Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Security News
  • Contact

[태그:] IoT

Security Newsletters, 2018 Mar 14th, 마이크로소프트 CredSSP 취약점 外

Posted on 2018-03-14 - 2018-03-14 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 중국이 배후인 것으로 추정되는 APT 그룹이 새로운 백도어를 사용해 다양한 영국 정부 기관 및 군사 기관들의 계약업체를 노린 공격으로 추정된다. 지난 주 카스퍼스키의 Security Analyst Summit(SAS)에서 NCC 그룹의 Senior malware researcher인 Ahmed Zaki가 영국 정부의 서비스 제공사를 노린 악성코드 기반의 공격에 대한 상세 정보를 발표했다. 이 발표에서 중국과 관련된, Ke3chang, Mirage, Vixen Panda, Playful Dragon으로도 알려진 APT15 그룹이 이 공격을 실행했다고 밝혔다. 이 공격은 영국 정부 및 군사 기관들의 계약업체를 노린 큰 공격의 일부였다고 밝혔다. APT15 그룹은 최소 2010년부터 활동해 왔으며, 전 세계를 대상으로 한 사이버 스파이 캠페인을 펼쳐왔다. NCC Group은 이 해킹그룹과 관련된 두개의 새로운 악성코드를 탐지했다고 밝혔다. 침해 분석과정에서 APT15의 공격도구들 중 일부로 보이는 백도어들을 찾아냈다. 이 그룹에 의해 지속적으로 사용된 BS2005라는 백도어와 함께, RoyalCli 및 RoyalDNS라는 백도어가 확인되었다. (13일에서 이어짐)

Detailed News list

  • APT15
    • [HackRead]
      APT15 Hackers Hit UK Govt Contractor to Steal Military Technology Secrets
    • [ThreatPost]
      China-Linked APT15 Used Myriad of New Tools To Hack UK Government Contractor
    • [Anomali]
      WTB: APT15 is alive and strong: An analysis of RoyalCli and RoyalDNS
    • [InfoSecurityMagazine]
      Chinese APT15 Group Steals UK Military Docs

 

Exploits/Vulnerabilities

Summaries

  • 마이크로소프트의 윈도우즈 모든 버젼에 영향을 미치는 CredSSP(Credential Security Support Provider protocol)의 취약점이 발견되었다. 원격의 공격자가 RDP(Remote Desktop Protocol) 및 WinRM(Windows Remote Management)를 공격해 데이터를 훔치거나 악성 코드를 실행할 수 있는 취약점 CVE-2018-0886이 발견되었다. 이 취약점은 CredSSP의 logical cryptographic issue로, 공격자가 중간자(MitM, Man-in-the-middle) 위치에서 세션 인증 데이터(session authentication data)를 훔치고 RPC(Remote Procedure Call)공격을 행할 수 있는 취약점이다. 네트워크에 WiFi나 직접접속이 가능한 공격자는 쉽게 중간자 공격이 가능하다. CredSSP 프로토콜은 응용프로그램이 안전하게 사용자의 인증정보(credentials)를 클라이언트로부터 대상 서버로 전달(delegate)할 수 있게 하며, RDP와 WinRM 모두에서 사용한다.
  • AMD 칩에서 새로운 취약점이 발견되었다. 이스라엘의 사이버보안기업 CTS Labs에서 웹사이트를 만들어 AMD의 EPYC, Ryzen, Ryzen Pro, Ryzen 프로세서들의 13개 보안 취약점 정보를 공개했다. 이 칩들은 노트북, 모바일 기기, 서버등에 사용된다. 취약점에는 공격자가 악성코드를 AMD의 칩에 주입할 수 있도록 하는 백도어들이 포함되어 있다. 이런 악성코드들은 공격자에게 AMD 프로세서를 장악하고, 네트워크 인증정보를 훔치거나, 악성코드를 설치하고 보호된 메모리 영역을 읽고 쓸 수 있게 한다. CTS Labs는 취약점 정보를 amdflaws.com이라는 웹사이트를 통해 공개했다.
  • SecurEnvoy 메일 소프트웨어에서 취약점이 발견되었다. 오스트리아의 보안 기업 SEC Consult에 의해 발견된 이 취약점들에는 XSS(Cross-site scripting), XSRF(Cross-site Request Forgery), 인증 누락(missing authentication)이 포함된다. SEC Consult에 따르면 클라이언트가 암호화된 메일을 보내는데에 SecurEnvoy 서버에서 인증이 필요없었다. 해커들이 서버에 저장된 이메일들을 모두 추출하거나 메시지를 조작하는 것에도 열려있었다.
  • 물리적으로 분리(Air-Gapped)된 컴퓨터에서의 스피커를 이용한 MOSQUITO Attack 이라는 데이터 유출 방법에 대한 기사가 공개되었다. 이스라엘의 Ben-Gurion 대학의 연구자들이 금요일에 공개된 논문에서 동일 공간에서의 두 컴퓨터 간에 마이크를 사용하지 않는 초음파(ultrasonic sound waves) 형태의 데이터 추출 방법을 설명했다. 논문은 “MOSQUITO: Covert Ultrasonic Transmissions between Two Air-Gapped Computers using Speaker-to-Speaker Communication”이다. (13일에서 이어짐)

