.2를 포함해, 지난 9년간 릴리즈된 워드프레스의 거의 모든 버젼에 존재한다. (6일에서 이어짐)

Detailed News List

  • NETGEAR Routers
    • [TheRegister]
      Wish you could log into someone’s Netgear box without a password? Summon a ≥nie=1
    • [SpiderLabs]
      Multiple Vulnerabilities in NETGEAR Routers
  • WordPress DoS
    • [NakedSecurity]
      WordPress denial-of-service attacks – how real is the problem? [VIDEO]
    • [ZDNet]
      ​WordPress’s broken automatic update function
    • [VirusBulletin]
      WordPress users urged to manually update to fix bug that prevents automatic updating

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 우크라이나에 기반을 둔 카딩(Carding) 포럼에 대한 국제 협조 수사로 조직원들이 체포 및 기소되었다. 미 당국이 Infraud Organization이라 알려진 국제 사이버 절도 조직을 추적해 소탕했다. 미 당국이 국제 범죄조직을 소탕한데 이어 법무부(Department of Justice)가 절도 및 신용카드와 개인정보 데이터 판매 범죄조직에 가담한 36명을 기소했다. 법무부에 따르면, Infraud Organization으로 알려진 이 범죄조직은 5억 3천만 달러의 손실을 입힌 것으로 나타났다. 이 조직은 우크라이나에서 Svyatoslav Bondarenko에 의해 만들어져 2010년부터 활동해왔다.
  • 러시아 해커가 미국 투표시스템을 성공적으로 해킹했음을 인정하는 인터뷰가 기사화 되었다. NBC News와의 인터뷰에서 국토안보부의 사이버보안 책임자인 Jeanette Manfra가 기밀정보를 공개적으로 이야기 할 수는 없지만, 2016년 21개주를 공격 대상으로 삼아 그중 일부에 성공적으로 침투한 것을 목격했다고 말했다.

Detailed News List

  • Carding forum
    • [SecurityAffairs]
      US authorities dismantled the global cyber theft ring known as Infraud Organization
    • [KrebsOnSecurity]
      U.S. Arrests 13, Charges 36 in ‘Infraud’ Cybercrime Forum Bust
    • [WeLiveSecurity]
      Global cybercrime behemoth busted, 36 people indicted
    • [BankInfoSecurity]
      Feds Dismantle Ukrainian’s $530 Million Carding Empire
    • [InfoSecurityMagazine]
      Global Arrests as $530m Carding Forum Folds
    • [TheRegister]
      Unlucky 13 collared by cops hunting cyber-crew who stole up to $2.2bn
  • Voting System
    • [HackersOnlineClub]
      Russian Hackers Had Successfully Breached American Voter Systems: U.S Official Confirms

 

Vulnerability Patches/Software Updates

Summaries

  • 인텔이 스카이레이크(Skylake) 프로세서용 스펙터 패치를 릴리즈했다.

Detailed News List

  • Intel
    • [HelpNetSecurity]
      Intel releases new Spectre microcode updates for some affected processors
    • [ZDNet]
      Spectre reboot problems: Now Intel replaces its buggy fix for Skylake PCs
    • [SecurityAffairs]
      Intel releases new Spectre security updates, currently only for Skylake chips
    • [TheHackerNews]
      Intel Releases New Spectre Patch Update for Skylake Processors
    • [SecurityWeek]
      Intel Releases New Spectre Patches for Skylake CPUs

 

Data Breaches/Info Leakages

Summaries

  • 애플의 부트로더 소스코드가 GitHub를 통해 유출되는 사고가 발생했다. 목요일에 공개한 성명문에서 애플은 유출을 인정했으나, 해당 소스코드가 3년 전 것이며 iOS 장치의 보안에는 아무런 영향이 없을 것이라 강조했다.
  • 스위스의 통신회사인 Swisscom의 고객 80만명의 정보가 유출되는 사고가 발생했다. 수요일에 스위스의 거대 통신기업인 Swisscom이 허가받지 않은 집단이 고객 데이터에 접근했다고 발표했다. 공격자들은 알려지지 않은 방법으로 파트너들의 인증정보를 획득한 후, 그 것을 이용해 이름, 실제 주소, 전화번호, 생일과 같은 연락처 정보에 접근했다.

Detailed News List

  • Apple Bootloader Source Code Leaked
    • [ThreatPost]
      Apple Downplays Impact of iBoot Source Code Leak
    • [DarkReading]
      Apple iOS iBoot Secure Bootloader Code Leaked Online
    • [ZDNet]
      Apple: Leaked source code doesn’t impact security of iOS devices
    • [NakedSecurity]
      iOS ‘iBoot’ source code posted online, Apple issues DMCA takedown notice
    • [SecurityWeek]
      Source Code of iOS Security Component iBoot Posted on GitHub
    • [ZDNet]
      iPhone source code leak? Apple cracks down on ‘iOS bootloader’ posted on GitHub
    • [TheRegister]
      Apple’s top-secret iBoot firmware source code spills onto GitHub for some insane reason
    • [TheHackerNews]
      Apple’s iBoot Source Code for iPhone Leaked on Github
  • Swisscom
    • [SecurityWeek]
      Swisscom Breach Hits 800,000 Customers
    • [TripWire]
      Swisscom data breach exposes 800,000 customers
    • [ZDNet]
      Swisscom data breach: 800,000 customers affected
    • [InfoSecurityMagazine]
      Swisscom Breach Hits 10% of Swiss Population
    • [HelpNetSecurity]
      Data of 800,000 Swisscom customers compromised in breach

