Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] Keylogger

Security Newsletters, 2018 Jan 29th, phpBB 감염된 패키지 다운로드 外

Posted on 2018-01-29 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 유명한 오픈소스 웹 포럼 어플리케이션인 phpBB의 다운로드 링크가 침해당해 몇시간 동안 감염된 버젼을 다운로드하게 만든 사고가 있었다. 신원이 알려지지 않은 해커가 변경한 다운로드 URL은 두개로, phpBB 3.2.2 full package와 phpBB 3.2.1 -> 3.2.2 자동 업데이터 URL이다. 이렇게 변경된 링크는 1월 26일 UTC 12:02 PM 부터 UTC 15:03 PM 까지 약 세 시간 동안 제공되었다. 이 시간동안 phpBB를 다운로드 받은 사용자는 감염된 파일을 다운로드 받았을 수 있다. 아직까지 해커가 어떻게 다운로드 URL을 변경했는지에 대해서는 알려지지 않았다.
  • 미국에서 ATM에 대한 잭팟팅(Jackpotting) 공격이 최초로 확인되었다. ATM에 악의적인 소프트웨어나 하드웨어를 설치해 현금을 인출할 수 있게 하는 잭팟팅(Jackpotting) 공격은 유럽과 아시아에서는 오랫동안 은행을 위협해온 공격이었다. 그간 미국에서는 목격되지 않았으나, 이번주에 미국에서도 이러한 공격이 확인되면서 Secret Service에서는 이 공격에 대해 금융기관들에게 경고하기 시작했다.
  • 구글 더블클릭(DoubleClick)을 악용해 암호화폐 채굴기를 유포하는 말버타이징(Malvertising) 캠페인이 확인되었다. 여기에는 CoinHive 스크립트 외에도, 사설 풀(pool)의 별도 웹 마이너도 사용되었다. 공격자들은 구글의 더블클릭을 악용(abused)한다. (27일에서 이어짐)
  • 이란 해커들이 새로운 백도어를 가지고 IIS 웹 서버들을 노리고 있다. OilRig으로 알려진 이란과 연관된 것으로 추정되는 사이버 스파이 그룹이 중동 정부 기관과 금융 및 교육기관들의 IIS 웹서버들을 공격하고 있다. RGDoor라고 명명된 이 악성코드는, 첫번째 악성코드가 탐지되어 삭제된 경우에 공격자가 침해당한 웹서버에 다시 접근할 수 있게 해주는 악성코드로 추정된다. (27일에서 이어짐)
  • 클라우드플레어 도메인(cloudflare.solutions)을 사용했던 키로거가 새로운 도메인으로 돌아왔다. Sucuri에서 cloudflare.solutions에 대한 정보를 공개한 뒤, 해당 도메인은 정지되었다. 공격자는 즉시 새로운 도메인들을 등록했다. cdjs.oneline, cdns.ws, msdns.online 등이다. (25일에서 이어짐)

Detailed News list

  • phpBB
    • [SecurityAffairs]
      Download URLs for two packages of the phpBB forum software were compromised
  • Jackpotting Attacks
    • [KrebsOnSecurity]
      First ‘Jackpotting’ Attacks Hit U.S. ATMs
  • OilRig RGDoor
    • [SecurityAffairs]
      Iran-linked APT OilRig target IIS Web Servers with new RGDoor Backdoor
  • Malvertising
    • [HackRead]
      Hackers are using YouTube Ads to Mine Monero Cryptocurrency
    • [SecurityAffairs]
      Trend Micro spotted a malvertising campaign abusing Google’s DoubleClick to deliver Coinhive Miner
  • KeyLogger
    • [SecurityAffairs]
      Attackers behind Cloudflare_solutions Keylogger are back, 2000 WordPress sites already infected

 

Vulnerability Patches/Software Updates

Summaries

  • 레노보(Lenovo)가 ThnkPad의 지문인식기에 영향을 미치는 하드코딩된 비밀번호 취약점을 수정했다. 이 취약점은 Windows7, 8, 8.1을 사용하는 십여대의 레노보 노트북 모델에 영향을 미친다. Lonovo의 Fingerprint Manager Pro 8.01.76과 이전버젼에서 저장되는 데이터에는 윈도우즈 로그온 인증정보 및 지문정보가 포함되어있다. 그러나 이 데이터가 취약한 알고리즘으로 암호화되며, 하드코딩된 비밀번호가 사용된다. 이 취약점은 CVE-2017-3762다. (27일에서 이어짐)

Detailed News List

  • Lenovo Fingerprint Manager Pro
    • [SecurityAffairs]
      Hurry up, update your Lenovo Fingerprint Manager Pro if you use Windows 7, 8 and 8.1

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 피싱 사기로 9십만 달러가 도둑맞았다. 2017년 9월 21일에 시작된 이 사기 사건은, 텍사스의 Harris County의 약 30%가 허리케인 하비(Harvey)에 의해 물에 잠겼을 때 시작되었다. 카운티 auditor 사무실은 D&W Contractors, Inc의 회계사 Fiona Chambers라고 하는 여성으로부터의 이메일을 받았다. D&W Contractors, Inc는 카운티의 허리케인 피해 복구 업무를 진행할 회사였고, 이메일에서 Chambers는 카운티 오피스에 총액 88만8천달러를 계약에 따라 은행계좌로 입금해 달라는 요청을 했다. Chambers가 제공한 해당 은행계좌가 실제 D&W Contractors, Inc의 계좌인지 확인하지 않고 카운티 사무실은 88만8천 달러를 계좌이체 했다. 바로 다음날, 카운티 사무실은 D&W Contractors에는 Fiona Chambers라는 직원이 존재하지 않으며, 은행 계좌도 이 회사의 것이 아니며 피싱 사기에 당했다는 것을 확인했다.

Detailed News List

  • Phishing Scam
    • [HackRead]
      Phishing Scam: Hackers Steal $900,000 from County Office

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • 아기들의 사회보장번호(SSN)가 세금 사기를 위해 다크웹에서 판매되고 있다. Terbium Labs의 최근 연구 결과에 따르면, 아기들의 사회보장번호(Social Security Numbers)와 다른 개인 식별 정보(Personal Identifiable Information, PII), 생일, 어머니의 처녀 이름 정보가 다크웹에서 거래되고 있다. (26일에서 이어짐)

Detailed News List

  • Infant fullz
    • [SecurityAffairs]
      Cybercriminals are offering for sale infant fullz on the dark web

 

Crypto Currencies/Crypto Mining

Summaries

  • 일본 기반의 암호화폐 교환소인 CoinCheck이 해킹당해 5억 3400만 달러 가량을 도둑맞았다. 거대 암호화폐 거래소중 하나인 Coincheck이 해킹당해 NEM 토큰 5억3400만 달러 가량을 도둑맞았다. 도쿄에 위치한 거래소인 Coincheck은 암호화폐 비즈니스 역사상 가장 큰 규모인 것으로 추정되는 해킹을 당했음을 시인했다. 기자회견에서 Coincheck 회장 Koichi Wada는 고객들에게 사과하며 당국이 사고에 한 조사를 진행중에 있다고 밝혔다. (27일에서 이어짐)

