Security Newsletters, 2018 Jan 11th, IOC 및 WADA 이메일 유출 外

Posted on 2018-01-11 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

러시아와 관련되 있는 것으로 추정되는 해킹 그룹 FancyBear가 국제 올림픽 위원회^{(IOC, International Olympic Committee)}와 국제 반도핑 기구^{(WADA, World Anti-Doping Agency)}에서 유출된 것으로 추정되는 이메일을 공개했다. FancyBear라는 이름으로 알려진 이 해킹 그룹은 이메일 아카이브를 공개했는데, 블로그 포스트를 통해 미국을 포함한 앵글로색슨^{(Anglo-Saxon)}계 국가들이 스포츠에서의 권력과 자본을 위해 싸우고 있다고 혐의를 제기했다. 이 그룹은 APT28로도 알려져 있는데, 2016년 미국 민주당 전국 위원회 해킹으로 알려진 그룹이다. FancyBear는 러시아의 올림픽 출전 금지가 명백히 정치적이라고 주장하고 있다. 이 유출 사건에 대해서 IOC는 언급을 거부했으며, WANA는 응답하지 않았다.
RIG Exploit kit이 암호화폐 열풍에 동참하고 있다. Malwarebytes가 공개한 정보에 따르면, 코인 채굴 악성코드를 유포하는 Ngay라는 캠페인이 진행되고 있다. 최초 드롭퍼^(dropper)는 암호화폐 채굴기인 추가 바이너리를 하나 혹은 그 이상을 포함하고 있다. 유명한 모네로 채굴기 같은 것들이다. Ngay 캠페인은 malvertising chains들 중 하나로, REG exploit kit을 자신들의 페이로드를 배포하는데 사용하고 있다. (10일에서 이어짐)
Turla 사이버 스파이 그룹이 어도비 플래쉬 인스톨러로 위장한 악성코드를 유포하는 캠페인을 벌이고 있다. 외교관들을 노리는 국가 지원을 받는^{(state-sponsored)} 해킹 작전이 벌어지고 있다. ESET의 연구자들이 찾아낸 바에 따르면, Turla라는 이름으로 잘 알려진 사이버 스파이 그룹에 의한 동유럽의 구소련 국가^{(post-Soviet states)}들의 대사관^(embassies)이나 영사관^(consulates)들을 노린 공격이 진행중이다. 워터링 홀^{(Watering-hole)} 공격과 스피어 피싱^{(Spear-phishing)} 캠페인은 계속적으로 이러한 공격에 사용된 방법이다. 그러나 연구자들은 아직 피해자들이 어떻게 정상적인^(authentic) 플래쉬 인스톨러를 다운로드하고 있다고 믿게 만들었는지를 확실하게 밝혀내지 못했다. 네트워크 게이트웨이를 장악해 중간자^{(MitM, Man-in-the-Middle)} 공격을 했을 가능성이 있다. (10일에서 이어짐)
평창 동계올림픽을 목표로 한 악성 문서파일을 유포하는 캠페인이 벌어지고 있다. 맥아피^(McAfee)의 보안 연구가들에 따르면, 올림픽과 관계된 여러 기관들이 악성 이메일을 받고 있다. 이런 기관들은 기반시설을 제공하거나 지원하는 역할과 같이 올림픽과 관계가 있는 기관들이 대다수다. 이러한 메일들은 대한민국 정부기관에서 발송된 것 처럼 위장했다. (6일에서 이어짐)

Detailed News list

Anglo-Saxon Illuminati
- _[CyberScoop]
  ‘Anglo-Saxon Illuminati’ responsible for Olympic doping controversy, according to Fancy Bear
RIG Exploit Kit
- _{[HelpNetSecurity]}
  RIG EK covertly delivers cryptocurrency miners
Turla
- _{[InformationSecurityBuzz]}
  ESET Research: Appearances Are Deceiving With Turla’s Backdoor-Laced Flash Player Installer
- _{[SecurityAffairs]}
  Turla APT group’s espionage campaigns now employs Adobe Flash Installer and ingenious social engineering
평창 동계 올림픽
- _{[CrowdStrike]}
  Malicious Spear-Phishing Campaign Targets Upcoming Winter Olympics in South Korea