Detailed News List

  • CredSSP
    • [SecurityAffairs]
      A critical flaw in Credential Security Support Provider protocol (CredSSP) affects all versions of Windows
    • [TheHackerNews]
      CredSSP Flaw in Remote Desktop Protocol Affects All Versions of Windows
    • [HelpNetSecurity]
      Dangerous CredSSP flaw opens door into corporate servers
    • [DarkReading]
      Microsoft Remote Access Protocol Flaw Affects All Windows Machines
  • AMD chip flaws
    • [CyberScoop]
      What’s worse? The AMD chip flaws or the disclosure process?
    • [TheRegister]
      OK, deep breath, relax… Let’s have a sober look at these ‘ere annoying AMD chip security flaws
    • [Forbes]
      Researchers Warn Of Dangerous New Vulnerabilities Found In AMD Chips
    • [DarkReading]
      AMD Investigating Report of Vulnerabilities in its Microprocessors
    • [ZDNet]
      AMD investigating chip security flaws after less than 24 hours notice
    • [SecurityWeek]
      Researchers Find Critical Security Flaws in AMD Chips
    • [Threatpost]
      AMD Investigating Reports of 13 Critical Vulnerabilities Found in Ryzen, EPYC Chips
    • [TheHackerNews]
      13 Critical Flaws Discovered in AMD Ryzen and EPYC Processors
  • SecurEnvoy SecurMail
    • [TheRegister]
      SecurEnvoy SecurMail, you say? Only after this patch is applied, though
    • [SecurityWeek]
      Critical Vulnerabilities Addressed in SecurEnvoy SecurMail
    • [ITSecurityGuru]
      Researchers find critical flaws in SecurEnvoy SecurMail, patch now!
    • [HelpNetSecurity]
      Researchers find critical flaws in SecurEnvoy SecurMail, patch now!
  • MOSQUITO
    • [SecurityAffairs]
      MOSQUITO attack allows to exfiltrates data from Air-Gapped computers via leverage connected speakers
    • [ITSecurityGuru]
      Data Exfiltration Technique Steals Data From PCs Using Speakers, Headphones
    • [SecurityWeek]
      Stealthy Data Exfiltration Possible via Headphones, Speakers
    • [HackRead]
      Hackers can steal data from Air-Gapped PCs with microphones & speakers

 

Vulnerability Patches/Software Updates

Summaries

  • 마이크로소프트(Microsoft)에서 3월 정기 보안업데이트를 릴리즈했다. 마이크로소프트가 Patch Tuesday에서 15개의 Critical 취약점을 수정했다. 전체적으로는 75개의 취약점이 수정되었다. 패치가 적용된 제품에는 Microsoft 브라우저 및 마이크로소프트의 자바스크립트 엔진인 Chakra와 같이 브라우저에 관련된 기술들이 포함되었다.
  • 어도비(Adobe)에서 보안 패치를 릴리즈했다. 윈도우, 맥, 리눅스, 크롬OS 용 플래시 플레이어 29.0.0.113에서 28.0.0.161 및 이전 버젼에 영향을 미치는 두가지 critical 취약점을 수정했다. 취약점은 use-after-free 버그 CVE-2018-4919와 type confusion issue CVE-2018-4920이다. 둘다 모두 원격 코드 실행(remote code execution) 공격이 가능한 취약점이다. 그외 Dreamweaver CC 및 Adobe Connect도 패치되었다.
  • 삼바(Samba) 프로젝트에서 두가지 취약점에 대한 패치를 릴리즈했다. 권한이 없는 원격의 공격자가 삼바서버에 대한 DoS 공격을 할 수 있는 취약점과 임의의 사용자의 비밀번호를 변경할 수 있는 취약점을 수정했다. 이 취약점들은 삼바 버젼 4.7.6, 4.6.114, 4.5.16 릴리즈와 함께 수정되었다. DoS 취약점은 CVE-2018-1050으로 RPC spoolss 서비스가 external daemon으로 실행되도록 설정되었을 때 공격당할 수 있다. 두번째 취약점인 CVE-2018-1057은 권한이 없는 사용자가 LDAP을 통해 관리자를 포함한 아무 사용자나 비밀번호를 변경할 수 있다. LDAP을 통한 비밀번호 변경 요청에서 Samba가 사용자의 권한을 적절하게 검증하지 않아 발생한다.