Detailed News List

  • Coincheck
    • [SecurityAffairs]
      Japan-based digital exchange Coincheck to refund to customers after cyberheist
    • [SecurityWeek]
      Japan’s Crypto Exchange to Refund to Customers After Theft
    • [EHackingNews]
      Japan cryptocurrency exchange lost $532 million to hackers

 

Posted in Security, Security NewsTagged Crypto Currency, Cryptocurrency Exchanges, Cyber Espionage, Dark Web, Jackpotting Attacks, Keylogger, Malvertising, OilRig, Patches, Phishing, RGDoorLeave a comment

Security Newsletters, 2018 Jan 25th, Alphabet 보안 기업 Chronicle 런칭 外

Posted on 2018-01-25 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 트렌드마이크로(TrendMicro)에서 라자러스(Lazarus) 그룹과 이 그룹이 공격에 사용하는 여러 도구중 하나인 RATANKBA라는 악성코드, 그리고 서버들에 대한 분석 기사를 공개했다.
  • 모네로(Monero) 암호화폐를 채굴하기 위한 대규모의 움직임이 4개월 이상 지속되어 온 것을 팔로알토네트웍스(Palo Alto Networks)의 Unit 42에서 탐지했다. 이 작전은 오픈소스 XMRig 유틸리티를 사용해 모네로를 채굴한다. Unit42에서 예측한 바에 따르면, 이 작전에 영향을 받은 사람은 전 세계 약 1500만명에 달할 것으로 보인다.

Detailed News list

  • Lazarus
    • [TrendMicro]
      Lazarus Campaign Targeting Cryptocurrencies Reveals Remote Controller Tool, an Evolved RATANKBA, and More
  • Monero Mining Operation
    • [Unit42]
      Large Scale Monero Cryptocurrency Mining Operation using XMRig

 

Malwares

Summaries

  • 클라우드플레어 도메인(cloudflare.solutions)을 사용했던 키로거가 새로운 도메인으로 돌아왔다.  Sucuri에서 cloudflare.solutions에 대한 정보를 공개한 뒤, 해당 도메인은 정지되었다. 공격자는 즉시 새로운 도메인들을 등록했다. cdjs.oneline, cdns.ws, msdns.online 등이다.
  • 미라이 마수타(Mirai Masuta)봇넷에 대한 기사가 이어지고 있다. Mirai를 기반으로 한 새로운 IoT 봇넷인 Masuta는 최소 두 개의 변종이 있는 것으로 보인다고 NewSky Security에서 밝혔다. Masuta의 소스코드가 비공개 다크웹의 포럼에서 발견되었고, 연구자들이 발견한 바에 따르면 악성코드의 설정 파일은 미라이와 비교했을때 다른 암호화 키를 사용한다. 그리고 연구자들은 nexusiotsolutions.net이라는 도메인을 C7C 서버로 사용하는데, 이 도메인은 Nexus Zeta라는 최근의 Satori 공격과 관련된 개인이 사용하는 도메인이다. 이 도메인은 nexuszeta1337@gmail.com 이메일을 사용해 등록되었다. 그래서 NewSky Security는 Nexus Zeta가 Satori에 이어, Masuta 봇넷의 제작에 관련된 것으로 추정한다.
  • P2P통신을 사용하는 IoT 봇넷이 급격히 확산중이다. 보안 기업 비트디펜더(BitDefender)에 의해 Hide’N Seek(HNS)라 명명된 이 봇넷은 처음 1월 초에 탐지되었으며, 1월 20일 다시 탐지되어 급격히 확산중이다. 이 봇넷은 장치들간에 분산된 Peer-to-Peer 방식으로 통신 한다. 이 봇넷은 리퍼(Reaper)봇넷과 동일한 익스플로잇을 사용해 장치를 감염시킨다. 그러나 아직 이 두 봇넷이 연관되었다는 증거는 없다.

Detailed News List

  • Keylogger
    • [Sucuri]
      Cloudflare[.]solutions Keylogger Returns on New Domains
  • Mirai Masuta
    • [SecurityWeek]
      Mirai-Based Masuta Botnet Weaponizes Old Router Vulnerability
    • [SecurityAffairs]
      Satori’s threat actors are behind the new Masuta botnet that is targeting routers in the wild
    • [TheRegister]
      Fresh botnet recruiting routers with weak credentials
  • P2P IoT Botnet
    • [ZDNet]
      This unusual new IoT botnet is spreading rapidly via peer-to-peer communication

 

Exploits/Vulnerabilities

Summaries

  • 일렉트론(Electron) 프레임워크에서 심각한 취약점이 발견되었다. 일렉트론은 Skype나 Slack과 같은 유명 어플리케이션을 제작하는데 사용된 프레임워크다. 이 프레임워크에서 심각한 원격 코드 실행 취약점(remote code execution vulnerability)이 발견되었다. 이 앱들은 윈도우즈에서 실행되고, myapp://과 같은 프로토콜에 대한 기본 핸들러로 앱 자신을 등록했을 때 취약하다. 이 취약점은 CVE-2018-1000006 번호가 부여되었다. (24일에서 이어짐)
  • Meltdown/Spectre와 이에대한 패치, 그리고 패치에 의한 성능 문제에 대한 기사가 계속해서 이어지고 있다.

Detailed News List

  • Electron framework
    • [ThreatPost]
      Skype, Slack and Other Popular Windows Apps Vulnerable to Critical Framework Bug
    • [SecurityAffairs]
      Critical code execution flaw in Electron framework impacts popular Desktop apps such as Skype and Signal
    • [ThreatPost]
      Skype, Slack and Other Popular Windows Apps Vulnerable to Critical Framework Bug
    • [SecurityWeek]
      Code Execution Flaw Impacts Popular Desktop Apps
    • [ZDNet]
      Electron critical vulnerability strikes app developers
    • [TheHackerNews]
      Critical Flaw Hits Popular Windows Apps Built With Electron JS Framework
    • [TheRegister]
      Skype, Slack, other apps inherit Electron vuln
  • Meltdown/Spectre
    • [CyberScoop]
      Congress wants answers on embargo of Spectre and Meltdown information
    • [InformationSecurityBuzz]
      Intel Halt Of Spectre And Meltdown Patches
    • [BankInfoSecurity]
      Expect More Cybersecurity ‘Meltdowns’
    • [ZDNet]
      ​Spectre flaw: Dell and HP pull Intel’s buggy patch, new BIOS updates coming
    • [SecurityWeek]
      Apple Patches Meltdown Flaw in Older Versions of macOS

 

Vulnerability Patches/Software Updates

Summaries

  • 워드프레스 플러그인에서 사이트 구독자 목록을 유출시키는 취약점이 패치되었다. 워드프레스 플러그인인 Email Subscribers & Newsletters에서 Dominykas Gelucevicius가 취약점을 찾아냈다. Gelucevicius의 설명에 따르면, 이 취약점은 3.4.8 이전 버젼의 플러그인은 모두 취약하다.
  • 파이어폭스 58 업데이트가 릴리즈되었다.