Malwares

Summaries

러시아 은행을 노리는 Layered Obfuscation을 사용하는 모바일 악성코드가 발견되었다. 트렌드마이크로는 작년에 러시아 은행인 Sbebank 사용자를 목표로 하고, 독특한 보호방식^{(defensive measures)}을 갖춘 Fanta SDK 악성코드에 대해 공개한 바 있다. 이번에는 또다른 은행 악성코드 종^(family)이 발견되었는데, 더 많은 러시아 은행들을 공격 대상으로 하며 새롭고 발전된 난독화 기술을 사용한다. 이 새로운 종은 FakeBank라는 이름이 붙었다. 이 종들이 목표로 삼은 은행은 Sbebank 외에도 Letobank나 VTB24 bank와 같은 다른 은행들까지 포함하고 있다. 발견된 샘플들은 임의의 패키지 이름을 가지고 있으며, 대부분 SMS/MMS 관리 소프트웨어로 위장해 사용자들이 다운로드 하게끔 유도하고 있다.
처음으로 코틀린^(Kotlin)으로 만들어진 악성 앱이 발견되었다. 트렌드마이크로^(TrendMicro)에 따르면, 오픈소스 프로그래밍 언어인 코틀린^(Kotlin)으로 만들어진 악성 앱이 처음 발견되었다. 이 악성앱은 구글 플레이에 안드로이드 장치를 청리 및 최적화 해주는 유틸리티 툴인 Swift Cleaner라는 이름으로 등록되어 있었다. 1000~5000번 다운로드 된 이 앱은, 원격 명령 실행이나 정보 탈취, SMS 발송, URL 포워딩, 광고 클릭 사기 등의 기능이 포함되어 있었다. (10일에서 이어짐)
판매시점 정보관리 시스템^{(PoS, Point of Sale)}을 공격하는 악성코드 LockPoS가 새로운 기법을 도입했다. LockPoS는 PoS 신용카드 스캐너가 있는 컴퓨터 메모리에서 신용카드 정보를 훔치는 기능을 가지고 있었다. 이 악성코드는 실행중인 프로세스들의 메모리를 읽어 신용카드 정보를 수집하고 C&C 서버로 보낸다. 이전에는 드로퍼가 explorer.exe 프로세스에 바로 악성코드를 주입했는데, 이번에는 Flokibot PoS 악성코드에서 사용되었던 기법의 새로운 변종 방식을 채택한 것으로 확인되었다. (4일에서 이어짐)

Detailed News List

Mobile Malware Uses Layered Obfuscation
- _[TrendMicro]
  New Mobile Malware Uses Layered Obfuscation and Targets Russian Banks
Malicious Kotlin App
- _[HackRead]
  Android Malware written in Kotlin found on Play Store stealing data
- _[ZDNet]
  Android security: First Kotlin-based malware found in Google Play Store
- _{[SecurityWeek]}
  Android security: First Kotlin-based malware found in Google Play Store
LockPoS
- _{[SecurityAffairs]}
  New Malware Dubbed LockPos Introduces New Injection Technique To Avoid Detection

Exploits/Vulnerabilities

Summaries

유명 채팅 앱에서 암호화된 그룹 대화를 엿볼 수 있는 취약점이 발견되었다. 유명 채팅 프로그램인 WhatsApp, Threema, Signal에서 이론적으로^{(theoretically)} 암호화를 우회해 그룹 채팅에 끼어들 수 있는 취약점이 발견되었다. 취리히에서 열린 Real World Crypto 컨퍼런스에서 독일 암호학자 팀이 해당 내용을 발표했다.
루비 온 레일스^{(Ruby on Rails)} Gem의 크로스사이트스크립트^{(XSS, Cross-Site Script)} 취약점이 발견되었다. Rails는 웹 서비스나 웹페이지를 작성하기 위한 루비 프레임워크다. Ruby Gem은 Gems으로 배포하는 소프트웨어를 관리하는 패키지 관리자다. 두개의 XSS 취약점이 각각 다른 젬 패키지에서 발견되었다. 취약한 젬은 delayed_job_web과 rails_admin이다.
인텔 칩에서 발견된 취약점인 멜트다운/스펙터^{(Meltdown/Spectre)}에 대한 기사가 이어지는 중이다. 이번에는 마이크로소프트가 내놓은 Windows 보안 패치^(KB40566892)가 일부 AMD CPU를 사용하는 PC를 사용불가 상태로 만들어 버리는 오류가 있다는 내용이다. AMD의 애슬론^(Athlon)을 사용하는 PC들이 패치 전에는 정상 동작하다가 이후에 동작하지 않는다는 사용자들의 리포트가 반복되고 있다는 것이다. 패치가 복구지점^{(recovery point)}을 생성하지 않는것도 문제가 되고있다. (9일에서 이어짐)

Detailed News List

WhatsApp
- _{[TheHackerNews]}
  WhatsApp Flaw Could Allow ‘Potential Attackers’ to Spy On Encrypted Group Chats
- _[CyberScoop]
  Flaw in WhatsApp and Signal exposes group chats to ‘extremely difficult’ hacks
Ruby on Rails Gem XSS
- _[Cisco]
  Vulnerability Spotlight: Ruby Rails Gem XSS Vulnerabilities
Meltdown and Spectre
- _{[SecurityWeek]}
  NVIDIA Updates GPU Drivers to Mitigate CPU Flaws
- _{[TheRegister]}
  IBM melts down fixing Meltdown as processes and patches stutter
- _{[HelpNetSecurity]}
  Spectre updates will slow down Windows servers and PCs running older versions of the OS
- _{[SecurityWeek]}
  IBM Starts Patching Spectre, Meltdown Vulnerabilities
- _[ZDNet]
  Meltdown-Spectre: IBM preps firmware and OS fixes for vulnerable Power CPUs
- _{[BankInfoSecurity]}
  Performance Hit: Meltdown and Spectre Patches Slow Systems
- _{[SecurityWeek]}
  Microsoft, Intel Share Data on Performance Impact of CPU Flaw Patches
- _[ZDNet]
  Spectre mitigations arrive in latest Nvidia GPU drivers
- _{[TheRegister]}
  IBM’s complete Meltdown fix won’t land until mid-February
- _{[TheRegister]}
  Intel, Microsoft confess: Meltdown, Spectre may slow your servers