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 채굴 악성코드가 SCADA 네트워크를 공격한 사례가 확인되었다. 암호화폐 채굴 악성코드가 유럽의 정수시설 모니터링 시스템을 공격했다. 사이버보안기업 Radiflow는 SecurityWeek과의 인터뷰에서 암호화폐 채굴 악성코드가 유럽의 하수처리 시설(wastewater facility) 운영기술(Operational technology, OT) 네트워크에 연결되어있는 네 개의 서버를 공격했다고 밝혔다. 서버들은 Windows XP와 GE Digital의 CIMPLICITY SCADA 소프트웨어를 사용하고 있었다.
  • 시스코(Cisco) 방화벽 취약점을 공격한 사례가 확인되었다. 시스코가 수요일에 최근 패치된 Adaptive Security Appliance(ASA) 소프트웨어의 취약점에 대한 공격을 확인했다고 고객들에게 알렸다. 그외에 다른 정보는 아직 제공된 바 없다. 그러나 이번주 ASA 소프트웨어를 운영하는 장치에 서비스거부(DoS, Deinial-of-Service)상태를 일으키는 개념증명(PoC, Proof-of-Concept) 익스플로잇이 공개되었다는 것을 주목할만한 가치가 있다..

Detailed News List

  • Mining
    • [HelpNetSecurity]
      When crypto-mining malware hits a SCADA network
    • [SecurityWeek]
      Cryptocurrency Mining Malware Hits Monitoring Systems at European Water Utility
  • Cisco ASA
    • [SecurityWeek]
      Cisco Aware of Attacks Exploiting Critical Firewall Flaw

 

Crypto Currencies/Crypto Mining

Summaries

  • 병원이 암호화폐 채굴 악성코드에 감염되는 사고가 발생했다. 미국 테네시의 병원에서, 전자 의료기록(EMR, Electronic medical records) 시스템을 운영하는 서버에서 암호화폐 채굴 악성코드가 설치된 것이 발견되었다. 발견 4일 후, 병원의 EMR 제공사는 서버와 운영체제를 교체했다.

Detailed News List

  • Mining Malware
    • [BankInfoSecurity]
      Hospital Hit With Cryptocurrency Mining Malware
    • [DarkReading]
      Tennessee Hospital Hit With Cryptocurrency Mining Malware
    • [TripWire]
      Cryptomining Software Discovered on Tennessee Hospital’s EMR Server

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 물리적 분리(Air-gapped) 된 환경에서도 자기장을 사용해 데이터를 유출할 수 있다는 기사가 공개되었다. 물리적으로 분리된 컴퓨터에서도 자기장을 이용해 데이터를 유출할 수 잇음을 벤구리온 대학(Ben-Gurion University)의 연구팀이 두가지 종류의 개념증명(PoC, Proof-of-concept) 악성코드를 제작해 선보였다.
  • 7월부터 구글 크롬 브라우저에서 모든 HTTP페이지를 “안전하지 않은” 페이지로 인식하는 정책을 기본으로 적용한다. 크롬68 버젼부터 HTTPS 통신을 적용하지 않은 모든 사이트들은 ‘안전하지 않음’ 표시가 나타나게 된다. 구글에 따르면, 전세계 상위 100개 웹사이트중 81개가 HTTPS를 기본으로 사용하고 있다.

Detailed News List

  • Magnetic Field
    • [InfoSecurityMagazine]
      Air Gaps, Faraday Cages Can’t Deter Hackers After All
    • [TheHackerNews]
      Hackers Can Now Steal Data Even From Faraday Cage Air-Gapped Computers
    • [SecurityWeek]
      Stealthy Data Exfiltration Possible via Magnetic Fields
  • HTTP is dead
    • [ZDNet]
      In security push, Chrome will soon mark every HTTP page as “non-secure”
    • [TheRegister]
      From July, Chrome will name and shame insecure HTTP websites
    • [TheRegister]
      From July, HTTP is dead to Google Chrome

 

Posted in Security, Security NewsTagged Air Gap, Cryptocurrency Mining, Data Breach, Information Leakage, Infrastructure, Malware, Patches, Ransomware-as-a-Service, SCADA, ShurL0ckr, UDPoS, VulnerabilityLeave a comment

Security Newsletters, 2018 Feb 7th, X.509 이용한 은닉채널 外

Posted on 2018-02-07 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • ATM에 실제로 잭팟팅(Jackpotting) 공격을 하던 범죄자들이 체포되었다. 악성코드를 사용해 ATM 기기의 현금을 모두 인출하도록 만드는 잭팟팅(Jackpotting) 공격을 하던 용의자 두명이 코네티컷에서 체포되었다. 미 연방 당국은 두명을 체포해 기소했다. Citizen Bank에서는 자신들의 ATM에 공격이 진행중임을 탐지하여 경찰에 연락했고, 경찰은 근처에서 20달러 지폐로 90,000달러 이상을 지니고 있던 Fajin-Diaz와 Rodriguez를 찾아냈다. 이들의 차량에는 ATM jackpotting 공격에 사용되는 도구들과 전자장비들이 실려있었다. (6일에서 이어짐)

Detailed News list

  • ATM Jackpotting attack
    • [SecurityWeek]
      Duo Charged Over ATM “Jackpotting” Attacks
    • [BankInfoSecurity]
      Feds Charge Two ATM Jackpotting Malware Suspects
    • [TheRegister]
      Cops find ATM spewing cash, car with dodgy plates, stack of $20 bills and hacking kit inside

 

Malwares

Summaries

  • 안드로이드 기기를 공격하는 새로운 암호화폐 채굴 봇넷이 탐지되었다. 새로 발견된 암호화폐 채굴 봇넷이 안드로이드 기기를 열린 ADB 포트를 통해 공격하고 있다. Qihoo 360의 NetLab 연구자들이 밝혀낸 바에 따르면, 지난주 포트 5555번을 대상으로 하는 이 공격이 시작되었다. 5555번 포트는 안드로이드 장치의 adb 디버그 인터페이스다. NetLab에서는 이 공격이 Mirai 봇넷에서 가져온 스캐닝 코드를 사용해, 웜(worm) 처럼 확산될 수 있다고 밝혔다. 감염된 봇들은 추가 확산을 위해 5555번 adb 포트를 스캔한다. (6일에서 이어짐)