Detailed News List

  • WordPress Plugin
    • [TripWire]
      WordPress Plugin Fixes Bug Allowing Download of 100K+ Sites’ Subscriber Lists
  • Mozilla Firefox 58
    • [ZDNet]
      ​Firefox 58 arrives with tracker blocking to make browsing faster, and fixes for dozens of security flaws

 

Privacy

Summaries

  • 윈도우즈 10에서 원격 측정 데이터(telemetry data)를 위한 새로운 개인정보 보호 도구가 나온다. 2018년 4월 업데이트를 시작으로, 마이크로소프트가 윈도우즈 10 사용자들이 마이크로소프트의 원격측정 서버로 보내지는 수집된 진단 데이터를 검사할 수 있는 도구를 출시한다. 마이크로소프트는 윈도우즈 10의 다음번 릴리즈에서 윈도우즈 진단 데이터 뷰어 도구(Windows Diagnostic Data Viewer utility)를 포함한다고 공식적으로 확인했다.

Detailed News List

  • Windows 10
    • [ZDNet]
      Windows 10: Microsoft rolls out new privacy tools for telemetry data

 

Data Breaches/Info Leakages

Summaries

  • 벨(Bell) 캐나다가 데이터 침해 사고를 당했다. 이미 정보유출 사고를 겪은 바 있는 벨 캐나다가 고객 데이터베이스를 또 해킹당했다. 벨 캐나다는 2017년 5월 190만명의 고객정보가 도난당한바 있다.

Detailed News List

  • Bell Canada
    • [TheRegister]
      Bell Canada Canucks it up again: Second hack in just eight months
    • [DarkReading]
      Bell Canada Hit with 2nd Breach in 8 Months
    • [InformationSecurityBuzz]
      Bell Canada Cyber Breach
    • [InfoSecurityMagazine]
      Bell Canada Suffers Customer Data Breach
    • [SecurityAffairs]
      Bell Canada suffers a data breach for the second time in less than a year
    • [SecurityWeek]
      Bell Canada Hit by Data Breach

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 산업제어시스템(ICS, Industrial control systems) 환경에서의 PC나 서버에서 소프트웨어를 동작시키기 위해 사용하는 라이센스 관리 소프트웨어(license management software)에서 여러 심각한 취약점들이 발견되었다. 카스퍼스키랩의 ICS CERT 연구자들에 따르면, Hardware Against Software Piracy(HASP)라는 라이센스 관리 시스템에서 발견된 14개의 취약점은 라이센스 관리용 USB 토큰이 사이버 공격의 원격 접근 채널로 사용될 수 있다는 의미다. 발견된 취약점에는 다수의 서비스거부(DoS, Denial of service) 취약점과 여러 원격 코드 실행(Remote code execution) 취약점들이 포함된다. (23일에서 이어짐)

Detailed News List

  • USB Token
    • [InformationSecurityBuzz]
      Vulnerabilities Found In USB Tokens Used In Industrial Control Systems

 

Crypto Currencies/Crypto Mining

Summaries

  • 가짜 암호화폐 사기에서 랜섬웨어를 유포한 것이 확인되었다. Fortinet의 연구자들이 새로운 랜섬웨어 사기를 탐지했다. 이 사기에서 해커들은 새로운 암호화폐 ‘스프라이트코인(SpriteCoin)‘을 소개하며 피해자들에게 지갑 파일을 다운로드하고 비밀번호를 생성하라고 속였다. 이 지갑 설치파일은 윈도우즈 기반의 컴퓨터를 감염시키는 악성코드 였으며, 시스템의 파일들을 암호화 시키고 잠긴 파일들의 암호를 푸는것에 대해 몸값을 오구한다. (24일에서 이어짐)

Detailed News List

  • SpriteCoin fraud
    • [CSOOnline]
      Hackers lure victims with fake cryptocurrency SpriteCoin
    • [CSOOnline]
      Fake SpriteCoin cryptocurrency installs ransomware and more malware if ransom is paid

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 구글 알파벳(Alphabet)에서 사이버보안 기업 크로니클(Chronicle)을 만들었다. 수요일에 알파벳이 크로니클을 발표했다. 크로니클은 2016년에 알파벳의 문샷(moonshot) 팩토리의 프로젝트로서 시작되었다.

Detailed News List

  • Google Chronicle
    • [KrebsOnSecurity]
      Chronicle: A Meteor Aimed At Planet Threat Intel?
    • [SecurityWeek]
      Google Parent Alphabet Launches Cybersecurity Firm Chronicle
    • [DarkReading]
      Meet Chronicle: Alphabet’s New Cybersecurity Business
    • [CyberScoop]
      Alphabet launches Chronicle, a new cybersecurity company
    • [ZDNet]
      Alphabet hatches cybersecurity company Chronicle using Google technology

 

Posted in Security, Security NewsTagged Crypto Currency, Cyber Espionage, Data Breach, HideNSeek, Industrial Control System, Information Leakage, Keylogger, Lazarus, Malware, Masuta, Mirai, Patches, Privacy, RATANKBA, SpriteCoin, VulnerabilityLeave a comment

Security Newsletters, 2017 Dec 16th, 라자러스Lazarus 스피어피싱 공격 外

Posted on 2017-12-16 - 2017-12-16 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 해킹당했던 보안전문기업 FOX-IT가 지난 9월에 겪었던 사건에 대한 상세 분석 보고서를 내놓았다. 영국의 NCC그룹 소유인 사이버보안 기업인 FOX-IT가 기업 기반시설(infrastructure)에 영향을 미쳤던 침해사고에 대한 정보를 공개했다. FOX-IT에 따르면, 지난 9월 19일에 신원이 알려지지 않은 공격자에 의해 중간자(MitM, Man-in-the-Middle) 공격이 일어났고, 일부(limited number)의 고객들을 염탐하는 일이 있었다. FOX-IT는 이 공격자가 회사 도메인 이름을 10시간 24분동안 하이재킹하고 FOX-IT의 이름으로 SSL 인증서를 획득했다고 밝혔다. 이 해커는 도메인을 MitM 공격을 위해 자신들의 관리하에 있는 사설 VPS 서버로 우회시켰다. 이렇게 해서 공격자들은 FOX-IT 도메인으로 향하는 트래픽을 자신들이 받아볼 수 있었으며, SSL 인증서를 사용해 HTTPS 연결 내용을 염탐하면서 트래픽은 실제 FOX-IT 서버로 포워딩 할 수 있었다. FOX-IT는 이 공격자들이 클라이언트포털(ClientPortal) 웹사이트만을 트래픽을 가로채는 공격 대상으로 삼았다고 밝혔다. FOX-IT에 따르면, 해커들은 클라이언트 포탈로 전송되는 로그인 시도 및 인증정보, 파일 등 모든 데이터에 접근했다.
  • 북한이 배후에 있는 것으로 추정되는 라자러스(Lazarus) 그룹이 런던의 암호화폐 기업을 공격했다. 악명높은 APT 그룹중 하나인 라자러스(Lazarus) 그룹이 복귀하며 런던의 암호화폐 기업의 직원 인증정보(credentials)를 훔치기 위한 스피어피싱(spearphishing) 캠페인을 진행하고 있다. 라자러스 그룹의 활동은 2014년과 2015년에 급등했는데, 이 그룹의 일원이 맞춤형 악성코드를 공격에 사용했으며, 이들에 대해 조사했던 보안전문가들은 이를 아주 정교한 악성코드로 평가하고 있다. 이들은 최소 2009년 부터 활동해 왔으며, 이르면 2007년까지도 생각할 수 있다. 그리고 사이버 스파이 행위와 데이터 및 시스템 장애를 목적으로 한 파괴행위까지 모두 연관되어 있다. 보안연구가들은 복한의 라자러스 APT 그룹이 최근 방글라데시 사이버 절도사건을 포함한 은행공격의 배후임을 밝혀냈다. 이들에 따르면, 이 라자러스 그룹이 전세계를 대상으로 하는 기타 다른 대규모의 사이버 스파이 작전들의 배후이기도 하다. 여기에는 Troy Operation, DarkSeoul Operation, Sony Pictures 해킹도 포함된다.
  • 머니테이커(MoneyTaker) 해킹그룹이 미 은행들로부터 수백만 달러를 훔친 것으로 드러났다. Group-IB에 따르면, 이 해킹그룹이 라틴 아메리카의 은행들을 다음 공격 대상으로 노리고 있다. 러시아어를 사용하는 해킹그룹인 MoneyTaker가 미국내 20개 이상의 은행들에서 2016년 5월 부터 수백만 달러를 훔쳤으며, 라틴 아메키라의 금융 기관들에 대한 공격태세를 취하고 있다고 모스크바 기반의 Group-IB가 경고했다. 이들에 따르면, MoneyTaker라 불리는 이 해킹그룹의 작업방식(modus operandi)은 공격대상 은행의 네트워크로 침입해 들어가 ATM 인출 사기(fraudulent ATM withdrawals)를 위해 카드 처리 시스템(card processing systems)을 조작한다. 이 해킹그룹의 피해기관에는 캘리포니아, 일리노이, 플로리다를 포함한 10개 주의 은행들이다. 이 은행들은 이 공격들로 평균 50만 달러의 피해를 입었다. (12일에서 이어짐)

