Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] Man-in-the-Middle Attack

Security Newsletters, 2018 Feb 1st, Monero 채굴하는 Smominru Botnet 外

Posted on 2018-02-01 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • Lizard Squad 그룹이 그룹을 만든 Zachary Buchta가 체포되며 끝난 것으로 여겨졌었으나, BitBotPein이라는 이름으로 여전히 활동중이라는 리포트가 발표되었다. ZingBox의 연구가들이 BigBotPein 그룹이 Lizard Squad의 새로운 이름이며, 이들과 Mirai 악성코드와 연관되어 있다는 강한 증거를 가지고 있다는 리포트를 발표했다. Lizard Squad는 소니 플레이스테이션 및 Xbox Live, Blizzard의 Warcraft의 네트워크 장애를 일으킨 사건에 책임이 있다. 수년간 많은이들이 Lizard Squad가 서비스했던 LizardStresser DDoS 서비스를 이용했으며, 운영진이 체포되면서 끝이났다. ZingBox의 연구가들이 수집한 정보에 따르면, Lizard Squad 해커들과 Mirai는 둘다 같은 우크라이나(Ukrainian) 호스팅 서비스를 사용했다. 그리고, 연구가들은 BigBotPein이 Lizard Squad와 관린되어 있다는 점을 2017년 말에 있었던 또다른 Mirai 사건과 관련된 도메인을 분석하여 찾아냈다. 이 도메인이 Lizard Squad와 관련된 개인의 이름으로 등록되어 있었던 것이다.

Detailed News list

  • Lizard Squad
    • [HackRead]
      Lizard Squad is alive and continuing activities as BigBotPein: Report

 

Exploits/Vulnerabilities

Summaries

  • CT나 MRI와 같은 의료기기가 치명적인 위협에 노출되어 있다. MRI나 CT와 같은 핵심 의료기기들이 사이버공격에 취약하다고 보안연구가들이 경고했다. PC외에도 네트워크에 연결된 의료기기들에 대한 사이버 보안에 대해 주목한 것은 심박조절기에 치명적인 쇼크를 일으킬 수 있는 버그가 발견된 2012년으로 거슬러 올라간다. 그 후로 수년간 수천개의 의료기기들에서 취약점들이 발견되었다. 이번에 이스라엘의 Beersheba의 Ben-Gurion 대학교의 연구가들이 발표한 리포트에서는, MRI(Magnetic Resonance Imaging)나 CT(Computed Tomography)와 같은 의료 영상 장비들이 더욱더 사이버 공격에 취약해지고 있다고 밝혔다.
  • 멜트다운 및 스펙터 취약점과 그 패치에 대한 기사가 계속해 이어지고 있다.

Detailed News List

  • Medical equipment
    • [InformationSecurityBuzz]
      Medical Imaging Devices Are Vulnerable To Cyber-Attacks
    • [ZDNet]
      CT, MRI machines face the greatest risk of cyberattack, researchers warn
    • [InfoSecurityMagazine]
      Vulnerable Medical Imaging Devices Open the Door to Death
  • Meltdown/Spectre
    • [SecurityWeek]
      Malware Exploiting Spectre, Meltdown Flaws Emerges
    • [InfoSecInstitute]
      Meltdown and Spectre Patches: a story of delays, lies, and failures
    • [ZDNet]
      AMD vs Spectre: Our new Zen 2 chips will be protected, says CEO
    • [SecurityWeek]
      New AMD Processors to Include Protections for Spectre-like Exploits

 

Vulnerability Patches/Software Updates

Summaries

  • 모질라에서 파이어폭스(FireFox) 브라우저의 원격 코드 실행 취약점을 패치했다. 모질라에서 파이어폭스 브라우저 58버젼에 대한 보안 업데이트 릴리즈를 통해, 원격 공격자가 임의의 코드를 실행할 수 있는 치명적인 취약점을 수정했다. 이 취약점은 CVE-2018-5124으로 파이어폭스 56버젼부터 58버젼까지 영향을 미친다.
  • 시스코 시스템즈(Cisco Systems)에서 월요일에 VPN의 치명적인 취약점을 수정하는 패치를 릴리즈했다. 시스코에 따르면, 이 취약점은 인증받지않은 원격의 공격자가 영향을 받는 장치에서 코드를 실행시킬 수 있다. 게다가 이 취약점 CVE-2018-0101은 CVSS 점수 10점을 받아서 더 주목을 받고있다. (31일에서 이어짐)
  • Oracle Micros의 PoS(Point-of-Sale)에서 기업의 전체 비즈니스 데이터를 침해하고 다운로드받을 수 있는 취약점이 발견되었다. 이 취약점은 인증받지 않은 원격의 공격자가 PoS 서버의 데이터베이스를 읽고 쓸수 있는 접근권한을 획득할 수 있게한다. Oracle은 이 취약점이 이달 초의 분기(Quarterly) 패치 스케쥴에서 패치되었다고 밝혔다. (31일에서 이어짐)