Detailed News List

  • ADB.Miner
    • [EHackingNews]
      A New Botnet Targeting to Infect Android Devices with Malware that Mines the Monero Cryptocurrency
    • [TheHackerNews]
      Watch Out! New Cryptocurrency-Mining Android Malware is Spreading Rapidly
    • [ZDNet]
      ADB.Miner worm is rapidly spreading across Android devices
    • [SecurityAffairs]
      ADB.Miner, the Android mining botnet that targets devices with ADB interface open

 

Exploits/Vulnerabilities

Summaries

  • TLS/SSL 인증서를 이용해 방화벽에 탐지되지 않고 은닉채널(Covert channel)을 만들 수 있는 취약점이 발견되었다. 인증서가 교환되는 방법을 하이재킹해 C&C 통신에 사용할 수 있는 방법이 발견되었다. 해당 내용을 발표한 연구가에 의하면, 아직까지 이 방법을 이용한 사례는 발견된 바 없다.
  • 워드프레스(WordPress)에서 서비스거부(DoS) 취약점이 발견되었다. CVE-2018-6389인 이 취약점은 워드프레스 사이트에 대량의 트래픽을 동원하지 않고도 서비스거부 상태를 일으킬 수 있다. 이스라엘의 IT보안 연구가 Barak Tawily가 발견한 이 취약점은 워드프레스의 가장 최근 버젼인 4.9.2를 포함해, 지난 9년간 릴리즈된 워드프레스의 거의 모든 버젼에 존재한다. (6일에서 이어짐)
  • NSA내의 해킹팀에 의해 개발되고 Shadow Brokers에 의해 유출되었던 NSA의 익스플로잇 중 세가지 EternalSynergy, EternalRomance, EternalChampion이 업데이트 되어 윈도우즈 2000부터 2016까지 시스템들에서 동작하도록 새로 작성된 것이 확인되었다. EternalSynergy, EternalRomance, EternalChampion은 NotPetya 공격에 일부로 사용된 바 있긴 하지만, EternalBlue처럼 공격자들에 의해 많이 사용되지는 않았다. 그 이유는 최근의 윈도우즈 버젼들에서 동작하지 않았기 때문인데, RiskSense의 보안 연구가인 Sean Dillon이 이 익스플로잇들을 지난 18년간 릴리즈된 윈도우즈 버젼에서 동작하도록 포팅을 하면서 이 문제들이(?) 해결되었다. 새롭게 업데이트된 버젼(?)은 메타스플로잇 프레임워크로 포팅되었다. (6일에서 이어짐)
  • 대한민국 사용자들을 노린 공격에서 플래시(Flash)의 제로데이 익스플로잇이 확인되었다. KISA에 따르면, 최신의 플래시 플레이어 28.0.0.137과 그 이전버젼을 공격 대상으로 삼는 북한 해커들의 플래시 제로데이 취약점 공격이 확인되었다. 이 제로데이 취약점은 문서파일이나, 웹페이지, 플래시 파일을 포함한 이메일을 여는 것으로 공격당할 수 있다. 2017년 11월 중순부터 이러한 공격이 이어졌다. (2일에서 이어짐)

Detailed News List

  • Flaw in TLS/SSL Certificates
    • [InfoSecurityMagazine]
      Flaw in TLS/SSL Certificates Allows Covert Data Transfer
    • [SecurityWeek]
      TLS-Abusing Covert Data Channel Bypasses Network Defenses
    • [SecurityAffairs]
      Abusing X.509 Digital Certificates to establish a covert data exchange channel
    • [TheRegister]
      X.509 metadata can carry information through the firewall
  • WordPress
    • [Imperva]
      CVE-2018-6389 WordPress Parameter Resource Consumption Remote DoS
    • [SecurityWeek]
      One Computer Can Knock Almost Any WordPress Site Offline
    • [InformationSecurityBuzz]
      Serious DoS Flaw Spotted In WordPress Platform
  • NSA Exploits
    • [SecurityWeek]
      NSA-Linked Hacking Tools Ported to Metasploit
  • Adobe flash
    • [TheRegister]
      Adobe: Two critical Flash security bugs fixed for the price of one
    • [DarkReading]
      Adobe Patches Flash Zero-Day Used in South Korean Attacks
    • [SecurityWeek]
      Adobe Patches Flash Zero-Day Exploited by North Korean Hackers

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 인기있는 RAT(Remote Access Trojan)인 Luminosity가 호주, 유럽, 북미 당국의 연합작전을 통해 셧다운 되었다. Luminosity RAT은 공격자가 비밀리에 안티바이러스나 안티말웨어 프로그램을 비활성화 시켜 공격 대상을 감염시키고, 피해자들의 온라인 활동을 모니터링 하거나 키입력을 기록하고, 웹캠을 동작시켜 상대방을 감시하거나 로그인 정보와 같은 데이터를 훔칠 수 있게 한다. 유로폴에 따르면, 이 악성코드는 전 세계 78개국에 걸쳐 8,600명의 사용자를 가지고 있으며, 피해자들도 수천에 달한다. (6일에서 이어짐)
  • 33세의 영국인 활동가인 Lauri Love는 2013년에 미 육군 및 NASA, 그리고 기타 여러 연방 기관에 대한 사이버 범죄 혐의로 기소되었다. 그리고 Love는 영국에서 체포되었다가 보석금을 내고 풀려났으나, 미국에서의 재판을 위한 송환을 놓고 다퉈왔다. 그리고 결국 미국으로의 송환을 하지 않는다는 법원의 결정이 내려졌다. (6일에서 이어짐)