Detailed News list

  • FOX-IT
    • [SecurityAffairs]
      The cybersecurity firm Fox-IT disclosed a security breach that affected its infrastructure
    • [HelpNetSecurity]
      Security company Fox-IT reveals, details MitM attack they suffered in September
    • [SecurityWeek]
      Hackers Target Security Firm Fox-IT
  • Lazarus group
    • [SecurityAffairs]
      Lazarus APT Group targets a London cryptocurrency company
    • [InfoSecurityMagazine]
      North Korea Attacks London Cryptocurrency Firm
    • [ZDNet]
      North Korean Trojans Are Attempting To Steal Bitcoin
  • MoneyTaker Group
    • [BankInfoSecurity]
      Report: Russian Hackers Target Banks in US, Britain, Russia

 

Malwares

Summaries

  • 맥 장치들을 공격하는 OSX.Pirrit 악성코드가 탐지되었다. 보안전문기업 Cybereason의 보안연구가 Amit Serper가 OSX.Pirrit 애드웨어(adware) 변종을 탐지했다. 이 악성코드 변종은 macOS를 대상으로 하며, 공격자는 mac 컴퓨터에 침입 및 장악 할 수 있다. 전세계 수천대의 맥 장치들이 이 애드웨어에 감염된 것으로 보인다. 이 캠페인은 일반적인 애드웨어 캠페인과는 조금 다른 양상을 보이는데, Serper가 밝힌 바에 따르면 다른 애드웨어 캠페인들은 컴퓨터를 광고로 도배 하는것에 그치지만, 이 악성코드는 거기에 더해 사용자에 대한 스파이 행위까지 수행한다. 그리고 공격자가 사용자의 개인정보를 캡쳐 할 수 있게도 한다. 이 악성코드는 은행계좌 로그인 및 금융, 비즈니스 데이터 등 민감 개인정보를 훔친다.
  • 트렌드 마이크로(Trend Micro) 보안 연구가들이 최근 ATM에서 정보를 훔치는 목적으로 특화된 악성코드를 발견했다. PRILEX라고 명명된 이 악성코드는 비쥬얼베이직(Visual Basic) 6.0으로 작성되었다. 이 악성코드는 뱅킹 어플리케이션을 하이재킹하고 ATM 사용자들의 정보를 훔치도록 설계되었다. 이 악성코드는 브라질에서 발견되었다. 처음 보고 된 것은 2017년 10월 이었으며, PRILEX는 특정 동적 링크 라이브러리(DLLs, Dynamic Link Libraries)를 후킹해 자체 응용프로그램 화면으로 대체(replace)하도록 만들어졌다. 공격 대상이 되는 DLL들은 브라질 은행에서 사용하는 ATM 어플리케이션에 속한 P32disp0.dll, P32mmd.dll, P32afd.dll 이다.

Detailed News List

  • OXS.Pirrit
    • [HackRead]
      New OSX.Pirrit Malware floods Mac devices with ads; spies on users
  • PRILEX ATM Malware
    • [SecurityWeek]
      New “PRILEX” ATM Malware Used in Targeted Attacks
    • [InformationSecurityBuzz]
      Hackers Steal £7.5m Through Targeted ATM Attacks

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 기업 메일을 해킹해 돈을 가로채는 사기(BEC, Business Email Compromise)를 벌였던 나이지리아인이 결국 미국 감옥에 가게 되었다. 나이지리아 국적의 남성이 미국 법원에서 BEC 사기사건에 대하여 유죄 판결을 받아 41개월의 징역을 살게 되었다고 미 사법부가 목요일 발표했다. 범인은 David Chukwuneke Adindu로 2016년 11월에 미국 당국에 의해 체포되었다. 그는 6월에 유죄를 인정했고 그의 범죄로 최소 15년형에 처해있었다. 거기에 더해, 그는 140만 달러의 배상금을 지불하라고 판결 받았다. 검찰에 따르면 Adindu는 나이지리아와 중국에서 거주한 적이 있으며, 조작된 이메일을 보내 그와 공모자들이 관리하던 은행 계좌로 돈을 보내도록 만들었던 사기사건에 일부로 연관되어 있다. 그는 2014년과 2016년 사이에 이 사기사건에 가담했다.
  • 미라이(Mirai) 봇넷을 운영한 혐의로 세명의 해커가 유죄를 인정했다. 이 세명은 수많은 인터넷에 연결된 장치들을 감염시켜 만든 미라이 봇넷(Mirai Botnet)을 생성, 운영, 판매한 것에 대하여 유죄를 인정했다. 이 봇넷은 작년에 호스팅 회사, 소셜미디어 플랫폼, 기타 온라인 기업들에 대하여 수많은 분산서비스거부(DDoS, Distributed Denial of Service) 공격을 실행했다. (14일에서 이어짐)
  • Dridex 악성코드를 사용해 수백만 달러를 훔친 범인을 도운 혐으로 한 남성이 감옥에 가게되었다. 2017년 12월 12일 화요일, 바클레이즈(Barclays)은행에서 일하던 29세의  Jinal Pethad가 두명의 몰도바인(Moldovan) 사이버 범죄자들의 3백만 달러(£2.5 million) 이상의 자금을 그가 일했던 Barclays Ealing 런던 지점에서 돈세탁하는 것을 도운 죄로 6년 4개월 형에 처해졌다. 두명의 사이버 범죄자는 Ion Turcan과 Pavel Gincota로 밝혀졌으며, Dridex 뱅킹 악성코드를 사용한 것과 Pethad에게 도움을 댓가로 보수를 지불한 점으로 각각 5년 8개월과 7년형에 처해졌다. (14일에서 이어짐)