Detailed News List

  • Mozilla
    • [SecurityAffairs]
      Mozilla fixes a critical remote code execution vulnerability in Firefox
    • [TheHackerNews]
      Update Your Firefox Browser to Fix a Critical Remotely Exploitable Flaw
    • [ZDNet]
      Firefox 58.0.1: Mozilla releases fix for critical HTML hijack flaw
    • [HelpNetSecurity]
      Mozilla plugs critical and easily exploitable flaw in Firefox
    • [SecurityWeek]
      Mozilla Patches Critical Code Execution Flaw in Firefox
    • [CyberScoop]
      Firefox vulnerability allowing for arbitrary code execution is fixed
    • [TheRegister]
      Unsanitary Firefox gets fix for critical HTML-handling hijack flaw
  • Oracle PoS
    • [SecurityWeek]
      Remotely Exploitable Vulnerability Could Impact 300,000 Oracle PoS Systems
    • [TheHackerNews]
      Critical Oracle Micros POS Flaw Affects Over 300,000 Payment Systems
    • [TheRegister]
      Oracle point-of-sale system vulnerabilities get Big Red cross
    • [SecurityAffairs]
      Once again, Oracle MICROS PoS have been breached
  • Cisco VPN
    • [InformationSecurityBuzz]
      Cisco Warns Of A Critical Vulnerability In Its SSL VPN Solution

 

Data Breaches/Info Leakages

Summaries

  • 호주의 차량 공유 서비스 GoGet의 사용자 데이터베이스에 침입하고 서비스를 불법으로 이용한 해커가 체포되었다. 1월 30일 수사관들이 가택 수색영장을 집행했고, 37세의 남성을 체포해 기소했다. 그리고 컴퓨터 및 노트북 등을 압수했다고 밝혔다.
  • Fortune 500 기업의 유출된 인증정보(Credentials)가 웹상에 올라온 것이 발견되었다는 연구 결과가 나왔다. 인증정보 모니터링 기업인 Vericlouds에 따르면, 포춘 500대 기업의 직원들의 계정정보가 유출되어 온라인에 존재한다. 이 연구에서 포춘 500 개입들 직원들의 10%의 이메일 인증정보가 유출된 것으로 나타났다. (31일에서 이어짐)

Detailed News List

  • Car Sharing Service
    • [ZDNet]
      Security consultant granted bail after ‘hacking’ GoGet systems
    • [HackRead]
      Hacker compromised user data & illegally used car sharing service 33 times
    • [TripWire]
      Man Arrested for Allegedly Hacking Car-Sharing Company Database
    • [ZDNet]
      ​GoGet fleet booking system accessed, alleged attacker charged
    • [TheRegister]
      Car-share biz GoGet became data share biz after 2017 hack attack
  • Fortune 500
    • [InformationSecurityBuzz]
      Dark Web Contains Trove Of Over 2.7 Million Leaked Email Credentials Of Fortune 500 Employees

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 사이버 범죄자들이 동업자(?)들의 랜섬웨어에 지불된 몸값을 훔치는 일이 벌어지고 있다. 랜섬웨어 제작자들은 TOR 브라우저를 설치할 수 없거나, 설치하기 원치 않는 사람들을 위해서 onion.top, onion.to와 같은 서비스를 통해 일반 브러우저로 TOR 네트워크를 사용할 수 있는 프록시(Proxy) 서비스로 피해자들을 유도한다. 그런데 onion.top 프록시에서 MITM(Man-in-the-Middle) 공격을 통해 특정 랜섬웨어에서 사용하는 비트코인 지갑 주소를 자신들의 비트코인 주소로 바꿔치기 하는 것이 보안기업 Proofpoint에 의해 확인되었다. (31일에서 이어짐)

Detailed News List

  • TOR Proxy
    • [InfoSecurityMagazine]
      Hackers Steal Ransomware Payments from Fellow Crims
    • [SecurityAffairs]
      Cybercriminals Stealing From Cybercriminals Ransomware Victims Left Stranded
    • [GrahamCluley]
      Bitcoin hijack steals from both ransomware authors AND their victims
    • [HackRead]
      Tor Proxy Used By Cybercriminals To Initiate Bitcoin Theft

 