Detailed News List

  • Luminosity RAT
    • [SecurityAffairs]
      Crime ring linked to Luminosity RAT dismantled by an international law enforcement operation
  • Lauri Love
    • [TechDirt]
      Hacker Lauri Love Wins Extradition Appeal; Won’t Be Shipped Off To The US
    • [ZDNet]
      Hacking suspect Lauri Love wins landmark appeal against US extradition
    • [InfoSecurityMagazine]
      Alleged US Government Hacker Love Wins Extradition Case
    • [BankInfoSecurity]
      British Hacking Suspect Avoids Extradition
    • [SecurityAffairs]
      Popular British hacktivist Lauri Love will not be extradited to US, UK Court Ruled

 

Vulnerability Patches/Software Updates

Summaries

  • Cisco가 ASA(Adaptive Security Appliance)에 대한 새로운 패치를 릴리즈했다. Common Vulnerability Scoring System base score 10점 만점을 받았던 CVE-2018-0101에 대한 패치다.
  • Adobe가 Flash 패치를 릴리즈했다. 어도비가 플래시 플레이어의 취약점을 수정하는 업데이트를 릴리즈했다. 원격의 공격자가 이 취약점을 공격해 영향을 받는 시스템을 장악 할 수 있는 취약점이다.

Detailed News List

  • Cisco
    • [ThreatPost]
      Cisco Issues New Patches for Critical Firewall Software Vulnerability
    • [ZDNet]
      Cisco: You need to patch our security devices again for dangerous ASA VPN bug
    • [HelpNetSecurity]
      Cisco issues new, complete fixes for critical flaw in enterprise security appliances
    • [SecurityWeek]
      Cisco Reissues Patches for Critical Firewall Flaw
  • Adobe Flash
    • [US-CERT]
      Adobe Releases Security Updates for Flash Player

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 40년된 OpenVMS 시스템에서 취약점이 발견되어, 그에 대한 패치가 릴리즈 되었다. Digital Equipment Corporation의 VAX 및 Alpha 프로세서를 사용하는 40년된 OpenVMS 운영체에서 권한 상승(privilege-escalation)이 가능한 취약점에 대한 패치가 공개되었다. HP에 의해 서포트되고 있는 이 운영체제는 안정성으로 유명하며, 역사적으로 핵발전소 및 공정 관리 시스템과 같은 고가용성(high availability)을 요구하는 핵심 비즈니스 시스템에 사용되어 왔다. 권한상승 취약점인 CVE-2017-17842에 대한 패치가 공개되었다. 취약점에 대한 자세한 세부내용은, 관리자들이 영향을 받는 시스템을 패치할 시간을 제공한 뒤 3월에 공개될 예정이다.

Detailed News List

  • OpenVMS
    • [ZDNet]
      Mission-critical system alert: 40-year-old OpenVMS hit by exploitable bug

 

Posted in Security, Security NewsTagged ADB Miner, Covert Channel, Cryptocurrency Mining, CVE-2017-17842, CVE-2018-0101, CVE-2018-6389, EternalChampion, EternalRomance, EternalSynergy, Exploit, ICS, Industrial Control System, Infrastructure, Jackpotting Attacks, Luminosity, Malware, Patches, VulnerabilityLeave a comment

Security Newsletters, 2018 Feb 2nd, 멜트다운/스펙터 악성코드 시험중 外

Posted on 2018-02-02 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Malwares

Summaries

  • 악성코드 제작자들이 멜트다운/스펙터(Meltdown/Spectre) 취약점 사용을 시험중에 있다는 기사가 나왔다. 독일의 안티바이러스 테스트 기업인 AV-Test에서 Meltdown/Spectre CPU bugs를 공격하는 것으로 보이는 악성코드 샘플을 139개 식별해냈다. AV-Test는 트위터를 통해 최근 공개된 CPU 취약점인 CVE-2017-5715, CVE-2017-5753, CVE-2017-5754와 관련된 것으로 보이는 샘플을 139개 확인했다고 밝혔다. AV-Test는 최초로 브라우저를 공격하기 위한 자바스크립트 버젼의 개념증명(PoC) 공격을 찾았다고 밝혔다. 대부분의 악성코드 샘플은 온라인에 공개된 PoC들이다. AV-Test가 수집하는 샘플들의 수가 1월 7일 최초 발견된 이후 지속적으로 증가하고 있으며, 1월 21일을 기점으로 그 수가 100개를 넘어섰다. 1월 말 기준으로 139개의 샘플이 수집되었다.

Detailed News List

  • Meltdown/Spectre Malware
    • [ZDNet]
      Meltdown-Spectre: Malware is already being tested by attackers
    • [TheHackerNews]
      Meltdown/Specter-based Malware Coming Soon to Devices Near You, Are You Ready?
    • [EHackingNews]
      Researchers discover Malware Samples Designed to Exploit CPU Vulnerabilities
    • [SecurityAffairs]
      Malware exploiting Spectre and Meltdown flaws are currently based on available PoC

 

Exploits/Vulnerabilities

Summaries

  • 대한민국 사용자들을 노린 공격에서 플래시(Flash)의 제로데이 익스플로잇이 확인되었다. KISA에 따르면, 최신의 플래시 플레이어 28.0.0.137과 그 이전버젼을 공격 대상으로 삼는 북한 해커들의 플래시 제로데이 취약점 공격이 확인되었다. 이 제로데이 취약점은 문서파일이나, 웹페이지, 플래시 파일을 포함한 이메일을 여는 것으로 공격당할 수 있다. 2017년 11월 중순부터 이러한 공격이 이어졌다.
  • Oracle Micros의 PoS(Point-of-Sale)에서 기업의 전체 비즈니스 데이터를 침해하고 다운로드받을 수 있는 취약점이 발견되었다. 이 취약점은 인증받지 않은 원격의 공격자가 PoS 서버의 데이터베이스를 읽고 쓸수 있는 접근권한을 획득할 수 있게한다. Oracle은 이 취약점이 이달 초의 분기(Quarterly) 패치 스케쥴에서 패치되었다고 밝혔다. (31일에서 이어짐)