Vulnerability Patches/Software Updates

Summaries

마이크로소프트가 1월 패치튜스데이^{(Patch Tuesday)} 보안 업데이트에서 16개의 Critical 취약점을 수정했다. 이번 정규 보안 업데이트에서는 마이크로소프트 엣지^(Edge), 윈도우즈, 오피스, ASP.NET, macOS 버젼의 오피스에 대한 패치가 포함되었다. (10일에서 이어짐)
어도비가 플래시 플레이어^{(Flash Player)}에 대한 보안 업데이트를 릴리즈했다. 이번 패치에서는 정보노출 취약점 ^{CVE-2018-4871}이 수정되었다. 이 취약점은 윈도우즈, 맥, 리눅스, 크롬OS의 플래시 플레이어 28.0.0.126 및 그 이전버전에 영향을 미친다. (10일에서 이어짐)

Detailed News List

Microsoft
- _{[KrebsOnSecurity]}
  Microsoft’s Jan. 2018 Patch Tuesday Lowdown
- _{[HelpNetSecurity]}
  Microsoft plugs 56 vulns, including Office flaw exploited in attacks
- _[TrendMicro]
  January’s Patch Tuesday Fixes 56 Security Issues, Including Meltdown and Spectre
- _[ZDNet]
  Windows patches: Microsoft kills off Word’s under-attack Equation Editor, fixes 56 bugs
- _{[InfoSecurityMagazine]}
  Patch Tuesday: More Work for Admins With 56 Flaws to Fix
- _{[SecurityAffairs]}
  January 2018 Patch Tuesday security updates fix a zero-day vulnerability in MS Office
- _{[TheHackerNews]}
  Microsoft Releases Patches for 16 Critical Flaws, Including a Zero-Day
- _[ZDNet]
  Microsoft: No more Windows patches at all if your AV clashes with our Meltdown fix
Adobe
- _[ZDNet]
  Adobe patches information leak vulnerability

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

Rockwell Automation에서 MicroLogix 1400 PLC 제품의 심각한 보안 취약점을 수정했다. 마이크로로직 PLC 제품군은 전 세계적으로 주요 기반시설^{(critical infrastructure)}, 식품 및 농업, 상하수도 분야에서 프로세스 관리를 위해 사용된다. 2016년에 Alabama 대학의 Thiago Alves 외 2명의 연구자들이 가 이 컨트롤러들이 버퍼오버플로우 취약점에 영향을 받는 것을 발견해 정보를 공개했다. Rockwell Automation에 따르면, 전문가들이 21.002 버젼 및 이전 버젼의 펌웨어를 사용하는 MicroLogix 1400 PLCs가 조작된 Modbus TCP 패킷을 보내는 것으로 버퍼오버플로우 취약점에 영향을 받는다. 이 취약점은 인증되지 않은 공격자에 의해 원격으로 공격받을 수 있다. 이 취약점은 CVE-2017-16740 번호가 부여되었으며, 이 취약점에 대한 패치를 지난달 21.003 펌웨어 릴리즈를 통해 수정했다. 다른 대응 방법으로는 Modbus TCP 지원 기능을 비활성화 하는 방식으로 원격 접근을 막을 수 있다.

Detailed News List

Rockwell Automation PLC
- _{[SecurityWeek]}
  Rockwell Automation Patches Serious Flaw in MicroLogix 1400 PLC

Crypto Currencies/Crypto Mining

Summaries

Oracle WebLogic Exploit이 암호화폐 채굴 캠페인에 사용되고 있다. 보안연구가들이 611 모네로 코인이 채굴된 것을 발견했다. 약 $22만 6천달러 규모다. 이 모네로 코인들은 전 세계의 취약한 서버들의 웹로직^(WebLogic) 취약점을 공격해 채굴되었다. Monero 암호화폐 채굴기를 패치되지 않은 시스템에 유포하는 전 세계적인 캠페인이 벌어지고 있다. 공격자들은 지난 12월 말 중국 연구가인 Lian Zhang이 발표한 개념증명^{(PoC, Proof-of-Concept)} 익스플로잇을 사용하고 있다. 오라클은 패치를 10월에 발표했다.
코닥^(Kodak)이 코닥코인^(KodakCoin)이라는 블럭체인기반 암호화폐를 발표했다. 사진가^{(photographer)}의 이미지 권리 관리^{(image rights management)}를 블럭체인 보안 기술을 바탕으로 제공한다는 것이다. (10일에서 이어짐)
WIFI 네트워크를 해킹해 채굴 스크립트를 심는 커피마이너^{(CoffeeMiner)}라는 개념증명^{(PoC, Proof-of-Concept)}프로젝트가 공개되었다. Arnau라는 이름의 개발자가 공개한 이 PoC 프로젝트는 커피마이너^{(CoffeeMiner)}로, 공개 WiFi Network을 해킹해 암호화폐 채굴 코드를 접속하는 브라우저 세션에 주입한다. 개발자는 이 프로젝트가 얼마전 스타벅스 건에서 영감을 받았다고 설명했다. 커피마이너는 로컬 네트워크의 ARP^{(Address Resolution Protocol)} 메시지를 스푸핑하여 동작한다. (7일에서 이어짐)