Detailed News List

  • BEC Scams
    • [SecurityWeek]
      Nigerian Sentenced to Prison in U.S. for BEC Scams
    • [WeLiveSecurity]
      Business Email Compromise scammer sentenced to 41 months in prison
  • Mirai
    • [InfoSecurityMagazine]
      Mirai Masterminds Plead Guilty
  • Barclays
    • [InfoSecurityMagazine]
      Barclays Bank Insider Sentenced for Role in Dridex Plot

 

Vulnerability Patches/Software Updates

Summaries

  • HP 노트북에 키로거(Keylogger)로 사용될 수 있는 디버그 코드가 포함된 드라이버가 설치되어 판매되었다는 기사가 발표되었었다. 이에 대한 반대 기사가 다시 나왔다. Synaptics는 수백개 HP 노트북에 키로거가 설치되어 있다는 기사는 정확하지 않다고 말했다. 수요일에 발표된 내용에서, Synaptics는 자사의 소프트웨어가 키로거로 잘못 보도되었다고 밝혔다. 그리고 디버깅 컴포넌트를 자사의 Synaptics Touchpad Driver 제품에서 제거할 것이라 밝혔다. (15일에서 이어짐)

Detailed News List

  • HP Keylogger
    • [SecurityWeek]
      Synaptics to Remove “Keylogger” Functionality From Drivers

 

Data Breaches/Info Leakages

Summaries

  • 캘리포니아 투표자 1,900만명의 기록이 몽고(Mongo)DB 공격에 의해 몸값 지급을 요구당하고 있다. 이 기록은 보안설정이 되어있지 않은 MongoDB 데이터베이스에서 유출되었다. 이 사건을 발견한 Kromtech의 보안연구가에 따르면, 1,920만명이 넘는 캘리포니아 거주자 투표 등록 데이터가 보안이 되어있지 않은 MongoDB 데이터베이스에 존재하다가 삭제당하는 사건이 벌어졌고 공격자는 이 데이터를 가지고 몸값을 요구하고 있다.

Detailed News List

  • MongoDB Attack
    • [DarkReading]
      19 M California Voter Records Held for Ransom in MongoDB Attack

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 새로운 트라이톤(Triton) 악성코드가 주요 사회기반시설(critical infrastructure)에 대한 공격을 준비하고 있는 것이 탐지되었다. 산업 제어 시스템(ICS, Industrial Control Systems)을 노리는 새로운 Triton 악성코드가 파이어아이(FireEye) 연구자들에 의해 발견되었다. 트라이톤(Triton)이라 명명된 이 악성코드는 이름이 알려지지 않은 주요 사회기반시설 기관(critical infrastructure organization)을 노린 공격에 사용되어왔다. 보안전문가들은 금전적인 동기가 부족한 점과 공격의 정교한 수준으로 보았을때, 국가가 배후에 있는(state-sponsored) 공격자가 사보타주를 목적으로 한 것으로 보고있다. 파이어아이는 아직까지 Triton 공격을 어떠한 APT 그룹과도 연관짓지 않았다. 보안 전문가들은, 그들이 탐지한 행위들이 작전의 정찰단계 일부(part of the reconnaissance phase)였을 것이라 추정하고 있다. Triton 악성코드는 Schneider Electric의 Triconex Safety Instrumented System(SIS) 컨트롤러를 공격 대상으로 만들어졌다. 이 제품들은 산업 환경에서 프로세스 상태를 모니터하고 잠재적으로 위험한 상황에서 안전하게 복구하거나 차단하기 위한 제품이다. (15일에서 이어짐)
  • Pen Test Partners의 보안연구가들이 많은 학교들의 난방 제어기의 웹 인터페이스가 공공 인터넷에서 접근가능하며, 안전하지 않다는 사실을 발견했다. 이러한 취약한 시스템과 설정들이 비단 학교뿐만 아니라, 정부 사무실, 대학교, 소방서, 레스토랑에도 존재한다. 조사를 진행했던 Pen Test Partners에서는 이미 몇몇시스템들이 해킹당했다는 사실을 발견했다. 이러한 문제의 대부분은 HVAC(Heating, Ventilation and Air Conditioning)과 빌딩 관리 시스템(Building management system) 설치업자들에 의해 일어난다. 장치들이 고립 네트워크에 존재하며 외부로 노출되지 않아야 하는데 지켜지지 않는것이다. (13일에서 이어짐)

Detailed News List

  • Triton Malware
    • [Computing]
      Cyber security firm responds to ICS Attack framework dubbed Triton
    • [ThreatPost]
      Triton Malware Targets Industrial Control Systems in Middle East
    • [HackRead]
      Hackers Deploy Triton Malware to Shut Down Power Station
    • [SecurityWeek]
      Iran Used “Triton” Malware to Target Saudi Arabia: Researchers
    • [BankInfoSecurity]
      How Malware Known as Triton Threatens Public Safety
    • [HelpNetSecurity]
      Attackers disrupt plant operations with ICS-tailored malware
    • [ZDNet]
      Hackers Use Triton Malware To Shut Down Plant, Industrial Systems
    • [TripWire]
      New “Triton” Attack Framework Targeting ICS Systems
    • [TheHackerNews]
      TRITON Malware Targeting Critical Infrastructure Could Cause Physical Damage
  • Schools
    • [BBC]
      Schools Warned Over Hackable Heating Systems

 

Crypto Currencies/Crypto Mining

Summaries

  • 비트피넥스(Bitfinex)가 분산서비스거부(DDoS, Distributed Denial of Service) 공격으로 잠시 운영을 중단한 이후, 다시 서비스를 복구했다. 비트피넥스(Bitfinex)는 세계 최대의 암호화폐 거래소 중 하나다. 비트피넥스는 지난 화요일인 12월 12일에 끊임없는 DDoS 공격을 받은 끝에 운영을 중단해야 했다. 홍콩에 위치한 비트피넥스는 트워터를 통해 고객들에게 상황을 공지했다. 다행이 DDoS 공격이 사용자들의 자금에는 영향을 미치지 못했다. (15일에서 이어짐)

Detailed News List

  • Bitfinex
    • [InformationSecurityBuzz]
      Worlds Largest Bitcoin Exchange Bitfinex Hit By Cyberattack