Detailed News List

  • Microsoft
    • [Threatpost]
      Microsoft Patches 15 Critical Bugs in March Patch Tuesday Update
    • [Cisco]
      Microsoft Patch Tuesday – March 2018
    • [TripWire]
      VERT Threat Alert: March 2018 Patch Tuesday Analysis
    • [DarkReading]
      Microsoft Patch Tuesday: Prioritize Browser Updates
    • [SecurityWeek]
      Microsoft Patches Over Dozen Critical Browser Flaws
    • [KrebsOnSecurity]
      Flash, Windows Users: It’s Time to Patch
    • [ZDNet]
      March security updates expand Meltdown-Spectre protection for Windows
    • [US-CERT]
      Microsoft Releases March 2018 Security Updates
    • [TheRegister]
      It’s March 2018, and your Windows PC can be pwned by a web article (well, none of OURS)
    • [MSRC]
      March 2018 security update release
  • Adobe
    • [US-CERT]
      Adobe Releases Security Updates
    • [SecurityWeek]
      Adobe Patches Critical Code Execution Flaws in Dreamweaver, Flash
  • Samba
    • [US-CERT]
      Samba Releases Security Updates
    • [SecurityAffairs]
      Samba fixed two critical vulnerabilities, update your version as soon as possible
    • [TheHackerNews]
      Update Samba Servers Immediately to Patch Password Reset and DoS Vulnerabilities
    • [Threatpost]
      Samba Patches Two Critical Vulnerabilities in Server Software

 

Internet of Things

Summaries

  • 사물인터넷(IoT, Internet of Things) 카메라 해킹과 관련된 기사들이 이어졌다. 카스퍼스키랩의 Vladimir Dashchenko에 따르면 한화의 스마트캠에서 다수의 취약점이 발견되었다. 취약점은 펌웨어 업데이트나 상호작용을 위해 사용하는 HTTP 프로토콜을 가로챌 수 있으며, 웹 기반의 사용자 인터페이스를 조작하거나 루트 권한으로 원격 명령을 실행할 수 있고 서비스 거부 공격, 관리자 계정에 대한 브루트포스 공격, 인증 우회 등이 가능하다. 전문가들은 인터넷이 노출되어 있는 대략 2,000개 정도의 카메라의 IP를 확인했다. 그러나 이 취약점들이 인터넷에 직접적으로 연결되어 있지 않아도 스마트캠 클라우드 인프라의 취약점으로 인해 공격받을 수 있어, 실질적으로 훨씬 더 많은 수의 장비들이 취약할 것으로 보고있다. (13일에서 이어짐)

Detailed News List

  • Smart Camera
    • [CSOOnline]
      Severe flaws could turn your smart camera into someone else’s surveillance tool
    • [ITSecurityGuru]
      Your smart camera could go rogue: Here’s how it becomes a data-stealing spy tool
    • [ZDNet]
      Researchers find security flaws in popular smart cameras
    • [ITSecurityGuru]
      Smart camera vulnerabilities could allow criminals to spy on victims
    • [SecurityAffairs]
      13 Vulnerabilities in Hanwha SmartCams Demonstrate Risks of Feature Complexity

 

Posted in Security, Security NewsTagged APT15, BS2005, CredSSP, CVE-2018-0886, CVE-2018-1050, CVE-2018-1057, CVE-2018-4919, CVE-2018-4920, Cyber Espionage, Internet of Things, IoT, Ke3chang, Mirage, MOSQUITO Attack, Patches, Playful Dragon, RoyalCli, RoyalDNS, Vixen Panda, VulnerabilityLeave a comment