Crypto Currencies/Crypto Mining

Summaries

  • 모네로(Monero) 암호화폐를 채굴하는 Smominru 봇넷이 해커에게 360만 달러를 벌어주었다는 리포트가 나왔다. Proofpoint의 연구에 따르면, Smominru라는 이름의 모네로 채굴 봇넷이 감염된 기기들에서 몰래 모네로 코인을 채굴해 봇넷을 운영하는 해커에게 수백만 달러를 벌어주었다. 봇넷 운영자는 8,900 모네로 코인을 채굴했으며, 이는 360만 달러 규모로, 주당 24모네로(8500달러)를 번 셈이다. 연구가들은 Smominru 봇넷이 확산되는 것을 2017년 5월에 확인했다. 현재는 윈도우즈 호스트를 526,000대 이상의 감염시켰으며, Smominru 봇넷은 NSA에서 개발하고 Shadow brokers 해킹그룹이 유출한 EternalBlue 익스플로잇을 사용한다. 이 봇넷의 C&C 인프라는 SharkTech라는 호스팅 및 DDoS 보호 서비스를 이용하고있다. SharkTech에서는 이에 대하여 아무런 반응도 내놓지 않았다.

Detailed News List

  • Smominru
    • [CyberScoop]
      Monero mining botnet ‘Smominru’ earns hackers $3.6 million

 

Posted in Security, Security NewsTagged BigBotPein, Crypto Currency, Cryptocurrency Mining, CVE-2018-0101, Data Breach, Information Leakage, Lizard Squad, Man-in-the-Middle Attack, Mirai, MITM, Patches, POS, Scam, Smominru, VulnerabilityLeave a comment

Security Newsletters, 2018 Jan 31st, CISCO CVE-2018-0101 취약점 外

Posted on 2018-01-31 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 미국에서 ATM에 대한 잭팟팅(Jackpotting) 공격이 최초로 확인되었다. ATM에 악의적인 소프트웨어나 하드웨어를 설치해 현금을 인출할 수 있게 하는 잭팟팅(Jackpotting) 공격은 유럽과 아시아에서는 오랫동안 은행을 위협해온 공격이었다. 그간 미국에서는 목격되지 않았으나, 이번주에 미국에서도 이러한 공격이 확인되면서 Secret Service에서는 이 공격에 대해 금융기관들에게 경고하기 시작했다. (29일에서 이어짐)

Detailed News list

  • ATM Jackpotting Attacks
    • [KrebsOnSecurity]
      Drugs Tripped Up Suspects In First Known ATM “Jackpotting” Attacks in the US
    • [SecurityWeek]
      ATM Jackpotting Attacks Strike in U.S.
    • [NakedSecurity]
      Secret Service warning: Jackpotting ATM attacks reach the US
    • [SecurityAffairs]
      Crooks target ATMs with Ploutus-D malware, these are the first confirmed cases of Jackpotting in US
    • [TheRegister]
      Crooks make US ATMs spew million-plus bucks in ‘jackpotting’ hacks
    • [HackRead]
      Jackpotting attacks hit U.S. ATMs; spit out cash in seconds

 

Vulnerability Patches/Software Updates

Summaries

  • 시스코 시스템즈(Cisco Systems)에서 월요일에 VPN의 치명적인 취약점을 수정하는 패치를 릴리즈했다. 시스코에 따르면, 이 취약점은 인증받지않은 원격의 공격자가 영향을 받는 장치에서 코드를 실행시킬 수 있다. 게다가 이 취약점 CVE-2018-0101은 CVSS 점수 10점을 받아서 더 주목을 받고있다.
  • Oracle Micros의 PoS(Point-of-Sale)에서 기업의 전체 비즈니스 데이터를 침해하고 다운로드받을 수 있는 취약점이 발견되었다. 이 취약점은 인증받지 않은 원격의 공격자가 PoS 서버의 데이터베이스를 읽고 쓸수 있는 접근권한을 획득할 수 있게한다. Oracle은 이 취약점이 이달 초의 분기(Quarterly) 패치 스케쥴에서 패치되었다고 밝혔다.

Detailed News List

  • CISCO
    • [ThreatPost]
      Cisco Patches Critical VPN Vulnerability
    • [CSOOnline]
      Cisco VPN remote code execution flaw rated 10 out of 10 for severity
    • [ZDNet]
      Cisco: This VPN bug has a 10 out of 10 severity rating, so patch it now
    • [SecurityAffairs]
      Cisco ASA software is affected by a flaw with 10 out of 10 severity rating. Patch it asap
    • [TripWire]
      Cisco Fixes 10.0 CVSS-Scored RCE Bug Affecting Its ASA Software
    • [SecurityWeek]
      Cisco Patches Critical Code Execution Flaw in Security Appliances
    • [TheRegister]
      Ugly, perfect ten-rated bug hits Cisco VPNs
  • Oracle Micros PoS
    • [ZDNet]
      Oracle Micros point-of-sale system vulnerability puts business data at risk

 