Detailed News List

  • Flash Zero-Day Exploit
    • [DarkReading]
      Adobe to Patch Flash Zero-Day Discovered in South Korean Attacks
    • [SecurityAffairs]
      South Korea Warns of Flash Zero-Day flaw exploited by North Korea in surgical attacks
    • [TheRegister]
      Nork hackers exploit Flash bug to pwn South Koreans. And Adobe will deal with it next week
    • [ThreatPost]
      Adobe Flash Player Zero-Day Spotted in the Wild
    • [SecurityWeek]
      South Korea Warns of Flash Zero-Day Exploited by North Korea
  • Oracle PoS
    • [EHackingNews]
      Security Flaw in Oracle POS systems discovered
    • [ThreatPost]
      Oracle MICROS POS Vulnerability Puts 300,000 Systems at Risk

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 지멘스(Siemens)에서 플랜트 관리 제품의 취약점 패치를 릴리즈했다. 지멘스에서 TeleControl Basic 제품이 다수의 취약점에 영향을 받으며, 공격자가 권한 상승 및 인증 우회, 서비스거부(DoS, Denial-of-Service) 공격이 가능하다고 밝혔다. 지멘스의 TeleControl Basic은 플랜트 공정을 모니터하고 관리할 수 있는 시스템이다. 이 제품은 수처리(water trreatment), 트래픽 모니터링, 에너지 분배 등의 시설들의 운영을 최적화 하는데 사용되기도 한다. TeleControl Server Basic은 TeleControl Basic control center에 사용되는 소프트웨어다. Siemens에 따르면 TeleControl Server Basic 시스템은 세가지 취약점이 존재한다. 첫번째 취약점인 CVE-2018-4836은 가장 심각한 취약점이다. 낮은 권한의 공격자가 TCP 포트 8000을 통해 권한상승이 가능하고 관리 작업(administrative tasks)를 실행할 수 있다. 나머지 취약점은 CVE-2018-4835, CVE-2018-4837 이다.

Detailed News List

  • Siemens
    • [SecurityWeek]
      Siemens Patches Flaws in Plant Management Product
    • [SecurityAffairs]
      Siemens fixed three flaws in plant management product Siemens TeleControl Basic system

 

Crypto Currencies/Crypto Mining

Summaries

  • 모네로(Monero) 암호화폐를 채굴하는 Smominru 봇넷이 해커에게 360만 달러를 벌어주었다는 리포트가 나왔다. Proofpoint의 연구에 따르면, Smominru라는 이름의 모네로 채굴 봇넷이 감염된 기기들에서 몰래 모네로 코인을 채굴해 봇넷을 운영하는 해커에게 수백만 달러를 벌어주었다. 봇넷 운영자는 8,900 모네로 코인을 채굴했으며, 이는 360만 달러 규모로, 주당 24모네로(8500달러)를 번 셈이다. 연구가들은 Smominru 봇넷이 확산되는 것을 2017년 5월에 확인했다. 현재는 윈도우즈 호스트를 526,000대 이상의 감염시켰으며, Smominru 봇넷은 NSA에서 개발하고 Shadow brokers 해킹그룹이 유출한 EternalBlue 익스플로잇을 사용한다. 이 봇넷의 C&C 인프라는 SharkTech라는 호스팅 및 DDoS 보호 서비스를 이용하고있다. SharkTech에서는 이에 대하여 아무런 반응도 내놓지 않았다. (1일에서 이어짐)

Detailed News List

  • Smominru / WannaMine
    • [PandaSecurity]
      WannaMine – new cryptocurrency malware exposes failings of traditional anti-virus tools
    • [SecurityWeek]
      WannaMine Malware Spreads via NSA-Linked Exploit
    • [SecurityAffairs]
      WannaMine, the sophisticated crypto miner that spreads via NSA EternalBlue exploit
    • [ThreatPost]
      Massive Smominru Cryptocurrency Botnet Rakes In Millions
    • [TripWire]
      Smominru! Half a million PCs hit by cryptomining botnet
    • [ZDNet]
      A giant botnet is forcing Windows servers to mine cryptocurrency
    • [SecurityAffairs]
      Mining Smominru botnet used NSA exploit to infect more than 526,000 systems
    • [TheHackerNews]
      Cryptocurrency Mining Malware Infected Over Half-Million PCs Using NSA Exploit
    • [InfoSecurityMagazine]
      Cisco: Crypto-Mining Botnets Could Make $100m Annually

 

Posted in Security, Security NewsTagged Botnet, Crypto Currency, Cryptocurrency Mining, CVE-2017-5715, CVE-2017-5753, CVE-2017-5754, CVE-2018-4835, CVE-2018-4836, CVE-2018-4837, Exploit, ICS, Industrial Control System, Infrastructure, Malware, POS, Smominru, VulnerabilityLeave a comment