Security Newsletters, 2018 Mar 13th, 중국 배후 APT 그룹의 악성코드 外

Posted on 2018-03-13 - 2018-03-13 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 중국이 배후인 것으로 추정되는 APT 그룹이 새로운 백도어를 사용해 다양한 영국 정부 기관 및 군사 기관들의 계약업체를 노린 공격으로 추정된다. 지난 주 카스퍼스키의 Security Analyst Summit(SAS)에서 NCC 그룹의 Senior malware researcher인 Ahmed Zaki가 영국 정부의 서비스 제공사를 노린 악성코드 기반의 공격에 대한 상세 정보를 발표했다. 이 발표에서 중국과 관련된, Ke3chang, Mirage, Vixen Panda, Playful Dragon으로도 알려진 APT15 그룹이 이 공격을 실행했다고 밝혔다. 이 공격은 영국 정부 및 군사 기관들의 계약업체를 노린 큰 공격의 일부였다고 밝혔다. APT15 그룹은 최소 2010년부터 활동해 왔으며, 전 세계를 대상으로 한 사이버 스파이 캠페인을 펼쳐왔다. NCC Group은 이 해킹그룹과 관련된 두개의 새로운 악성코드를 탐지했다고 밝혔다. 침해 분석과정에서 APT15의 공격도구들 중 일부로 보이는 백도어들을 찾아냈다. 이 그룹에 의해 지속적으로 사용된 BS2005라는 백도어와 함께, RoyalCli 및 RoyalDNS라는 백도어가 확인되었다.
  • 2017년에 CCleaner 유틸리티에 심어졌던 백도어에 대한 조사가 이어져, 이 공격의 배후가 침해 컴퓨터들에 ShadowPad 악성코드를 설치하려 계획했다고 Avast가 밝혔다. Avast는 CCleaner 제작사인 Piriform을 인수했으며, 지난 2017년 9월 처음 악성코드 공격이 밝혀진 이래 계속적으로 조사해 왔다. Avast는 감염된 컴퓨터에서 세번째 단계(Third stage)의 바이너리 증거를 찾지 못했으나, “세번째 단계의 의도가 무엇이었는가”에 대한 증거를 찾아냈다고 지난주에 열린 Kaspersky Lab의 Security Analyst Summit(SAS)에서 밝혔다. Avast에 따르면, 2017년 3월에서 7월 4일 사이에 Piriform의 빌드서버에 악성코드가 유포되었다. 지난 9월 Avast 및 Kaspersky Lab의 Costin Raiu는 중국 사이버 스파이 그룹인 Axiom이 이 공격의 배후라 밝힌바 있다.

Detailed News list

  • Chinese APT Goup APT15
    • [SecurityAffairs]
      China-Linked APT15 used new backdoors in attack against UK Government’s service provider
    • [SecurityWeek]
      China-Linked Spies Used New Malware in U.K. Government Attack
  • Chinese APT Group Axiom
    • [DarkReading]
      Chinese APT Backdoor Found in CCleaner Supply Chain Attack
    • [Threatpost]
      CCleaner Attackers Intended To Deploy Keylogger In Third Stage

 

Malwares

Summaries

  • 카스퍼스키랩의 연구원들에 의해 복잡하고도 뛰어난 해킹 기법을 통해 최소 지난 2012년 이래로 비밀리에 해킹을 지속해온 APT 그룹이 드러났다. 이 해킹 그룹은 슬링샷(Slingshot)이라 명명된 고도화된 악성코드를 사용해 중동 및 아프리카의 라우터 해킹을 통해 수많은 피해자들을 감염시켰다. 카스퍼스키랩이 공개한 25페이지 분량의 보고서에 따르면, 이 그룹은 라트비아의 네트워크 하드웨어 제작사인 미크로틱(Mikrotik) 라우터의 알려지지 않은 취약점을 공격해 감염벡터의 첫번째 단계로 시용했으며, 이를 이용해 피해대상의 컴퓨터에 비밀리에 스파이웨어를 심었다. (10일에서 이어짐)

Detailed News List

  • Slingshot
    • [ZDNet]
      Spy malware secrets: How complex ‘Slingshot’ hit targets via hacked routers
    • [CyberScoop]
      Kaspersky uncovers sophisticated cyber-espionage operation across Africa and Middle East
    • [InformationSecurityBuzz]
      ANNOUNCEMENT: Check Your Router – Kaspersky Lab Discovers Slingshot Malware
    • [BankInfoSecurity]
      How ‘Slingshot’ Router Malware Lurked for Six Years
    • [Threatpost]
      Cyber Espionage Campaign ‘Slingshot’ Targets Victims Via Routers
    • [SecurityAffairs]
      Sophisticated APT group compromised routers to deliver Slingshot Spyware
    • [TheRegister]
      Slingshot malware uses cunning plan to find a route to sysadmins