Data Breaches/Info Leakages

Summaries

  • Fortune 500 기업의 유출된 인증정보(Credentials)가 웹상에 올라온 것이 발견되었다는 연구 결과가 나왔다. 인증정보 모니터링 기업인 Vericlouds에 따르면, 포춘 500대 기업의 직원들의 계정정보가 유출되어 온라인에 존재한다. 이 연구에서 포춘 500 개입들 직원들의 10%의 이메일 인증정보가 유출된 것으로 나타났다.
  • 온라인으로 공유하는 피트니스 트래킹(Fitness tracking) 앱의 데이터에서 군사기지의 정보까지 노출되고 있다는 기사가 공개되었다. 핏빗(Fitbit)이나 Garmin등과 같은 웨어러블 장치들에서 수집 및 공유되는 데이터에서 민감정보가 노출된다는 것이다. 전세계 사용자들로부터 수집된 활동 정보를 표시한 히트맵(heat map)에서 사용자들의 활동 패턴을 통해 군사시설의 위치나 군대의 정찰, 전진기지의 위치 등이 노출되고 있다는 다수의 보안연구가 및 기자들의 발표가 이어지고 있다. (30일에서 이어짐)

Detailed News List

  • Fortune 500
    • [TripWire]
      Study: Alarming Number of Fortune 500 Credentials Found in Data Leaks
  • Fitness Tracking App
    • [InformationSecurityBuzz]
      Fitness Tracking App Strava Reveals Location Of Secret US Army Bases
    • [WeLiveSecurity]
      Privacy of fitness tracking apps in the spotlight after soldiers’ exercise routes shared online
    • [NakedSecurity]
      Secret military bases revealed by fitness app Strava
    • [ZDNet]
      Troops not at risk over Strava breach: Australian Defence Force

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 사이버 범죄자들이 동업자(?)들의 랜섬웨어에 지불된 몸값을 훔치는 일이 벌어지고 있다. 랜섬웨어 제작자들은 TOR 브라우저를 설치할 수 없거나, 설치하기 원치 않는 사람들을 위해서 onion.top, onion.to와 같은 서비스를 통해 일반 브러우저로 TOR 네트워크를 사용할 수 있는 프록시(Proxy) 서비스로 피해자들을 유도한다. 그런데 onion.top 프록시에서 MITM(Man-in-the-Middle) 공격을 통해 특정 랜섬웨어에서 사용하는 비트코인 지갑 주소를 자신들의 비트코인 주소로 바꿔치기 하는 것이 보안기업 Proofpoint에 의해 확인되었다.

Detailed News List

  • Stealing bitcoin from rivals
    • [TheRegister]
      Scammers become the scammed: Ransomware payments diverted with Tor proxy trickery
    • [ZDNet]
      Ransomware: Now crooks are stealing bitcoin ransom payments intended for rivals

 

Posted in Security, Security NewsTagged CVE-2018-0101, Cyber Espionage, Data Breach, Information Leakage, Jackpotting Attacks, Man-in-the-Middle Attack, MITM, Patches, ScamLeave a comment