Security Newsletters, 2018 Jan 11th, IOC 및 WADA 이메일 유출 外

Posted on 2018-01-11 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 러시아와 관련되 있는 것으로 추정되는 해킹 그룹 FancyBear가 국제 올림픽 위원회(IOC, International Olympic Committee)와 국제 반도핑 기구(WADA, World Anti-Doping Agency)에서 유출된 것으로 추정되는 이메일을 공개했다. FancyBear라는 이름으로 알려진 이 해킹 그룹은 이메일 아카이브를 공개했는데, 블로그 포스트를 통해 미국을 포함한 앵글로색슨(Anglo-Saxon)계 국가들이 스포츠에서의 권력과 자본을 위해 싸우고 있다고 혐의를 제기했다. 이 그룹은 APT28로도 알려져 있는데, 2016년 미국 민주당 전국 위원회 해킹으로 알려진 그룹이다. FancyBear는 러시아의 올림픽 출전 금지가 명백히 정치적이라고 주장하고 있다. 이 유출 사건에 대해서 IOC는 언급을 거부했으며, WANA는 응답하지 않았다.
  • RIG Exploit kit이 암호화폐 열풍에 동참하고 있다. Malwarebytes가 공개한 정보에 따르면, 코인 채굴 악성코드를 유포하는 Ngay라는 캠페인이 진행되고 있다. 최초 드롭퍼(dropper)는 암호화폐 채굴기인 추가 바이너리를 하나 혹은 그 이상을 포함하고 있다. 유명한 모네로 채굴기 같은 것들이다. Ngay 캠페인은 malvertising chains들 중 하나로, REG exploit kit을 자신들의 페이로드를 배포하는데 사용하고 있다. (10일에서 이어짐)
  • Turla 사이버 스파이 그룹이 어도비 플래쉬 인스톨러로 위장한 악성코드를 유포하는 캠페인을 벌이고 있다. 외교관들을 노리는 국가 지원을 받는(state-sponsored) 해킹 작전이 벌어지고 있다. ESET의 연구자들이 찾아낸 바에 따르면, Turla라는 이름으로 잘 알려진 사이버 스파이 그룹에 의한 동유럽의 구소련 국가(post-Soviet states)들의 대사관(embassies)이나 영사관(consulates)들을 노린 공격이 진행중이다. 워터링 홀(Watering-hole) 공격과 스피어 피싱(Spear-phishing) 캠페인은 계속적으로 이러한 공격에 사용된 방법이다. 그러나 연구자들은 아직 피해자들이 어떻게 정상적인(authentic) 플래쉬 인스톨러를 다운로드하고 있다고 믿게 만들었는지를 확실하게 밝혀내지 못했다. 네트워크 게이트웨이를 장악해 중간자(MitM, Man-in-the-Middle) 공격을 했을 가능성이 있다. (10일에서 이어짐)
  • 평창 동계올림픽을 목표로 한 악성 문서파일을 유포하는 캠페인이 벌어지고 있다. 맥아피(McAfee)의 보안 연구가들에 따르면, 올림픽과 관계된 여러 기관들이 악성 이메일을 받고 있다. 이런 기관들은 기반시설을 제공하거나 지원하는 역할과 같이 올림픽과 관계가 있는 기관들이 대다수다. 이러한 메일들은 대한민국 정부기관에서 발송된 것 처럼 위장했다. (6일에서 이어짐)

Detailed News list

  • Anglo-Saxon Illuminati
    • [CyberScoop]
      ‘Anglo-Saxon Illuminati’ responsible for Olympic doping controversy, according to Fancy Bear
  • RIG Exploit Kit
    • [HelpNetSecurity]
      RIG EK covertly delivers cryptocurrency miners
  • Turla
    • [InformationSecurityBuzz]
      ESET Research: Appearances Are Deceiving With Turla’s Backdoor-Laced Flash Player Installer
    • [SecurityAffairs]
      Turla APT group’s espionage campaigns now employs Adobe Flash Installer and ingenious social engineering
  • 평창 동계 올림픽
    • [CrowdStrike]
      Malicious Spear-Phishing Campaign Targets Upcoming Winter Olympics in South Korea

 

Malwares

Summaries

  • 러시아 은행을 노리는 Layered Obfuscation을 사용하는 모바일 악성코드가 발견되었다. 트렌드마이크로는 작년에 러시아 은행인 Sbebank 사용자를 목표로 하고, 독특한 보호방식(defensive measures)을 갖춘 Fanta SDK 악성코드에 대해 공개한 바 있다. 이번에는 또다른 은행 악성코드 종(family)이 발견되었는데, 더 많은 러시아 은행들을 공격 대상으로 하며 새롭고 발전된 난독화 기술을 사용한다. 이 새로운 종은 FakeBank라는 이름이 붙었다. 이 종들이 목표로 삼은 은행은 Sbebank 외에도 Letobank나 VTB24 bank와 같은 다른 은행들까지 포함하고 있다. 발견된 샘플들은 임의의 패키지 이름을 가지고 있으며, 대부분 SMS/MMS 관리 소프트웨어로 위장해 사용자들이 다운로드 하게끔 유도하고 있다.
  • 처음으로 코틀린(Kotlin)으로 만들어진 악성 앱이 발견되었다. 트렌드마이크로(TrendMicro)에 따르면, 오픈소스 프로그래밍 언어인 코틀린(Kotlin)으로 만들어진 악성 앱이 처음 발견되었다. 이 악성앱은 구글 플레이에 안드로이드 장치를 청리 및 최적화 해주는 유틸리티 툴인 Swift Cleaner라는 이름으로 등록되어 있었다. 1000~5000번 다운로드 된 이 앱은, 원격 명령 실행이나 정보 탈취, SMS 발송, URL 포워딩, 광고 클릭 사기 등의 기능이 포함되어 있었다. (10일에서 이어짐)
  • 판매시점 정보관리 시스템(PoS, Point of Sale)을 공격하는 악성코드 LockPoS가 새로운 기법을 도입했다. LockPoS는 PoS 신용카드 스캐너가 있는 컴퓨터 메모리에서 신용카드 정보를 훔치는 기능을 가지고 있었다. 이 악성코드는 실행중인 프로세스들의 메모리를 읽어 신용카드 정보를 수집하고 C&C 서버로 보낸다. 이전에는 드로퍼가 explorer.exe 프로세스에 바로 악성코드를 주입했는데, 이번에는 Flokibot PoS 악성코드에서 사용되었던 기법의 새로운 변종 방식을 채택한 것으로 확인되었다. (4일에서 이어짐)