 

Exploits/Vulnerabilities

Summaries

  • 물리적으로 분리(Air-Gapped)된 컴퓨터에서의 스피커를 이용한 MOSQUITO Attack 이라는 데이터 유출 방법에 대한 기사가 공개되었다. 이스라엘의 Ben-Gurion 대학의 연구자들이 금요일에 공개된 논문에서 동일 공간에서의 두 컴퓨터 간에 마이크를 사용하지 않는 초음파(ultrasonic sound waves) 형태의 데이터 추출 방법을 설명했다. 논문은 “MOSQUITO: Covert Ultrasonic Transmissions between Two Air-Gapped Computers using Speaker-to-Speaker Communication”이다.

Detailed News List

  • MOSQUITO Attack
    • [TheHackerNews]
      MOSQUITO Attack Allows Air-Gapped Computers to Covertly Exchange Data
    • [TheRegister]
      Air gapping PCs won’t stop data sharing thanks to sneaky speakers

 

Internet of Things

Summaries

  • 사물인터넷(IoT, Internet of Things) 카메라 해킹과 관련된 기사들이 이어졌다. 카스퍼스키랩의 Vladimir Dashchenko에 따르면 한화의 스마트캠에서 다수의 취약점이 발견되었다. 취약점은 펌웨어 업데이트나 상호작용을 위해 사용하는 HTTP 프로토콜을 가로챌 수 있으며, 웹 기반의 사용자 인터페이스를 조작하거나 루트 권한으로 원격 명령을 실행할 수 있고 서비스 거부 공격, 관리자 계정에 대한 브루트포스 공격, 인증 우회 등이 가능하다. 전문가들은 인터넷이 노출되어 있는 대략 2,000개 정도의 카메라의 IP를 확인했다. 그러나 이 취약점들이 인터넷에 직접적으로 연결되어 있지 않아도 스마트캠 클라우드 인프라의 취약점으로 인해 공격받을 수 있어, 실질적으로 훨씬 더 많은 수의 장비들이 취약할 것으로 보고있다.

Detailed News List

  • IoT Camera
    • [SecurityWeek]
      Remotely Exploitable Flaws Found in SmartCam Cameras
    • [Securelist]
      Somebody’s watching! When cameras are more than just ‘smart’
    • [HackRead]
      Sauna security camera hacked; nude videos of Dutch Women’s Handball Team leaked
    • [HackRead]
      Israeli Rabbi arrested for hacking CCTV cameras at women’ bathing suit shop
    • [EHackingNews]
      Sauna Camera Breached; Nude Video of Dutch Women Handball Team Players Leaked

 

Posted in Security, Security NewsTagged APT15, Axiom, BS2005, Cyber Espionage, IoT, Ke3chang, Malware, Mirage, MOSQUITO Attack, Playful Dragon, RoyalCli, RoyalDNS, ShadowPad, Slingshot, Vixen PandaLeave a comment

Security Newsletters, 2018 Feb 15th, Bitmessage 원격 코드 실행 취약점 外

Posted on 2018-02-15 - 2018-02-15 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 평창 동계 올림픽의 IT 서비스 제공 업체인 ATOS가 몇 달 전에 이미 해킹당한 것으로 드러났다. Olympic Destroyer 악성코드를 2월 9일에 배포한 공격자가 평창 동계 올림픽에 클라우드 인프라를 제공하는 다국적 정보 기술 서비스 제공업체 Atos의 여러 컴퓨터들에 지난 12월에 이미 침투한 것으로 보인다. 바이러스토탈(VirusTotal)에 업로드된 악성코드 중 초기 샘플들은 Atos의 보안팀 일부가 근무하는 곳인 프랑스에서 업로드 되었다.