Security Newsletters, 2017 Dec 16th, 라자러스Lazarus 스피어피싱 공격 外

Posted on 2017-12-16 - 2017-12-16 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 해킹당했던 보안전문기업 FOX-IT가 지난 9월에 겪었던 사건에 대한 상세 분석 보고서를 내놓았다. 영국의 NCC그룹 소유인 사이버보안 기업인 FOX-IT가 기업 기반시설(infrastructure)에 영향을 미쳤던 침해사고에 대한 정보를 공개했다. FOX-IT에 따르면, 지난 9월 19일에 신원이 알려지지 않은 공격자에 의해 중간자(MitM, Man-in-the-Middle) 공격이 일어났고, 일부(limited number)의 고객들을 염탐하는 일이 있었다. FOX-IT는 이 공격자가 회사 도메인 이름을 10시간 24분동안 하이재킹하고 FOX-IT의 이름으로 SSL 인증서를 획득했다고 밝혔다. 이 해커는 도메인을 MitM 공격을 위해 자신들의 관리하에 있는 사설 VPS 서버로 우회시켰다. 이렇게 해서 공격자들은 FOX-IT 도메인으로 향하는 트래픽을 자신들이 받아볼 수 있었으며, SSL 인증서를 사용해 HTTPS 연결 내용을 염탐하면서 트래픽은 실제 FOX-IT 서버로 포워딩 할 수 있었다. FOX-IT는 이 공격자들이 클라이언트포털(ClientPortal) 웹사이트만을 트래픽을 가로채는 공격 대상으로 삼았다고 밝혔다. FOX-IT에 따르면, 해커들은 클라이언트 포탈로 전송되는 로그인 시도 및 인증정보, 파일 등 모든 데이터에 접근했다.
  • 북한이 배후에 있는 것으로 추정되는 라자러스(Lazarus) 그룹이 런던의 암호화폐 기업을 공격했다. 악명높은 APT 그룹중 하나인 라자러스(Lazarus) 그룹이 복귀하며 런던의 암호화폐 기업의 직원 인증정보(credentials)를 훔치기 위한 스피어피싱(spearphishing) 캠페인을 진행하고 있다. 라자러스 그룹의 활동은 2014년과 2015년에 급등했는데, 이 그룹의 일원이 맞춤형 악성코드를 공격에 사용했으며, 이들에 대해 조사했던 보안전문가들은 이를 아주 정교한 악성코드로 평가하고 있다. 이들은 최소 2009년 부터 활동해 왔으며, 이르면 2007년까지도 생각할 수 있다. 그리고 사이버 스파이 행위와 데이터 및 시스템 장애를 목적으로 한 파괴행위까지 모두 연관되어 있다. 보안연구가들은 복한의 라자러스 APT 그룹이 최근 방글라데시 사이버 절도사건을 포함한 은행공격의 배후임을 밝혀냈다. 이들에 따르면, 이 라자러스 그룹이 전세계를 대상으로 하는 기타 다른 대규모의 사이버 스파이 작전들의 배후이기도 하다. 여기에는 Troy Operation, DarkSeoul Operation, Sony Pictures 해킹도 포함된다.
  • 머니테이커(MoneyTaker) 해킹그룹이 미 은행들로부터 수백만 달러를 훔친 것으로 드러났다. Group-IB에 따르면, 이 해킹그룹이 라틴 아메리카의 은행들을 다음 공격 대상으로 노리고 있다. 러시아어를 사용하는 해킹그룹인 MoneyTaker가 미국내 20개 이상의 은행들에서 2016년 5월 부터 수백만 달러를 훔쳤으며, 라틴 아메키라의 금융 기관들에 대한 공격태세를 취하고 있다고 모스크바 기반의 Group-IB가 경고했다. 이들에 따르면, MoneyTaker라 불리는 이 해킹그룹의 작업방식(modus operandi)은 공격대상 은행의 네트워크로 침입해 들어가 ATM 인출 사기(fraudulent ATM withdrawals)를 위해 카드 처리 시스템(card processing systems)을 조작한다. 이 해킹그룹의 피해기관에는 캘리포니아, 일리노이, 플로리다를 포함한 10개 주의 은행들이다. 이 은행들은 이 공격들로 평균 50만 달러의 피해를 입었다. (12일에서 이어짐)

Detailed News list

  • FOX-IT
    • [SecurityAffairs]
      The cybersecurity firm Fox-IT disclosed a security breach that affected its infrastructure
    • [HelpNetSecurity]
      Security company Fox-IT reveals, details MitM attack they suffered in September
    • [SecurityWeek]
      Hackers Target Security Firm Fox-IT
  • Lazarus group
    • [SecurityAffairs]
      Lazarus APT Group targets a London cryptocurrency company
    • [InfoSecurityMagazine]
      North Korea Attacks London Cryptocurrency Firm
    • [ZDNet]
      North Korean Trojans Are Attempting To Steal Bitcoin
  • MoneyTaker Group
    • [BankInfoSecurity]
      Report: Russian Hackers Target Banks in US, Britain, Russia

 

Malwares

Summaries

  • 맥 장치들을 공격하는 OSX.Pirrit 악성코드가 탐지되었다. 보안전문기업 Cybereason의 보안연구가 Amit Serper가 OSX.Pirrit 애드웨어(adware) 변종을 탐지했다. 이 악성코드 변종은 macOS를 대상으로 하며, 공격자는 mac 컴퓨터에 침입 및 장악 할 수 있다. 전세계 수천대의 맥 장치들이 이 애드웨어에 감염된 것으로 보인다. 이 캠페인은 일반적인 애드웨어 캠페인과는 조금 다른 양상을 보이는데, Serper가 밝힌 바에 따르면 다른 애드웨어 캠페인들은 컴퓨터를 광고로 도배 하는것에 그치지만, 이 악성코드는 거기에 더해 사용자에 대한 스파이 행위까지 수행한다. 그리고 공격자가 사용자의 개인정보를 캡쳐 할 수 있게도 한다. 이 악성코드는 은행계좌 로그인 및 금융, 비즈니스 데이터 등 민감 개인정보를 훔친다.
  • 트렌드 마이크로(Trend Micro) 보안 연구가들이 최근 ATM에서 정보를 훔치는 목적으로 특화된 악성코드를 발견했다. PRILEX라고 명명된 이 악성코드는 비쥬얼베이직(Visual Basic) 6.0으로 작성되었다. 이 악성코드는 뱅킹 어플리케이션을 하이재킹하고 ATM 사용자들의 정보를 훔치도록 설계되었다. 이 악성코드는 브라질에서 발견되었다. 처음 보고 된 것은 2017년 10월 이었으며, PRILEX는 특정 동적 링크 라이브러리(DLLs, Dynamic Link Libraries)를 후킹해 자체 응용프로그램 화면으로 대체(replace)하도록 만들어졌다. 공격 대상이 되는 DLL들은 브라질 은행에서 사용하는 ATM 어플리케이션에 속한 P32disp0.dll, P32mmd.dll, P32afd.dll 이다.