Detailed News List

Oracle WebLogic
- _{[DarkReading]}
  Oracle WebLogic Exploit Used in Cryptocurrency Mining Campaign
KodakCoin
- _{[EHackingNews]}
  Kodak Launches Own Cryptocurrency KODAKCoin — Stocks Surge
CoffeeMiner
- _{[InfoSecurityMagazine]}
  CoffeeMiner Forces Coffee Shop Visitors to Mine for Monero

Technologies/Technical Documents/Statistics/Reports

Summaries

와이파이 얼라이언스^{(WiFi Alliance)}가 월요일에 다음세대 무선 네트워크 보안 표준^(standard)인 WPA3를 발표했다. 거의 20년이 되어가는 WPA2를 대체할 표준이다. WPA3에서의 주요 개선안 중 하나는 공개 와이파이 네트워크에서의 보안 문제를 해결하는데 초점을 두고있다. 공개 와이파이 네트워크에서 동일 네트워크에 존재하는 다른 장치들이 보내는 데이터를 가로챌^(intercept)수 있는 문제점에 대해서, WPA3에서는 개별 데이터 암호화^{(individualized data encryption)}를 제공한다. 또다른 주요 개선점은 무작위^{(brute-force)}사전^(dictionary) 공격에 대한 보호기능이다. 공격자가 WiFi 네트워크의 비밀번호를 유추하기 어렵게 만들었다. 새로운 WPA3 보안 프로토콜에서는 공격자가 비밀번호 유추를 여러번 반복해서 실패하면 차단^(block) 한다. 2004년이후로 사용되는 WPA2는 four-Way Handshake 사용해 새로운 장치가 사전 공유^(pre-shared)된 비밀번호로 네트워크에 참여할 수 있게 한다. WPA3에서는 새로운 종류의 handshake를 사용한다. Mathy Vanhoef에 따르면, 새로운 방식은 사전^(dictionary) 공격에 취약하지 않을 것이라 한다. (10일에서 이어짐)

Detailed News List

WPA3
- _{[NakedSecurity]}
  Wi-Fi security overhaul coming with WPA3

Security Newsletters, 2018 Jan 6th, Microsoft Word SubDoc 취약점 外

Posted on 2018-01-06 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Malwares

Summaries

판매시점 정보관리 시스템^{(PoS, Point of Sale)}을 공격하는 악성코드 LockPoS가 새로운 기법을 도입했다. LockPoS는 PoS 신용카드 스캐너가 있는 컴퓨터 메모리에서 신용카드 정보를 훔치는 기능을 가지고 있었다. 이 악성코드는 실행중인 프로세스들의 메모리를 읽어 신용카드 정보를 수집하고 C&C 서버로 보낸다. 이전에는 드로퍼가 explorer.exe 프로세스에 바로 악성코드를 주입했는데, 이번에는 Flokibot PoS 악성코드에서 사용되었던 기법의 새로운 변종 방식을 채택한 것으로 확인되었다. (4일에서 이어짐)

Detailed News List

LockPoS
- _{[DarkReading]}
  LockPoS Malware Sneaks onto Kernel via new Injection Technique

Exploits/Vulnerabilities

Summaries

마이크로소프트 워드에서 지원하는 subDoc^{(sub-document)} 기능이 취약하다는 기사가 나왔다. 주 문서^{(Master document)}에서 부문서^{(Sub-documents)}를 로딩할 수 있도록 해주는 마이크로소프트 워드의 기능이 공격자에 의해 사용자 인증정보^{(credentials)}를 훔치는데 사용될 수 있다. subDoc이라 명명된 이 기능은, 특정 문서를 또 다른 문서의 본문에 로드할 수 있게 해주는 기능이다. Rhino Security에 따르면, 이 기능이 원격의^{(인터넷에 위치한)} subDoc 파일들을 호스트 문서로 불러오는데도 사용될 수 있어 특정 상황에서는 악용될 수 있다.
인텔 칩에서 발견된 취약점에 대한 기사가 계속 이어지고 있다. Meltdown 혹은 Spectre로 명명된 이 취약점은, 이 취약점을 발견한 연구가에 의하면 1995년 이후의 거의 대부분의 시스템에 영향을 미친다. 커널 메모리를 읽을 수 있는것에 국한되는 것이 아니라, 대상 시스템의 전체 물리 메모리를 읽을 수 있다. 이 취약점은 지난 십여년간 만들어진 인텔 프로세서에서 구동하는 윈도우즈, 맥, 리눅스 운영체제에 영향을 미친다.