Detailed News List

  • Mobile Malware Uses Layered Obfuscation
    • [TrendMicro]
      New Mobile Malware Uses Layered Obfuscation and Targets Russian Banks
  • Malicious Kotlin App
    • [HackRead]
      Android Malware written in Kotlin found on Play Store stealing data
    • [ZDNet]
      Android security: First Kotlin-based malware found in Google Play Store
    • [SecurityWeek]
      Android security: First Kotlin-based malware found in Google Play Store
  • LockPoS
    • [SecurityAffairs]
      New Malware Dubbed LockPos Introduces New Injection Technique To Avoid Detection

 

Exploits/Vulnerabilities

Summaries

  • 유명 채팅 앱에서 암호화된 그룹 대화를 엿볼 수 있는 취약점이 발견되었다. 유명 채팅 프로그램인 WhatsApp, Threema, Signal에서 이론적으로(theoretically) 암호화를 우회해 그룹 채팅에 끼어들 수 있는 취약점이 발견되었다. 취리히에서 열린 Real World Crypto 컨퍼런스에서 독일 암호학자 팀이 해당 내용을 발표했다.
  • 루비 온 레일스(Ruby on Rails) Gem의 크로스사이트스크립트(XSS, Cross-Site Script) 취약점이 발견되었다. Rails는 웹 서비스나 웹페이지를 작성하기 위한 루비 프레임워크다. Ruby Gem은 Gems으로 배포하는 소프트웨어를 관리하는 패키지 관리자다. 두개의 XSS 취약점이 각각 다른 젬 패키지에서 발견되었다. 취약한 젬은 delayed_job_web과 rails_admin이다.
  • 인텔 칩에서 발견된 취약점인 멜트다운/스펙터(Meltdown/Spectre)에 대한 기사가 이어지는 중이다. 이번에는 마이크로소프트가 내놓은 Windows 보안 패치(KB40566892)가 일부 AMD CPU를 사용하는 PC를 사용불가 상태로 만들어 버리는 오류가 있다는 내용이다. AMD의 애슬론(Athlon)을 사용하는 PC들이 패치 전에는 정상 동작하다가 이후에 동작하지 않는다는 사용자들의 리포트가 반복되고 있다는 것이다. 패치가 복구지점(recovery point)을 생성하지 않는것도 문제가 되고있다. (9일에서 이어짐)

Detailed News List

  • WhatsApp
    • [TheHackerNews]
      WhatsApp Flaw Could Allow ‘Potential Attackers’ to Spy On Encrypted Group Chats
    • [CyberScoop]
      Flaw in WhatsApp and Signal exposes group chats to ‘extremely difficult’ hacks
  • Ruby on Rails Gem XSS
    • [Cisco]
      Vulnerability Spotlight: Ruby Rails Gem XSS Vulnerabilities
  • Meltdown and Spectre
    • [SecurityWeek]
      NVIDIA Updates GPU Drivers to Mitigate CPU Flaws
    • [TheRegister]
      IBM melts down fixing Meltdown as processes and patches stutter
    • [HelpNetSecurity]
      Spectre updates will slow down Windows servers and PCs running older versions of the OS
    • [SecurityWeek]
      IBM Starts Patching Spectre, Meltdown Vulnerabilities
    • [ZDNet]
      Meltdown-Spectre: IBM preps firmware and OS fixes for vulnerable Power CPUs
    • [BankInfoSecurity]
      Performance Hit: Meltdown and Spectre Patches Slow Systems
    • [SecurityWeek]
      Microsoft, Intel Share Data on Performance Impact of CPU Flaw Patches
    • [ZDNet]
      Spectre mitigations arrive in latest Nvidia GPU drivers
    • [TheRegister]
      IBM’s complete Meltdown fix won’t land until mid-February
    • [TheRegister]
      Intel, Microsoft confess: Meltdown, Spectre may slow your servers

 

Vulnerability Patches/Software Updates

Summaries

  • 마이크로소프트가 1월 패치튜스데이(Patch Tuesday) 보안 업데이트에서 16개의 Critical 취약점을 수정했다. 이번 정규 보안 업데이트에서는 마이크로소프트 엣지(Edge), 윈도우즈, 오피스, ASP.NET, macOS 버젼의 오피스에 대한 패치가 포함되었다. (10일에서 이어짐)
  • 어도비가 플래시 플레이어(Flash Player)에 대한 보안 업데이트를 릴리즈했다. 이번 패치에서는 정보노출 취약점 CVE-2018-4871이 수정되었다. 이 취약점은 윈도우즈, 맥, 리눅스, 크롬OS의 플래시 플레이어 28.0.0.126 및 그 이전버전에 영향을 미친다. (10일에서 이어짐)

Detailed News List

  • Microsoft
    • [KrebsOnSecurity]
      Microsoft’s Jan. 2018 Patch Tuesday Lowdown
    • [HelpNetSecurity]
      Microsoft plugs 56 vulns, including Office flaw exploited in attacks
    • [TrendMicro]
      January’s Patch Tuesday Fixes 56 Security Issues, Including Meltdown and Spectre
    • [ZDNet]
      Windows patches: Microsoft kills off Word’s under-attack Equation Editor, fixes 56 bugs
    • [InfoSecurityMagazine]
      Patch Tuesday: More Work for Admins With 56 Flaws to Fix
    • [SecurityAffairs]
      January 2018 Patch Tuesday security updates fix a zero-day vulnerability in MS Office
    • [TheHackerNews]
      Microsoft Releases Patches for 16 Critical Flaws, Including a Zero-Day
    • [ZDNet]
      Microsoft: No more Windows patches at all if your AV clashes with our Meltdown fix
  • Adobe
    • [ZDNet]
      Adobe patches information leak vulnerability