Detailed News List

  • OXS.Pirrit
    • [HackRead]
      New OSX.Pirrit Malware floods Mac devices with ads; spies on users
  • PRILEX ATM Malware
    • [SecurityWeek]
      New “PRILEX” ATM Malware Used in Targeted Attacks
    • [InformationSecurityBuzz]
      Hackers Steal £7.5m Through Targeted ATM Attacks

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 기업 메일을 해킹해 돈을 가로채는 사기(BEC, Business Email Compromise)를 벌였던 나이지리아인이 결국 미국 감옥에 가게 되었다. 나이지리아 국적의 남성이 미국 법원에서 BEC 사기사건에 대하여 유죄 판결을 받아 41개월의 징역을 살게 되었다고 미 사법부가 목요일 발표했다. 범인은 David Chukwuneke Adindu로 2016년 11월에 미국 당국에 의해 체포되었다. 그는 6월에 유죄를 인정했고 그의 범죄로 최소 15년형에 처해있었다. 거기에 더해, 그는 140만 달러의 배상금을 지불하라고 판결 받았다. 검찰에 따르면 Adindu는 나이지리아와 중국에서 거주한 적이 있으며, 조작된 이메일을 보내 그와 공모자들이 관리하던 은행 계좌로 돈을 보내도록 만들었던 사기사건에 일부로 연관되어 있다. 그는 2014년과 2016년 사이에 이 사기사건에 가담했다.
  • 미라이(Mirai) 봇넷을 운영한 혐의로 세명의 해커가 유죄를 인정했다. 이 세명은 수많은 인터넷에 연결된 장치들을 감염시켜 만든 미라이 봇넷(Mirai Botnet)을 생성, 운영, 판매한 것에 대하여 유죄를 인정했다. 이 봇넷은 작년에 호스팅 회사, 소셜미디어 플랫폼, 기타 온라인 기업들에 대하여 수많은 분산서비스거부(DDoS, Distributed Denial of Service) 공격을 실행했다. (14일에서 이어짐)
  • Dridex 악성코드를 사용해 수백만 달러를 훔친 범인을 도운 혐으로 한 남성이 감옥에 가게되었다. 2017년 12월 12일 화요일, 바클레이즈(Barclays)은행에서 일하던 29세의  Jinal Pethad가 두명의 몰도바인(Moldovan) 사이버 범죄자들의 3백만 달러(£2.5 million) 이상의 자금을 그가 일했던 Barclays Ealing 런던 지점에서 돈세탁하는 것을 도운 죄로 6년 4개월 형에 처해졌다. 두명의 사이버 범죄자는 Ion Turcan과 Pavel Gincota로 밝혀졌으며, Dridex 뱅킹 악성코드를 사용한 것과 Pethad에게 도움을 댓가로 보수를 지불한 점으로 각각 5년 8개월과 7년형에 처해졌다. (14일에서 이어짐)

Detailed News List

  • BEC Scams
    • [SecurityWeek]
      Nigerian Sentenced to Prison in U.S. for BEC Scams
    • [WeLiveSecurity]
      Business Email Compromise scammer sentenced to 41 months in prison
  • Mirai
    • [InfoSecurityMagazine]
      Mirai Masterminds Plead Guilty
  • Barclays
    • [InfoSecurityMagazine]
      Barclays Bank Insider Sentenced for Role in Dridex Plot

 

Vulnerability Patches/Software Updates

Summaries

  • HP 노트북에 키로거(Keylogger)로 사용될 수 있는 디버그 코드가 포함된 드라이버가 설치되어 판매되었다는 기사가 발표되었었다. 이에 대한 반대 기사가 다시 나왔다. Synaptics는 수백개 HP 노트북에 키로거가 설치되어 있다는 기사는 정확하지 않다고 말했다. 수요일에 발표된 내용에서, Synaptics는 자사의 소프트웨어가 키로거로 잘못 보도되었다고 밝혔다. 그리고 디버깅 컴포넌트를 자사의 Synaptics Touchpad Driver 제품에서 제거할 것이라 밝혔다. (15일에서 이어짐)

Detailed News List

  • HP Keylogger
    • [SecurityWeek]
      Synaptics to Remove “Keylogger” Functionality From Drivers

 

Data Breaches/Info Leakages

Summaries

  • 캘리포니아 투표자 1,900만명의 기록이 몽고(Mongo)DB 공격에 의해 몸값 지급을 요구당하고 있다. 이 기록은 보안설정이 되어있지 않은 MongoDB 데이터베이스에서 유출되었다. 이 사건을 발견한 Kromtech의 보안연구가에 따르면, 1,920만명이 넘는 캘리포니아 거주자 투표 등록 데이터가 보안이 되어있지 않은 MongoDB 데이터베이스에 존재하다가 삭제당하는 사건이 벌어졌고 공격자는 이 데이터를 가지고 몸값을 요구하고 있다.