Detailed News List

Microsoft Word subDoc Feature
- _{[SecurityWeek]}
  Microsoft Word subDoc Feature Allows Password Theft
Intel Chip Flaw, a.k.a Meltdown and Spectre
- _{[TheRegister]}
  Security hole in AMD CPUs’ hidden secure processor revealed ahead of patches
- _{[KrebsOnSecurity]}
  Scary Chip Flaws Raise Spectre of Meltdown
- _[ZScaler]
  Meltdown and Spectre vulnerabilities: What you need to know
- _{[InfoSecurityMagazine]}
  Apple Confirms Devices Affected by Meltdown, Spectre
- _[ZDNet]
  How the Meltdown and Spectre security holes fixes will affect you
- _[TripWire]
  VERT Threat Alert: CPU Vulnerabilities – Meltdown and Spectre
- _{[TheRegister]}
  Qualcomm joins Intel, Apple, Arm, AMD in confirming its CPUs suffer hack bugs, too
- _{[DarkReading]}
  The Nightmare Before Christmas: Security Flaws Inside our Computers
- _[CSOOnline]
  Meltdown and Spectre affect the smartphone in your pocket. Should you be worried?
- _{[InformationSecurityBuzz]}
  “Meltdown”: “Perfect Prevention Is Not Possible”
- _[SpiderLabs]
  Overview of Meltdown and Spectre
- _[TrendLabs]
  When Speculation Is Risky: Understanding Meltdown and Spectre
- _[HackRead]
  How to Protect your Device from Meltdown and Spectre?
- _{[SecurityAffairs]}
  Intel releases patches to mitigate Meltdown and Spectre attacks
- _{[EHackingNews]}
  Meltdown and Spectre: Breakdown of The recent CPU Security Bug
- _{[SecurityWeek]}
  Ubuntu Preps Patches for Meltdown, Spectre CPU Flaws
- _{[SecurityWeek]}
  Industry Reactions to Meltdown, Spectre Attacks: Feedback Friday
- _{[ARSTechnica]}
  Meltdown and Spectre: Heres what Intel, Apple, Microsoft, others are doing about it (ArsTechnica)
- _[HackRead]
  Meltdown and Spectre Flaws Collateral Damage to OS & Cloud Services Unavoidable
- _{[PandaSecurity]}
  Meltdown and Spectre, behind the first security hole discovered in 2018:
- _[ZDNet]
  Windows Meltdown-Spectre fix: How to check if your AV is blocking Microsoft patch
- _{[InfoSecurityMagzine]}
  Microsoft Issues Warning for Meltdown Fix
- _{[TheRegister]}
  Cisco to release patches for Meltdown, Spectre CPU vulns, just in case
- _{[HelpNetSecurity]}
  Browser makers move to mitigate risk of Spectre browser attacks
- _{[WeLiveSecurity]}
  Meltdown and Spectre CPU Vulnerabilities: What You Need to Know
- _{[TheHackerNews]}
  [Guide] How to Protect Your Devices Against Meltdown and Spectre Attacks
- _{[SecurityWeek]}
  Intel Patches CPUs Against Meltdown, Spectre Exploits
- _{[TheRegister]}
  Woo-yay, Meltdown CPU fixes are here. Now, Spectre flaws will haunt tech industry for years
- _[CyberScoop]
  Microsoft’s chip patch is messing with anti-virus products

Vulnerability Patches/Software Updates

Summaries

Dell EMC가 Data Protection Suite에서 3개의 제로데이를 패치했다. 가상 어플라이언스를 완전히 장악할 수 있는 취약점이 Dell에 의해 패치되었다. 이 취약점들은 CVE-2017-15548, CVE-2017-15549, CVE-2017-15550이다.
어드밴텍^(Advantech) 웹엑세스^(WebAccess)의 취약점이 패치되었다. 웹엑세스는 어드밴텍의 HMI^{(Human-Machine Interface)} 및 SCADA^{(Supervisory Control And Data Acquisition)} 시스템을 위한 브라우저 기반 소프트웨어 패키지다. 패치된 취약점들 중 하나는 상당히 높은 등급의 CVE-2017-16724다. 나머지는 CVE-2017-16728, CVE-2017-16720, CVE-2017-16716이다.