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 크렙스온시큐리티의(KrebsOnSecurity) 브라이언 크렙스(Brian Krebs)가 얼마전 해킹당했던 나이스해시(NiceHash)의 기술책임자(CTO)가 Darkode 사건 및 봇 운영으로 유죄판결을 받았었다고 밝혔다. 2017년 12월 6일, 약 5,200만 달러 가량의 비트코인이 나이스해시(NiceHash)로 부터 사라졌다. 나이스해시는 슬로베니아 기업으로, 사용자들이 컴퓨팅 파워를 팔아서 가상화폐를 벌 수 있게 해주는 플랫폼이다. 이 절도사건의 수사가 끝나가는 와중에, 많은 나이스해시 사용자들은 회사의 기술 총책임자(CTO, Chief technology office)가 최근 거대 봇넷을 운영하고 판매했던 사건과 최근까지 세계 최대의 영어기반 사이버범죄 포럼인 ‘Darkode’를 만들고 운영했던 일로 수년간 감옥에 있었다는 사실을 알고 놀라움을 감추지 못했다. 2013년 12월에 나이스해시 CTO인 Matjaž Škorjanc는 마리포사(Mariposa) 봇넷을 만든 악성코드 제작으로 4년 10개월 징역형을 선고받았다. 마리포사는 전세계 100만대가 넘는 컴퓨터를 감염시키며 가장 큰 봇넷 중 하나가 되었다.
  • 웹사이트의 데이터 침해여부를 탐지하는 새로운 툴이 소개되었다. 캘리포니아 샌디애이고 대학교의 IT 보안 연구자들이 웹사이트가 침해당한적 있는지를 판별해주는 툴의 프로토타입을 개발했다. TripWire라는 이름의 이 툴은 2015년 1월부터 2017년 2월까지 2,300 여개의 웹사이트를 대상으로 테스트 되었다.
  • 페이스북이 인증서 투명성 점검을 위한 툴을 소개했다. 2016년 12월에 공개한 Certificate Transparency Monitoring utility에 이어서, 페이스북이 개발자를 위한 Certificate Transparency framework을 공개했다. 작년의 툴은 페이스북 자체의 TLS 인증서 발급 모니터 서비스를 통해 수집한 데이터에 접근기능을 제공하는 것이 목적이었다. 이 툴은 구글의 인증서 투명성 프레임워크(Certificate Transparency framework)를 사용했는데, 오발급된(mis-issued) TLS 인증서들을 탐지하고, 이것들을 사용해 HTTPS 트래픽을 가로채는 시도를 막을 수 있었다. 페이스북은 자사 시스템과의 푸시기반 통합(push-based integrations)기능을 제공하기 위해서, 새로운 웹훅(Webhooks) API를 제공한다. 이 API는 개발자들이 지속적으로 외부로부터 인증서 목록을 내려받거나(pulling) 알림을 기다릴(waiting for notifications) 필요 없이, 모니터링할 도메인을 지정하고 웹훅(webhook)을 등록할 수 있다. 이 도메인들에 대해 새로운 인증서가 발급될 때 마다, 그 인증서에 대한 정보가 개발자가 지정한(developer-specified) 엔드포인트(endpoint)로 전송된다.
  • 어배스트(Avast)가 악성코드 분석을 위한 디컴파일러를 오픈소스로 공개했다. Retargetable Decompiler의 줄임말인 RetDec으로 알려진 이 디컴파일러는 체코 공화국(Czech Republic)의 브르노 기술 대학(Brno University of Technology) 정보기술 학부(Faculty of Information Technology)와 AVG Technologies의 공동 프로젝트로 시작되어 개발된 7년간의 노력의 산물이다. AVG Technologies는 2016년에 어배스트(Avast)가 인수헀다. 이 툴은 실행파일을 플랫폼에 구애받지 않으며 분석할 수 있게(platform-independent analysis ) 해준다. 이 소스코드는 GitHub에 MIT 라이선스로 공개되어 있으며, RetDec은 누구나 무료로 사용할 수 있고, 소스코드를 연구하거나 수정, 재배포 할 수 있다. (15일에서 이어짐)

Detailed News List

  • Botmaster
    • [KrebsOnSecurity]
      Former Botmaster, ‘Darkode’ Founder is CTO of Hacked Bitcoin Mining Firm ‘NiceHash’
  • TripWire Tool
    • [HackRead]
      New tool exposes websites that have suffered data breaches
    • [NakedSecurity]
      Simple research tool detects 19 unknown data breaches
  • Facebook Certificate Transparency Tools
    • [SecurityWeek]
      Facebook Releases New Certificate Transparency Tools
  • Avast Decompiler
    • [TheRegister]
      Merry Xmas, fellow code nerds: Avast open-sources decompiler

 

Posted in Security, Security NewsTagged BEC Scammers, Certificate, Certificate Transparency, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, Cyber Espionage, Dark Seoul, Darkode, Dridex, HVAC, ICS, Industrial Control System, Infrastructure, Keylogger, Lazarus, Malware, Man-in-the-Middle Attack, Mirai, MITM, MoneyTaker, Operation Troy, OSX.Pirrit, PRILEX, Retargetable Decompiler, RetDec, Spearphishing, Triton Malware, VulnerabilityLeave a comment

Security Newsletters, 2017 Dec 15th, 트라이톤Triton 악성코드 ICS 공격 外

Posted on 2017-12-15 - 2017-12-15 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Exploits/Vulnerabilities

Summaries

  • 워드프레스(WordPress) 사이트에 관리자 계정을 생성하는 자바스크립트 주입(Injection) 공격이 이루어지고 있다. 이 공격은 오래된 버젼의 Newspaper 및 Newsmag 테마에 존재하는 취약점에 기반한다. PublicWWW 서비스의 리포트에 따르면 수천개의 워드프레스 웹사이트가 이 공격에 의해 감염된 것으로 보인다. 감염된 웹사이트는 다른 스팸 도메인으로 리다이렉트 되며, 이 리다이렉트에 더해 새로운 가짜(rogue) 관리자 계정인 simple001이 감염된 웹사이트에 생성되어 해커에게 모든 접근 권한을 내주게 된다.
  • 포티넷(Fortinet)의  포티클라이언트(FortiClient) 제품에서 사용자의 VPN 인증정보(Credentials)를 노출시키는 취약점이 발견되었다. 리눅스, Mac OSX, Windows용 포티클라이언트가 암호화된 VPN 인증정보를 안전한지 않은 곳에 저장하는 취약점이 발견되었다. 포티넷이 이 정보 노출 취약점에 대한 업데이트를 공개했다. 이 취약점은 CVE-2017-14184로, 공격자가 VPN 인증 정보를 획들할 수 있다. 포티클라이언트에서 발견된 문제점은 첫번째로는 VPN 인증정보가 Linux와 MacOS에서는 파일에 저장이 되고, Windows에서는 레지스트리에 저장이 된다는 점이다. 이는 공격자가 설정파일 내용에 쉽게 접근할 수 있다는 것을 의미한다. 두번째 문제는, 이러한 암호화된 인증정보의 복호화 키가 응용프로그램에 하드코딩되어있어 모든 포티넷 설치본마다 동일하다는 것이다. 공격자는 키를 찾아서 비밀번호를 복호화 할 수 있다.
  • HP 노트북에 키로거(Keylogger)로 사용될 수 있는 디버그 코드가 포함된 드라이버가 설치되어 판매되었다는 기사가 발표되었었다. 이에 대한 반대 기사가 다시 나왔다. Synaptics는 수백개 HP 노트북에 키로거가 설치되어 있다는 기사는 정확하지 않다고 말했다. 수요일에 발표된 내용에서, Synaptics는 자사의 소프트웨어가 키로거로 잘못 보도되었다고 밝혔다. 그리고 디버깅 컴포넌트를 자사의 Synaptics Touchpad Driver 제품에서 제거할 것이라 밝혔다.
  • 19년 된 RSA의 TLS 암호 공격이 Facebook, PayPal과 같은 100개 상위 도메인 중 27개에 영향을 미쳤다. TLS 네트워크 보안 프로토콜에 존재하는 19년된 취약점이 최소 8개의 IT 제조사들의 소프트웨어 및 오픈소스 프로젝트에서 발견되었다. 이 취약점은 공격자가 암호화된 통신을 복호화 할 수 있게 해준다. Hanno Böck, Juraj Somorovsky of Ruhr-Universität Bochum/Hackmanit, and Craig Young of Tripwire VERT에 의해 RSA PKCS #1 v1.5 암호화에서 발견된 이 취약점은, 상위 100개 웹 도메인 중 27개에 영향을 미치며 여기에는 페이스북, 페이팔 등도 포함된다. 이 취약점은 TLS에만 국한되는 것이 아니라고 연구가들은 이야기했다. 동일한 문제가 XML 암호화, PKCS#11 인터페이스, 자바스크립트 오브젝트 사인 및 암호화(Javascript Object Signing and Encryption, JOSE), Cryptographic Message Syntax/ S/MIME에도 존재한다고 말했다. 이 취약점은 연구가들에 의해 ROBOT이라 명명되었다. Return Of Bleichenbacher’s Oracle Threat을 의미한다. (13일에서 이어짐)
  • Azure AD Connect를 사용하면서 숨겨진 관리자 계정으로 인한 권한 상승 취약점이 존재한다. 하이브리드 오피스 365(Hybrid Office 365 Deployments)에서 숨겨진 관리자 계정이 발견되었다. Preempt Security에서 자동으로 생성되는 숨겨진 관리자 계정을 hybrid on-premise Azure Microsoft Office 365(O365)에서 찾아냈다. (13일에서 이어짐)
  • AT&T의 DirecTV 서비스가 해킹에 취약다하는 기사가 나왔다. 쉽게 공격받을 수 있는 보안 취약점이 DirecTV에 포함된 무선 비디오 브릿지에서 발견되었다. 이 무선 비디오 브릿지는 노트북이나 타블렛, 스마트폰을 지니(Genie) 디지털 비디오 레코더에 연결할 수 있게 해주는 장치다. 링크시스(Linksys)에서 제작한 이 무선 비디오 브릿지는 로그인 페이지로 보호되어있지 않아, 장치에 접근할 수 있는 사람이면 누구나 장치에 대한 민감 정보를 얻을 수 있다. 취약점을 발견한 트렌드 마이크로(Trend Micro)의 Ricky Lawshae에 따르면, 이 장비는 브릿지에 대한 진단 데이터(diagnostic data) 및 접속한 클라이언트, 실행중인 프로세스, WiFi 설정 비밀번호(WiFi Protected Setup passcode) 등을 내보이고 있다. (14일에서 이어짐)