Detailed News List

  • MongoDB Attack
    • [DarkReading]
      19 M California Voter Records Held for Ransom in MongoDB Attack

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 새로운 트라이톤(Triton) 악성코드가 주요 사회기반시설(critical infrastructure)에 대한 공격을 준비하고 있는 것이 탐지되었다. 산업 제어 시스템(ICS, Industrial Control Systems)을 노리는 새로운 Triton 악성코드가 파이어아이(FireEye) 연구자들에 의해 발견되었다. 트라이톤(Triton)이라 명명된 이 악성코드는 이름이 알려지지 않은 주요 사회기반시설 기관(critical infrastructure organization)을 노린 공격에 사용되어왔다. 보안전문가들은 금전적인 동기가 부족한 점과 공격의 정교한 수준으로 보았을때, 국가가 배후에 있는(state-sponsored) 공격자가 사보타주를 목적으로 한 것으로 보고있다. 파이어아이는 아직까지 Triton 공격을 어떠한 APT 그룹과도 연관짓지 않았다. 보안 전문가들은, 그들이 탐지한 행위들이 작전의 정찰단계 일부(part of the reconnaissance phase)였을 것이라 추정하고 있다. Triton 악성코드는 Schneider Electric의 Triconex Safety Instrumented System(SIS) 컨트롤러를 공격 대상으로 만들어졌다. 이 제품들은 산업 환경에서 프로세스 상태를 모니터하고 잠재적으로 위험한 상황에서 안전하게 복구하거나 차단하기 위한 제품이다. (15일에서 이어짐)
  • Pen Test Partners의 보안연구가들이 많은 학교들의 난방 제어기의 웹 인터페이스가 공공 인터넷에서 접근가능하며, 안전하지 않다는 사실을 발견했다. 이러한 취약한 시스템과 설정들이 비단 학교뿐만 아니라, 정부 사무실, 대학교, 소방서, 레스토랑에도 존재한다. 조사를 진행했던 Pen Test Partners에서는 이미 몇몇시스템들이 해킹당했다는 사실을 발견했다. 이러한 문제의 대부분은 HVAC(Heating, Ventilation and Air Conditioning)과 빌딩 관리 시스템(Building management system) 설치업자들에 의해 일어난다. 장치들이 고립 네트워크에 존재하며 외부로 노출되지 않아야 하는데 지켜지지 않는것이다. (13일에서 이어짐)

Detailed News List

  • Triton Malware
    • [Computing]
      Cyber security firm responds to ICS Attack framework dubbed Triton
    • [ThreatPost]
      Triton Malware Targets Industrial Control Systems in Middle East
    • [HackRead]
      Hackers Deploy Triton Malware to Shut Down Power Station
    • [SecurityWeek]
      Iran Used “Triton” Malware to Target Saudi Arabia: Researchers
    • [BankInfoSecurity]
      How Malware Known as Triton Threatens Public Safety
    • [HelpNetSecurity]
      Attackers disrupt plant operations with ICS-tailored malware
    • [ZDNet]
      Hackers Use Triton Malware To Shut Down Plant, Industrial Systems
    • [TripWire]
      New “Triton” Attack Framework Targeting ICS Systems
    • [TheHackerNews]
      TRITON Malware Targeting Critical Infrastructure Could Cause Physical Damage
  • Schools
    • [BBC]
      Schools Warned Over Hackable Heating Systems

 

Crypto Currencies/Crypto Mining

Summaries

  • 비트피넥스(Bitfinex)가 분산서비스거부(DDoS, Distributed Denial of Service) 공격으로 잠시 운영을 중단한 이후, 다시 서비스를 복구했다. 비트피넥스(Bitfinex)는 세계 최대의 암호화폐 거래소 중 하나다. 비트피넥스는 지난 화요일인 12월 12일에 끊임없는 DDoS 공격을 받은 끝에 운영을 중단해야 했다. 홍콩에 위치한 비트피넥스는 트워터를 통해 고객들에게 상황을 공지했다. 다행이 DDoS 공격이 사용자들의 자금에는 영향을 미치지 못했다. (15일에서 이어짐)

Detailed News List

  • Bitfinex
    • [InformationSecurityBuzz]
      Worlds Largest Bitcoin Exchange Bitfinex Hit By Cyberattack