Detailed News List

DeLL EMC
- _{[TheRegister]}
  Dell EMC patches 3 zero-days in Data Protection Suite
- _[ZDNet]
  Zero-day vulnerabilities hijack full Dell EMC Data Protection Suite
Advantech WebAccess
- _{[SecurityWeek]}
  Several Vulnerabilities Patched in Advantech WebAccess

Data Breaches/Info Leakages

Summaries

인도의 신체측정 정보 데이터베이스가 침해당해 10억명의 사용자 정보가 위험에 처했다. 더 트리뷴^{(the tribune)}에 따르면, 해커들이 인도의 고유 식별 기관^{(Unique Identification Authority)}인 Aadhaar biometric system에 침입해 10억명 이상의 인도 거주자의 개인 식별 가능정보^{(PII, Personally Identifiable Information)}에 접근했다. 기자는 왓츠앱에서 데이터 판매자를 통해 데이터를 확인할 수 있었는데, 판매자가 제공한 포털 서비스에서 Aadhaar 사용자 아이디 번호를 통해 그 사람의 이름, 주소, 우편번호, 사진, 전화번호, 이메일 주소를 조회할 수 있었다.
미국 국토안전부^{(DHS, Department of Homeland Security)} 전/현직 직원 24만명의 개인 신상정보 침해가 발생했다. 국토안전부의 Office of the Inspector General^(OIG)의 전 직원이 승인받지 않은 DHS OIG 수사 케이스 관리 시스템^{(investigative case management system)}의 사본을 가지고 있었으며, 여기에는 전/현직 DHS 근무자들의 개인식별정보^{(personally identifiable information)}가 담겨 있었다는 것이다. (5일에서 이어짐)

Detailed News List

Biometric Database
- _{[SecurityAffairs]}
  Data breach of the Aadhaar biometric system poses a serious risk for 1 Billion Indian residents
- _{[DarkReading]}
  Breach of India’s Biometric Database Puts 1 Billion Users at Risk
DHS
- _{[BankInfoSecurity]}
  DHS Says 246,000 Employees’ Personal Details Were Exposed
- _{[HelpNetSecurity]}
  DHS insider breach resulted in theft of personal info of staff and people involved in investigations
- _{[SecurityAffairs]}
  PyCryptoMiner botnet, a new Crypto-Miner Botnet spreads over SSH

Crypto Currencies/Crypto Mining

Summaries

파이썬_(Python) 스크립트로 작성된 암호화폐 채굴 봇넷 스크립트가 SSH를 통해 확산중이다. PyCryptoMiner라 명명된 이 봇넷은 최근 JBoss 서버 취약점^{(CVE-2017-12149)}을 스캔하는 기능을 추가했다. 이 봇넷 스크립트는 모네로 암호화폐를 채굴하는 용도로 만들어졌으며, 리눅스 장치들의 SSH 로그인 계정을 추측해 확산중이다. 추측기반 로그인 시도가 성공하면, C&C 서버에 접속해 추가적인 파이썬 코드를 다운로드하고 실행하는 base64로 인코딩된 파이썬 스크립트를 해당 장치에 설치하는 식으로 확산된다. (5일에서 이어짐)

Detailed News List

Python Crypto-Miner Botnet
- _{[HelpNetSecurity]}
  PyCryptoMiner ropes Linux machines into Monero-mining botnet

Security Newsletters, 2018 Jan 4th, 인텔 CPU의 보안 취약점 外

Posted on 2018-01-04 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

어나니머스^(Anonymous)가 이탈리아 Gorreggio의 과속 카메라 데이터베이스를 해킹하고 경찰의 이메일 및 데이터베이스 시스템을 장악했다. Gazzetta di Reggio에 따르면, 어나니머스는 과속 카메라 티켓 기록 전체를 삭제하고, 내부 이메일과 문서들을 공개했다. 해커들은 증거 스크린샷을 제시했는데, 40기가바이트에 달하는 데이터를 삭제한 것으로 보인다.

Detailed News list

Anonymous Italia
- _{[SecurityAffairs]}
  Anonymous Italia hacked speed camera database and took over the police systems in Correggio

Malwares

Summaries

판매시점 정보관리 시스템^{(PoS, Point of Sale)}을 공격하는 악성코드 LockPoS가 새로운 기법을 도입했다. LockPoS는 PoS 신용카드 스캐너가 있는 컴퓨터 메모리에서 신용카드 정보를 훔치는 기능을 가지고 있었다. 이 악성코드는 실행중인 프로세스들의 메모리를 읽어 신용카드 정보를 수집하고 C&C 서버로 보낸다. 이전에는 드로퍼가 explorer.exe 프로세스에 바로 악성코드를 주입했는데, 이번에는 Flokibot PoS 악성코드에서 사용되었던 기법의 새로운 변종 방식을 채택한 것으로 확인되었다.
악명높은 분산서비스거부^{(DDoS, Distributed Denial of Service)}공격 악성코드인 미라이^(Mirai) 봇넷의 변종격인 사토리^(Satori) 봇넷의 화웨이^(Huawei) 라우터에 대한 익스플로잇 소스코드가 pastebin에 공개되었다. NewSky Security의 연구가에 따르면, 화웨이^(Huawei) 장치를 공격하는 사토리 봇넷의 소스코드가 크리스마스에 Pastebin에 공개되었다. 화웨이 라우터 장치를 공격하는 제로데이 코드로, 취약점 번호는 ^{CVE-2017-17215}다. (3일에서 이어짐)