Detailed News List

  • Javascript Injection on WordPress
    • [Sucuri]
      Javascript Injection Creates Rogue WordPress Admin User
  • FortiClient exposes users’ VPN Credentials
    • [SecurityAffairs]
      FortiClient improper access control exposes users’ VPN credentials
    • [SecurityWeek]
      Fortinet’s FortiClient Product Exposed VPN Credentials
  • 19-year-old ROBOT attack
    • [HackRead]
      19-Year-Old ROBOT Flaw Resurfaces to Haunt Popular Websites
    • [ThreatPost]
      19-Year-Old TLS Vulnerability Weakens Modern Website Crypto
  • Keylogger in HP laptops
    • [ThreatPost]
      Synaptics Says Claims of a Keylogger in HP Laptops are False
    • [PandaSecurity]
      HP laptop owners – act now to avoid being hacked
  • Azure AD Connect
    • [ThreatPost]
      Permissions Flaw Found Azure AD Connect
  • AT&T DirecTV
    • [SecurityWeek]
      Critical 0-Day Allows Remote Hacking of DirecTV Video Bridge
    • [SecurityAffairs]
      Experts disclosed an unpatched zero-day vulnerability in the firmware of AT&T DirecTV WVB kit
    • [TheHackerNews]
      Zero-Day Remote ‘Root’ Exploit Disclosed In AT&T DirecTV WVB Devices

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 암 치료 업체가 230만 달러의 벌금을 내는데 동의했다. 방사능치료(radiation therapy) 및 암치료(cancer treatment) 제공업체가 2015년에 겪었던 데이터 침해사고에 대하여 230만 달러의 벌금을 지불하는데 동의했다. 2017년 12월 11일, 뉴욕 북부의 미 파산법원(U.S Bankruptcy Court)은 21st Century Oncology에 대한 합의안(a settlement agreement)을 승인하는 명령을 받았다. 이 협의안은 암치료 업체가 수년젼 겪었던 보안 침해사고에 대하여 미 보건복지부(U.S. Department of Health & Human Services)에 230만 달러를 지불하는 내용이 담겨있다.
  • Mirai 봇넷을 운영한 혐의로 세명의 해커가 유죄를 인정했다. 이 세명은 수많은 인터넷에 연결된 장치들을 감염시켜 만든 미라이 봇넷(Mirai Botnet)을 생성, 운영, 판매한 것에 대하여 유죄를 인정했다. 이 봇넷은 작년에 호스팅 회사, 소셜미디어 플랫폼, 기타 온라인 기업들에 대하여 수많은 분산서비스거부(DDoS, Distributed Denial of Service) 공격을 실행했다. (14일에서 이어짐)
  • Dridex 악성코드를 사용해 수백만 달러를 훔친 범인을 도운 혐으로 한 남성이 감옥에 가게되었다. 2017년 12월 12일 화요일, 바클레이즈(Barclays)은행에서 일하던 29세의  Jinal Pethad가 두명의 몰도바인(Moldovan) 사이버 범죄자들의 3백만 달러(£2.5 million) 이상의 자금을 그가 일했던 Barclays Ealing 런던 지점에서 돈세탁하는 것을 도운 죄로 6년 4개월 형에 처해졌다. 두명의 사이버 범죄자는 Ion Turcan과 Pavel Gincota로 밝혀졌으며, Dridex 뱅킹 악성코드를 사용한 것과 Pethad에게 도움을 댓가로 보수를 지불한 점으로 각각 5년 8개월과 7년형에 처해졌다. (14일에서 이어짐)

Detailed News List

  • Cancer Threatment Provider Agrees to $2.3M Fine
    • [TripWire]
      Cancer Treatment Provider Agrees to $2.3M Fine for 2015 Breach
  • Mirai Botnet
    • [NakedSecurity]
      Mirai botnet authors plead guilty
    • [GrahamCluley]
      The Mirai botnet: three men plead guilty after weaponizing the Internet of Things
    • [TripWire]
      The Mirai botnet: three men plead guilty after weaponizing the Internet of Things
    • [SecurityAffairs]
      US DoJ charges 3 Men with developing and running the Mirai Botnet
    • [TheRegister]
      OK, OK, MIRA-I DID IT: Botnet-building compsci kid comes clean
    • [DarkReading]
      Former Rutgers Student, Two Others Plead Guilty to Operating Mirai Botnet
  • Barclays
    • [TheRegister]
      Barclays Employee Locked Up For Aiding Dridex Launderers

 