Detailed News list

  • Olympic
    • [CyberScoop]
      Atos, IT provider for Winter Olympics, hacked months before Opening Ceremony cyberattack

 

Malwares

Summaries

  • DoubleDoor라 명명된 IoT(Internet of Things) 봇넷이 방화벽을 우회하는 두가지 취약점을 이용해 확산중이다. DoubleDoor는 CVE-2015-7755를 공격하는 것으로 시작한다. 이 취약점은 원격의 공격자가 Juniper Networks의 하드웨어 방화벽 장치에 사용되는 ScreenOS에 관리자 권한으로 접근할 수 있게 만들어준다. 이렇게 방화벽 보호기능을 우회한 후에는 ZyXEL PK5001Z 모뎀의 보안 기능을 CVE-2016-10401 취약점으로 회피한다. 비 관리자 계정의 비밀번호를 알고있는 경우, 공격자는 이 취약점으로 루트계정에 대한 접근 권한을 얻을 수 있다. DoubleDoor는 관리자 권한을 얻기 위해 필요한 일반 계정에 대해 비밀번호 공격을 수행한다.
  • Olympic Destroyer 악성코드의 변종이 탐지되었다. 시스코 탈로스(Cisco Talos)의 연구가들은 이 악성코드가 공유 네트워크 드라이브 상의 파일또한 삭제한다고 밝혔다. 이전의 악성코드에서는 단일 지점만 공격 대상으로 삼았다.
  • 안드로이드 악성코드인 AndroRAT의 변종이 확인되었다. 이 악성코드는 2012년에 처음 한 대학교의 프로젝트로 만들어졌다. 오픈소스 클라이언트/서버 구조의 응용프로그램으로 장치에 대한 원격제어 기능을 가지고 있었다. 그리고 해커들이 이 프로젝트를 악용하기 시작했다. 새로운 버젼의 악성코드는 CVE-2015-1805 취약점을 공격하는 코드를 포함하고 있으며, 이는 로컬 권한상승 취약점으로 안드로이드 OS의 커널에 영향을 미친다. 커널 3.4, 3.4.10, 3.14 버젼기반의 OS를 사용하는 모든 패치되지 않은 안드로이드 장치들은 이 CVE-2015-1805에 취약하다. (14일에서 이어짐)

Detailed News List

  • DoubleDoor
    • [TripWire]
      DoubleDoor IoT Botnet Abuses Two Vulnerabilities to Circumvent Firewalls, Modems
    • [SecurityAffairs]
      DoubleDoor, a new IoT Botnet bypasses firewall using two backdoor exploits
  • Olympic Destroyer
    • [ThreatPost]
      Researchers Find New Twists In ‘Olympic Destroyer’ Malware
  • AndroiRAT
    • [ZDNet]
      AndroRAT: New Android malware strain can hijack older phones

 

Exploits/Vulnerabilities

Summaries

  • 텔레그램(Telegram)에서 새로운 제로데이 취약점이 발견되었다. 텔레그램의 윈도우즈 데스크탑용 클라인트에서 취약점이 발견되었고, 해커들이 이를 공격에 사용하고 있음이 확인되었다. KasperskyLab의 Alexey Firsh가 발견한 이 취약점은, 이미 해커들에 의해 모네로(Monero) 및 ZCash 암호화폐 채굴기 유포에 사용되고 있는 것으로 확인되었다. 전문가에 따르면 해커들이 이 취약점을 최소한 작년 3월부터 공격에 사용해온 것으로 보인다. 공격자들은 이 취약점으로 피해자를 속여 채굴기를 다운로드 하게 하거나, 백도어를 심는데 사용했다. 이 취약점은 텔레그램 윈도우즈 클라이언트가 RLO(Right-to-left Override) 유니코드 문자(U+202E)를 취급하는 방식과 관련되어있다. 공격자들은 이 RLO 유니코드 문자를 파일명에 포함시켜, 이 파일을 공격 대상에게 보낸다. RLO 문자가 포함된 gnp.js과 같은 이름의 파일을 보내면, 윈도우즈 클라이언트에서는 sj.png로 파일명이 표시되는 것을 이용해 무해한 png 파일인 것 처럼 속여, 공격대상이 의심없이 스크립트 파일을 실행시키도록 하는 방식이다. (14일에서 이어짐)

Detailed News List

  • Telegram
    • [HackRead]
      Flaw in Telegram Windows App Used for Cryptomining & Backdoor
    • [HelpNetSecurity]
      How cybercriminals exploited Telegram flaw to deliver malware
    • [InfoSecurityMagazine]
      Telegram Zero-Day Exploited by Crypto-Miners

 