Detailed News List

LockPoS
- _{[InfoSecurityMagazine]}
  LockPoS Takes a Page from Flokibot to Achieve Stealth
- _{[SecurityWeek]}
  LockPoS Adopts New Injection Technique

Satori Botnet
- _[ZDNet]
  Satori IoT botnet malware code given away for Christmas

Exploits/Vulnerabilities

Summaries

보안연구가가 모든 인텔 CPU에 영향을 미치는 심각한 취약점을 찾아냈다. 소프트웨어 수준의 대응방안은 이미 마련되었으나, 심각한 성능 하락 문제가 있는 것으로 나타났다. 취약점에 대한 자세한 정보는 9일에 공개될 예정이다.
수천 수백종의 사물인터넷^{(IoT, Internet of Things)} 장치들에서 사용하는 고어헤드^(GoAhead) 웹서버에서 취약점이 발견되었다. 영향을 받는 장치에서 원격 코드 실행^{(remotely execute malicious code)}을 할 수 있는 취약점이다. 취약점은 ^{CVE-2017-17562}다. GoAhead는 Comcast, IBM, Boeing, Oracle, D-Link, ZTE, HP, Siemens, Canon 등 거대 기술기업들이 폭넓게 사용하고 있는 솔루션이다. 프린터나 라우터를 포함한 IoT 장비들의 웹서버로 활용된다. (26일에서 이어짐)

Detailed News List

Intel Chip
- _{[DarkReading]}
  Intel Processor Security Flaw Prompts Kernel Makeovers in Linux, Windows
- _[TechDirt]
  A Major Security Vulnerability Has Plagued ‘Nearly All’ Intel CPUs For Years
- _[ZDNet]
  Tech giants scramble to fix critical Intel chip security flaw
- _[ThreatPost]
  Intel In Security Hot Seat Over Serious CPU Design Flaw
- _{[GrahamClueley]}
  The F*CKWIT Intel chip flaw. Ready yourself for patches
- _{[EHackingNews]}
  Intel’s Processors Security flaw forces Linux, Windows Kernels redesign
- _{[TheHackerNews]}
  Huge Flaw Found in Intel Processors; Patch Could Hit 5-30% CPU Performance
- _[CyberScoop]
  Industry braces for critical Intel security flaw impacting a decade’s worth of chips
- _[HackRead]
  Multiple Intel Processors Generations Hit by Serious Security Flaw
- _{[NakedSecurity]}
  F**CKWIT, aka KAISER, aka KPTI – Intel CPU flaw needs low-level OS patches
- _{[HelpNetSecurity]}
  Upcoming patches for security flaw in Intel processors expected to slow down computers
- _{[SecurityWeek]}
  Mitigations Prepared for Critical Vulnerability in Intel CPUs
- _{[SecurityAffairs]}
  Intel Makes a Mistake in The CPU Design, Windows and Linux Scramble to Fix It
GoAhead
- _{[SecurityWeek]}
  Devices Running GoAhead Web Server Prone to Remote Attacks

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

유명한 나이지리아 왕자가 체포되었다. 지난 일요일에 67세의 Michael Neu가 269건의 사기^{(Wire fraud)}와 자금세탁^{(money laundering)}으로 체포되었다. Neu는 사기꾼들의 중간자 역할을 한 것에 대해 인정했다고 보도했다.
미국 정부기관들의 절반 정도에 DMARC 구현이 완료되어가는 중이다. 국토안전부^{(DHS, Department of Homeland Security)}의 지시에 따라, 미 정부기관들에서 DMARC 표준을 구현하는 일이 진척을 보이고 있다. 그러나 첫번째 데드라인이 2주밖에 남지 않았다. DMARC는 Domain-based Message Authentication, Reporting and Conformance로, 이메일 스푸핑을 탐지하고 방지하기 위해 설계된 이메일 인증(authentication), 정책(policy), 리포팅(reporting) 프로토콜이다.

Detailed News List

Louisiana Nigerian Prince
- _{[NakedSecurity]}
  Your Nigerian Prince is a 67 year old from Louisiana
DMARC
- _{[SecurityWeek]}
  DMARC Implemented on Half of U.S. Government Domains

Vulnerability Patches/Software Updates

Summaries

구글이 2018년 1월 안드로이드 보안 업데이트에서 38개의 안드로이드 보안 취약점을 수정했다. 5개의 버그는 Critical 등급이며, 33개는 High 등급이다.
VMWare에서 vSphere Data Protection 패치를 내놓았다. VMWare에 따르면, 공격자가 영향을 받는 시스템을 공격하여 원격으로 장악할 수 있는 취약점이다. 취약점 번호는 CVE-2017-15548, CVE-2017-15549, CVE-2017-15550 이다. (3일에서 이어짐)
코드 실행 및 루트 권한 접근이 가능한 취약점이 새해 첫날에 그 상세 정보가 공개되었다. Siguza라는 온라인 이름을 사용하는 연구가가 PoC 코드를 공개했다. 시스템에 접근 권한을 가지고 있는 공격자는 이 취약점을 사용해 임의의 코드를 실행하고 루트 권한을 얻을 수 있다. 이 버그는 모든 버젼의 macOS가 영향을 받는다. (2일에서 이어짐)