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • Rockwell Automation에서 MicroLogix 1400 PLC 제품의 심각한 보안 취약점을 수정했다. 마이크로로직 PLC 제품군은 전 세계적으로 주요 기반시설(critical infrastructure), 식품 및 농업, 상하수도 분야에서 프로세스 관리를 위해 사용된다. 2016년에 Alabama 대학의 Thiago Alves 외 2명의 연구자들이 가 이 컨트롤러들이 버퍼오버플로우 취약점에 영향을 받는 것을 발견해 정보를 공개했다. Rockwell Automation에 따르면, 전문가들이 21.002 버젼 및 이전 버젼의 펌웨어를 사용하는 MicroLogix 1400 PLCs가 조작된 Modbus TCP 패킷을 보내는 것으로 버퍼오버플로우 취약점에 영향을 받는다. 이 취약점은 인증되지 않은 공격자에 의해 원격으로 공격받을 수 있다. 이 취약점은 CVE-2017-16740 번호가 부여되었으며, 이 취약점에 대한 패치를 지난달 21.003 펌웨어 릴리즈를 통해 수정했다. 다른 대응 방법으로는 Modbus TCP 지원 기능을 비활성화 하는 방식으로 원격 접근을 막을 수 있다.

Detailed News List

  • Rockwell Automation PLC
    • [SecurityWeek]
      Rockwell Automation Patches Serious Flaw in MicroLogix 1400 PLC

 

Crypto Currencies/Crypto Mining

Summaries

  • Oracle WebLogic Exploit이 암호화폐 채굴 캠페인에 사용되고 있다. 보안연구가들이 611 모네로 코인이 채굴된 것을 발견했다. 약 $22만 6천달러 규모다. 이 모네로 코인들은 전 세계의 취약한 서버들의 웹로직(WebLogic) 취약점을 공격해 채굴되었다. Monero 암호화폐 채굴기를 패치되지 않은 시스템에 유포하는 전 세계적인 캠페인이 벌어지고 있다. 공격자들은 지난 12월 말 중국 연구가인 Lian Zhang이 발표한 개념증명(PoC, Proof-of-Concept) 익스플로잇을 사용하고 있다. 오라클은 패치를 10월에 발표했다.
  • 코닥(Kodak)이 코닥코인(KodakCoin)이라는 블럭체인기반 암호화폐를 발표했다. 사진가(photographer)의 이미지 권리 관리(image rights management)를 블럭체인 보안 기술을 바탕으로 제공한다는 것이다. (10일에서 이어짐)
  • WIFI 네트워크를 해킹해 채굴 스크립트를 심는 커피마이너(CoffeeMiner)라는 개념증명(PoC, Proof-of-Concept)프로젝트가 공개되었다. Arnau라는 이름의 개발자가 공개한 이 PoC 프로젝트는 커피마이너(CoffeeMiner)로, 공개 WiFi Network을 해킹해 암호화폐 채굴 코드를 접속하는 브라우저 세션에 주입한다. 개발자는 이 프로젝트가 얼마전 스타벅스 건에서 영감을 받았다고 설명했다. 커피마이너는 로컬 네트워크의 ARP(Address Resolution Protocol) 메시지를 스푸핑하여 동작한다. (7일에서 이어짐)

Detailed News List

  • Oracle WebLogic
    • [DarkReading]
      Oracle WebLogic Exploit Used in Cryptocurrency Mining Campaign
  • KodakCoin
    • [EHackingNews]
      Kodak Launches Own Cryptocurrency KODAKCoin — Stocks Surge
  • CoffeeMiner
    • [InfoSecurityMagazine]
      CoffeeMiner Forces Coffee Shop Visitors to Mine for Monero

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 와이파이 얼라이언스(WiFi Alliance)가 월요일에 다음세대 무선 네트워크 보안 표준(standard)인 WPA3를 발표했다. 거의 20년이 되어가는 WPA2를 대체할 표준이다. WPA3에서의 주요 개선안 중 하나는 공개 와이파이 네트워크에서의 보안 문제를 해결하는데 초점을 두고있다. 공개 와이파이 네트워크에서 동일 네트워크에 존재하는 다른 장치들이 보내는 데이터를 가로챌(intercept)수 있는 문제점에 대해서, WPA3에서는 개별 데이터 암호화(individualized data encryption)를 제공한다. 또다른 주요 개선점은 무작위(brute-force)사전(dictionary) 공격에 대한 보호기능이다. 공격자가 WiFi 네트워크의 비밀번호를 유추하기 어렵게 만들었다. 새로운 WPA3 보안 프로토콜에서는 공격자가 비밀번호 유추를 여러번 반복해서 실패하면 차단(block) 한다. 2004년이후로 사용되는 WPA2는 four-Way Handshake 사용해 새로운 장치가 사전 공유(pre-shared)된 비밀번호로 네트워크에 참여할 수 있게 한다. WPA3에서는 새로운 종류의 handshake를 사용한다. Mathy Vanhoef에 따르면, 새로운 방식은 사전(dictionary) 공격에 취약하지 않을 것이라 한다. (10일에서 이어짐)

Detailed News List

  • WPA3
    • [NakedSecurity]
      Wi-Fi security overhaul coming with WPA3

 

Posted in Security, Security NewsTagged CoffeeMiner, Crypto Currency, Cryptocurrency Mining, Cyber Espionage, FakeBank Malware, Fancy Bear, Industrial Control System, Infrastructure, LockPoS, Malware, Patches, PLC, RIG Exploit Kit, Turla, Vulnerability, XSSLeave a comment

글 내비게이션

이전 글

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org

Biohacking

  • Nootropics Reddit
  • A Beginner's Guide to Nootropics
  • Psychonaut WIKI
  • Supplements Reddit
  • StackAdvice Reddit
Proudly powered by WordPress | Theme: micro, developed by DevriX.