Vulnerability Patches/Software Updates

Summaries

  • 비트메시지(Bitmessage)의 제로데이 취약점을 노리는 공격이 확인되어 긴급 패치가 릴리즈 되었다. 비트메시지는 암호화된 메시지를 1인이나 다수에게 보낼 수 있는 decentralized and trustless 통신 프로토콜이다. PyBitmessage는 이 Bitmessage의 공식 클라이언트이다. 비트메시지의 개발자들은 PyBitmessage 0.6.2를 사용하는 사용자들이 공격받을 수 있는 취약점이 존재한다는 경고를 발표했다. 취약점은 메시지 인코딩 버그로, 0.6.3.2 버젼에서 패치되었다. 그러나 PyBitmessage 0.6.1 역시 취약점에 영향을 받지 않기 때문에 다운그레이딩 또한 공격을 예방하는 한가지 방법이 될 수 있다.
  • 델(DELL)의 VMAX 엔터프라이즈 스토리지 시스템에서 다수의 취약점이 발견되었으며, 이에 대한 패치가 릴리즈 되었다. 델이 VMAX enterprise storage systems의 두 가지 치명적인 취약점을 수정했다. 취약점 중 하나는 원격 공격자가 하드코딩된 비밀번호를 이용해 시스템의 기본계정 접근 권한을 획득할 수 있는 취약점이다. 수정된 취약점들은 CVE-2018-1215와 CVE-2018-1216이다.
  • 구글이 안드로이드 운영체제의 코드 실행 취약점을 패치했다. 2018년 2월 Android Security Bulletin에서는 26개의 취약점이 수정되었다. 수정된 취약점 중 대다수는 권한상승(elevation of privilege, EoP) 취약점이었다.2018-02-01 보안 패치 레벨에서는 Media Framework에서 6개의 취약점과 System component에서 1개의 취약점이 수정되었다.
  • 마이크로소프트의 정기 업데이트가 릴리즈 되었다. 이번 패치에서는 아웃룩의 버그 두가지와 오피스, 브라우저의 취약점들이 수정되었다. 이번 패치에서는 윈도우즈, 오피스, 익스플로러, 엣지(Edge), 자바스크립트 엔진(ChakraCore)의 취약점이 수정되었다. (14일에서 이어짐)
  • 마이크로소프트에서 멜트다운/스펙터 점검을 위한 무료 툴을 공개했다. 마이크로소프트가 이번에 공개한 Windows Analytics Service에서는, 윈도우즈에 내장되어있는 원격 측정 서비스(telemetry service)를 사용하여 기관에 등록되어있는 장치들로부터 데이터를 수집하고 집계된 보호상태 정보를 대시보드를 통해 알려준다. 이 Windows Analytics 기능은 Pro, Enterprise, Education editions에서 사용가능하다. (14일에서 이어짐)
  • 어도비에서 아크로뱃 및 리더, Experience manager에 대한 보안 업데이트를 릴리즈했다. (14일에서 이어짐)

Detailed News List

  • Bitmessage
    • [TheHackerNews]
      Hackers Exploiting ‘Bitmessage’ Zero-Day to Steal Bitcoin Wallet Keys
    • [SecurityWeek]
      Zero-Day Attack Prompts Emergency Patch for Bitmessage Client
  • DELL
    • [ThreatPost]
      Dell EMC Patches Critical Flaws in VMAX Enterprise Storage Systems
    • [SecurityWeek]
      Nine Remotely Exploitable Vulnerabilities Found in Dell EMC Storage Platform
  • Android
    • [SecurityWeek]
      Critical Code Execution Flaws Patched in Android
  • Windows Patch Tuesday
    • [GrahamCluley]
      Patch now! Microsoft fixes over 50 serious security flaws
    • [WeLiveSecurity]
      Patch now! Microsoft fixes over 50 serious security flaws
    • [SecurityAffairs]
      Microsoft Patch Tuesday for February 2018 addresses 14 critical flaws
    • [ZDNet]
      Use Microsoft Outlook? Update now to fix these two dangerous bugs
    • [TrendMicro]
      February Patch Tuesday Is a Bouquet of Fixes for Privilege Escalation Vulnerabilities
    • [TheHackerNews]
      Microsoft Issues Security Patch Update for 14 New Critical Vulnerabilities
    • [HelpNetSecurity]
      Microsoft, Adobe February 2018 security updates: An overview
  • Windows Analytics
    • [SecurityAffairs]
      Windows Analytics now includes Meltdown and Spectre detector
    • [SecurityWeek]
      Windows Analytics Helps Assess Risk of Meltdown, Spectre Attacks
    • [HelpNetSecurity]
      Microsoft boosts Windows Analytics to help squash Meltdown and Spectre bugs
    • [TheRegister]
      Meltdown-and-Spectre-detector comes to Windows Analytics
  • Adobe
    • [ZDNet]
      Adobe addresses critical vulnerabilities in Acrobat, Reader