Detailed News List

Google
- _{[SecurityWeek]}
  Google Patches Multiple Critical, High Risk Vulnerabilities in Android
- _{[HackerOnlineClub]}
  Google Patches 38 Android Security Vulnerabilities
VMWare
- _{[TheRegister]}
  Attention, vSphere VDP backup admins: There is a little remote root hole you need to patch…
- _[CyberScoop]
  VMware announces, patches critical flaw in its VDP backup product
- _{[SecurityWeek]}
  VMware Patches Critical Flaws in vSphere Data Protection
Apple
- _{[SecurityWeek]}
  Apple Working on Patch for New Year’s Eve macOS Flaw

Privacy

Summaries

광고회사의 표적화 된 스크립트가 브라우저의 비밀번호 관리기능을 공격해 사용자들을 추척하고 있음이 드러났다. 이 방법은 프라이빗 브라우징이나 쿠키를 삭제하는 등으로 막을 수 없다. Princeton의 Center for Information Technology Policy에서 찾아낸 이 방식은, 많은 웹 사용자들이 브라우저에 내장된 로그인 매니저를 사용해 로그인 정보를 자동기입 한다는 것을 이용한다. 일반적으로는 문제가 없는 부분이지만, 일부 사이트는 AdThink나 OnAudience 스크립트 중 하나를 채택해서, 눈에 보이지 않는 두번째 로그인 스크린을 만든다. 이 숨겨진 로그인 화면은 비밀번호 관리자에 의해, 사용자가 인지하지 못하는 사이에 자동으로 내용이 기입된다. 이 시점에, 스크립트가 해시된 사용자의 email 주소를 수집하고 광고회사의 원격 서버로 전송한다.
스마트폰 센서를 통해, 해커가 4자리 비밀번호를 알아낼 수 있다는 기사가 나왔다. 싱가폴 NTU^{(Nanyang Technology University)}의 연구자들이 사이버 범죄자들이 스마트폰의 센서를 사용해 스마트폰을 침해할 수 있음을 보여주는 연구결과를 내놓았다. 연구자들이 밝혀낸 바에 따르면, 99.5%의 확률로 이 방법이 먹혔으며, 장치의 잠금을 해제할 수 있었다. 정확하게 4자리의 숫자 비밀번호를 추측해 낼 수 있었다. 연구자들은 안드로이드에 설치된 센서들과 머신러닝을 사람들이 입력하는 PIN코드를 추측하는데 활용했다. 6개의 센서들에는 자력계^{(magnetometer)}, 가속도계^{(accelerometer)}, 자이로스코프^(gyroscope), 주변 광 센서^{(ambient light sensor)}, 기압계^(barometer), 근접 센서^{(proximity sensor)}가 포함된다. 가속도계와 자이로스코프를 함께 사용했을 때, 매우 정확하게 4자리 비밀번호를 추측해 낼 수 잇었다. 최종적으로는 100%의 정확도로 PIN 코드를 추측해내는데 성공했다. (2일에서 이어짐)

Detailed News List

Ad scripts track users
- _{[NakedSecurity]}
  Ad scripts track users via browser password managers
- _{[HelpNetSecurity]}
  Ad targeters exploit browsers’ password managers to track users online
Smartphone Sensor
- _{[NakedSecurity]}
  Sensor data can be used to guess your PIN, unlock your phone

Data Breaches/Info Leakages

Summaries

HoundDawgs의 계정정보가 유출되었다. HoundDawgs는 덴마크의 토렌트 트래커로, 2017년 12월 데이터 유출 사고가 있었다. 공개된 데이터에는 4만 5천건의 이메일 주소와 함께 토렌트 활동 로그 및 IP주소와 비밀번호의 SHA1 해시가 포함되어 있었다.
2017년 11월에 의류 업체인 Forever 21이 보안 침해가 있었음을 밝힌 일이 있었다. 이번에는 Forever 21이 2017년에 몇 달 동안 해커에 의해 신용카드 데이터가 도난당했다는 사실을 확인했다. 아직 조사가 진행중이지만, 일부 POS^{(Point of Sale)} 시스템에서 악성코드가 발견되었고 최소 4월 3일부터 11월 18일까지 이 악성코드가 사용된 것으로 보고있다. (2일에서 이어짐)

Detailed News List

HoundDawgs
- _{[HaveIBeenPawned]}
  HoundDawgs – 45,701 breached accounts
Forever 21
- _{[BankInfoSecurity]}
  Forever 21 Suffered 7-Month POS Malware Attack