Privacy

Summaries

  • 비밀번호를 훔치는 앱이 구글 플레이(Google Play) 스토어에서 수백만건이 다운로드 된 것이 밝혀졌다. 구글이 버그 바운티 프로그램(Bug Bounty Program)과 기타 여러 노력으로 악성 앱 등록을 막고 있지만, 수백만 다운로드를 자랑하는 앱이 비밀번호를 훔치는 사실이 발견되었다. 이번에는 보안연구가들이 구글 플레이 스토어에 등록되어 있는, 수백만건이 다운로드 된 최소 85개의 응용프로그램들이 러시아 기반의 SNS 서비스인 VK.com의 사용자 인증정보(credentials)를 훔친다는 것을 발견했다. (14일에서 이어짐)

Detailed News List

  • Credential Stealing Apps on Google Play
    • [HackRead]
      85 Credential-Stealing Apps Found on Google Play Store
    • [EHackingNet]
      Password Stealing App Found on App Store With Millions of Download

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 새로운 트라이톤(Triton) 악성코드가 주요 사회기반시설(critical infrastructure)에 대한 공격을 준비하고 있는 것이 탐지되었다. 산업 제어 시스템(ICS, Industrial Control Systems)을 노리는 새로운 Triton 악성코드가 파이어아이(FireEye) 연구자들에 의해 발견되었다. 트라이톤(Triton)이라 명명된 이 악성코드는 이름이 알려지지 않은 주요 사회기반시설 기관(critical infrastructure organization)을 노린 공격에 사용되어왔다. 보안전문가들은 금전적인 동기가 부족한 점과 공격의 정교한 수준으로 보았을때, 국가가 배후에 있는(state-sponsored) 공격자가 사보타주를 목적으로 한 것으로 보고있다. 파이어아이는 아직까지 Triton 공격을 어떠한 APT 그룹과도 연관짓지 않았다. 보안 전문가들은, 그들이 탐지한 행위들이 작전의 정찰단계 일부(part of the reconnaissance phase)였을 것이라 추정하고 있다. Triton 악성코드는 Schneider Electric의 Triconex Safety Instrumented System(SIS) 컨트롤러를 공격 대상으로 만들어졌다. 이 제품들은 산업 환경에서 프로세스 상태를 모니터하고 잠재적으로 위험한 상황에서 안전하게 복구하거나 차단하기 위한 제품이다.

Detailed News List

  • Triton Malware
    • [DarkReading]
      TRITON Attacker Disrupts ICS Operations, While Botching Attempt to Cause Physical Damage
    • [SecurityAffairs]
      New Triton malware detected in attacks against a Critical Infrastructure operator
    • [InfoSecurityMagazine]
      Triton Takes Aim at ICS in the Middle East
    • [SecurityWeek]
      New “Triton” ICS Malware Used in Critical Infrastructure Attack
    • [FireEye]
      Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure

 

Service Outage

Summaries

  • 비트피넥스(Bitfinex)가 분산서비스거부(DDoS, Distributed Denial of Service) 공격으로 잠시 운영을 중단한 이후, 다시 서비스를 복구했다. 비트피넥스(Bitfinex)는 세계 최대의 암호화폐 거래소 중 하나다. 비트피넥스는 지난 화요일인 12월 12일에 끊임없는 DDoS 공격을 받은 끝에 운영을 중단해야 했다. 홍콩에 위치한 비트피넥스는 트워터를 통해 고객들에게 상황을 공지했다. 다행이 DDoS 공격이 사용자들의 자금에는 영향을 미치지 못했다.

Detailed News List

  • Bitfinex
    • [NakedSecurity]
      Bitfinex cryptocurrency exchange is back up after repeated DDoS

 

Crypto Currencies/Crypto Mining

Summaries

  • 180만 달러 가량의 이더리움을 훔치기 위해 자기 친구를 납치당하게 한 남자가 결국 잡히고 말았다. 맨하탄 지방 검찰청(Manhattan District Attorney’s Office)에 따르면, 이번주 화요일에 뉴욕인을 친구에 대한 납치 및 그 친구의 암호화폐 지갑에서 180만 달러 가량의 이더리움을 훔친 혐의로 기소했다. 이 일은 11월 4일에 35세의 Louis Meza가 자신의 아파트에서 친구를 만나면서 벌어졌다. 만남 이후 Meza는 친구 배웅을 위해 차량 서비스를 불렀고, 이 차량 서비스 기사가 총으로 위협해 이더리움 암호화폐 및 집 열쇠, 전화, 지갑등을 강탈했다. Meza는 체포되고 기소되었으나, 이 사건과 관련된 혐의를 부인중이다.
  • 매장내(In-store) 와이파이인터넷 업체(Provider)가 스타벅스 웹사이트를 이용해 모네로(Monero) 암호화폐 코인을 채굴하려 했다는 주장이 나왔다. 12월 2일에 트위터 사용자 Noah Dinkin은 거대 커피체인인 스타벅스의 아르헨티나 리워드 사이트가 모네로(Monero) 암호화폐를 채굴하기 위한 코인하이브(CoinHive) 스크립트를 사용하는 것을 공개했다. Dinkin은 이 사건의 배후에 있는 범인이 스타벅스의 매장내 WiFi 제공업체일 수 있다고 말했다. 그러나, 지난 몇 달 동안 사이버 범죄자들은 웹사이트들을 해킹해 몰래 코인하이브의 스크립트들을 삽입해왔다. 며칠 전에는 보안연구가들이 5,000개 이상의 사이트들이 코인하이브 코드를 삽입하는 해킹을 당했다는 사실을 밝혀내기도 했다. (11일에서 이어짐)

Detailed News List

  • Kidnapping for Ethereum
    • [HackRead]
      Man gets friend kidnapped to steal $1.8 million worth of Ethereum
  • Starbucks WiFi & mining
    • [NakedSecurity]
      Starbucks Wi-Fi hijacked customers’ laptops to mine cryptocoins

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 어배스트(Avast)가 악성코드 분석을 위한 디컴파일러를 오픈소스로 공개했다. Retargetable Decompiler의 줄임말인 RetDec으로 알려진 이 디컴파일러는 체코 공화국(Czech Republic)의 브르노 기술 대학(Brno University of Technology) 정보기술 학부(Faculty of Information Technology)와 AVG Technologies의 공동 프로젝트로 시작되어 개발된 7년간의 노력의 산물이다. AVG Technologies는 2016년에 어배스트(Avast)가 인수헀다. 이 툴은 실행파일을 플랫폼에 구애받지 않으며 분석할 수 있게(platform-independent analysis ) 해준다. 이 소스코드는 GitHub에 MIT 라이선스로 공개되어 있으며, RetDec은 누구나 무료로 사용할 수 있고, 소스코드를 연구하거나 수정, 재배포 할 수 있다.

Detailed News List

  • Avast Open Source Decompiler
    • [SecurityWeek]
      Avast Open Sources Machine-Code Decompiler in Battle Against Malware
    • [DarkReading]
      Malware Decompiler Tool Goes Open Source
    • [ZDNet]
      Researcher Says DirecTV Hardware Can Be Easily Hacked

 

Posted in Security, Security NewsTagged Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, DDoS, Distributed Denial of Service, Drive-by Cryptocurrency Mining, ICS, Industrial Control System, Infrastructure, Javascript Injection, Keylogger, Mirai, Retargetable Decompiler, RetDec, Triton Malware, VulnerabilityLeave a comment

글 내비게이션

이전 글

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.