 

Posted in Security, Security NewsTagged AndroRAT, Bitmessage, CVE-2018-1215, CVE-2018-1216, Cyber Espionage, DoubleDoor, IoT, Malware, Olympic Destroyer, Patches, VulnerabilityLeave a comment

Security Newsletters, 2018 Jan 15th, ARC CPU 노리는 Mirai Okiru 발견 外

Posted on 2018-01-15 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Malwares

Summaries

  • Mirai Okiru 봇넷이 역사상 처음으로 ARC CPU기반의 IoT 장비를 대상으로 공격을 벌이는 것이 탐지되었다. 2016년 8월에 MalwareMusDie 팀의 보안연구가 unixfreaxjp가 악명높은 Mirai 봇넷을 처음으로 탐지헀는데, 이번에도 같은 연구자에 의해 새로 악성코드가 탐지되었다. 이번에 unixfreaxjp가 발견한 것은 컴퓨터 엔지니어링 역사상 처음으로, ARC CPU를 감염시키는 리눅스 악성코드다. 이 새로운 ELF 악성코드는 MIRAI OKIRU로 명명되었다. 악성코드가 ARC CPU기반의 시스템을 공격대상으로 삼은 것은 처음있는 일이다. 첫 발견때까지 Mirai Okiru는 거의 대부분의 안티바이러스에서 탐지되지 않았다. MalwareMustDie에서는 ARC CPU가 1년에 IoT 장치들을 10억대 이상 생산해내기 때문에, Linux와 IoT의 감염에 있어 큰 변화가 있을 것이라 예상했다.

Detailed News List

  • Mirai Okiru
    • [SecurityAffairs]
      Mirai Okiru botnet targets for first time ever in the history ARC-based IoT devices
    • [Wikipedia]
      ARC Processor

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 코네티컷(Connecticut)의 한 남성이 피싱 캠페인의 일부로 250개 넘는 아이클라우드(iCloud) 계정을 해킹한 것에 대하여 유죄를 인정했다. 이 해킹으로 유명 여성 셀럽들의 누드 사진이 인터넷에 공개되었다. 26세의 George Garofano는 이번 일로 최대 5년의 징역형을 받게되었다. (13일에서 이어짐)

Detailed News List

  • Celebgate
    • [SecurityAffairs]
      Fappening – A fourth man has been charged with hacking into over 250 Apple iCloud accounts belonging to celebrities

 

Vulnerability Patches/Software Updates

Summaries

  • 중국의 레노보(Lenovo)의 엔지니어가 네트워킹 스위치에 존재하는 백도어를 찾아냈다. 보안권고문(CVE-2017-3765)에 따르면 이 “HP backdoor”는 펌웨어에 대한 내부 보안 감사(internal security audit)을 모든 제품들에 대하여 진행하여 발견되었다. 이 백도어는 Enterpise Network Operating System(ENOS)에 영향을 미친다. 레노보는 업데이트를 릴리즈 했으며, 인증이나 인가를 우회할 수 있는 메커니즘을 절대 허용하지 않는다고 언급했다.

Detailed News List

  • Lenovo
    • [SecurityAffairs]
      Lenovo spotted and fixed a backdoor in RackSwitch and BladeCenter networking switches

 

Service Outage/Malfunction

Summaries

  • 실수로인해 하와이에 있는 사람들에게 탄도 미사일(ballistic missile) 경보가 발송되었다. 하와이에서 토요일 아침에 휴대전화로 긴급경보가 발송되고 TV와 라디오에도 송출되었다. 놀란 사람들은 대피소를 찾았다. 그리고 약 38분 후 잘못된 경고였음이 밝혀졌다. 하와이 정부의 David Ige는 CNN과의 인터뷰에서 거짓 경보 발송의 원인은 해킹이 아니었으며, 근무 교대의 표준 절차중에 실수로 버튼을 잘못 누른 결과였다고 밝혔다.

Detailed News List

  • Hawaii
    • [CSOOnline]
      Hitting the ‘wrong button’ pushed out false ballistic missile alert to Hawaii

 

Posted in Security, Security NewsTagged Botnet, Internet of Things, IoT, Malware, MiraiLeave a comment

글 내비게이션

이전 글

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org

Biohacking

  • Nootropics Reddit
  • A Beginner's Guide to Nootropics
  • Psychonaut WIKI
  • Supplements Reddit
  • StackAdvice Reddit
Proudly powered by WordPress | Theme: micro, developed by DevriX.