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 크렙스온시큐리티의(KrebsOnSecurity) 브라이언 크렙스(Brian Krebs)가 얼마전 해킹당했던 나이스해시(NiceHash)의 기술책임자(CTO)가 Darkode 사건 및 봇 운영으로 유죄판결을 받았었다고 밝혔다. 2017년 12월 6일, 약 5,200만 달러 가량의 비트코인이 나이스해시(NiceHash)로 부터 사라졌다. 나이스해시는 슬로베니아 기업으로, 사용자들이 컴퓨팅 파워를 팔아서 가상화폐를 벌 수 있게 해주는 플랫폼이다. 이 절도사건의 수사가 끝나가는 와중에, 많은 나이스해시 사용자들은 회사의 기술 총책임자(CTO, Chief technology office)가 최근 거대 봇넷을 운영하고 판매했던 사건과 최근까지 세계 최대의 영어기반 사이버범죄 포럼인 ‘Darkode’를 만들고 운영했던 일로 수년간 감옥에 있었다는 사실을 알고 놀라움을 감추지 못했다. 2013년 12월에 나이스해시 CTO인 Matjaž Škorjanc는 마리포사(Mariposa) 봇넷을 만든 악성코드 제작으로 4년 10개월 징역형을 선고받았다. 마리포사는 전세계 100만대가 넘는 컴퓨터를 감염시키며 가장 큰 봇넷 중 하나가 되었다.
  • 웹사이트의 데이터 침해여부를 탐지하는 새로운 툴이 소개되었다. 캘리포니아 샌디애이고 대학교의 IT 보안 연구자들이 웹사이트가 침해당한적 있는지를 판별해주는 툴의 프로토타입을 개발했다. TripWire라는 이름의 이 툴은 2015년 1월부터 2017년 2월까지 2,300 여개의 웹사이트를 대상으로 테스트 되었다.
  • 페이스북이 인증서 투명성 점검을 위한 툴을 소개했다. 2016년 12월에 공개한 Certificate Transparency Monitoring utility에 이어서, 페이스북이 개발자를 위한 Certificate Transparency framework을 공개했다. 작년의 툴은 페이스북 자체의 TLS 인증서 발급 모니터 서비스를 통해 수집한 데이터에 접근기능을 제공하는 것이 목적이었다. 이 툴은 구글의 인증서 투명성 프레임워크(Certificate Transparency framework)를 사용했는데, 오발급된(mis-issued) TLS 인증서들을 탐지하고, 이것들을 사용해 HTTPS 트래픽을 가로채는 시도를 막을 수 있었다. 페이스북은 자사 시스템과의 푸시기반 통합(push-based integrations)기능을 제공하기 위해서, 새로운 웹훅(Webhooks) API를 제공한다. 이 API는 개발자들이 지속적으로 외부로부터 인증서 목록을 내려받거나(pulling) 알림을 기다릴(waiting for notifications) 필요 없이, 모니터링할 도메인을 지정하고 웹훅(webhook)을 등록할 수 있다. 이 도메인들에 대해 새로운 인증서가 발급될 때 마다, 그 인증서에 대한 정보가 개발자가 지정한(developer-specified) 엔드포인트(endpoint)로 전송된다.
  • 어배스트(Avast)가 악성코드 분석을 위한 디컴파일러를 오픈소스로 공개했다. Retargetable Decompiler의 줄임말인 RetDec으로 알려진 이 디컴파일러는 체코 공화국(Czech Republic)의 브르노 기술 대학(Brno University of Technology) 정보기술 학부(Faculty of Information Technology)와 AVG Technologies의 공동 프로젝트로 시작되어 개발된 7년간의 노력의 산물이다. AVG Technologies는 2016년에 어배스트(Avast)가 인수헀다. 이 툴은 실행파일을 플랫폼에 구애받지 않으며 분석할 수 있게(platform-independent analysis ) 해준다. 이 소스코드는 GitHub에 MIT 라이선스로 공개되어 있으며, RetDec은 누구나 무료로 사용할 수 있고, 소스코드를 연구하거나 수정, 재배포 할 수 있다. (15일에서 이어짐)

Detailed News List

  • Botmaster
    • [KrebsOnSecurity]
      Former Botmaster, ‘Darkode’ Founder is CTO of Hacked Bitcoin Mining Firm ‘NiceHash’
  • TripWire Tool
    • [HackRead]
      New tool exposes websites that have suffered data breaches
    • [NakedSecurity]
      Simple research tool detects 19 unknown data breaches
  • Facebook Certificate Transparency Tools
    • [SecurityWeek]
      Facebook Releases New Certificate Transparency Tools
  • Avast Decompiler
    • [TheRegister]
      Merry Xmas, fellow code nerds: Avast open-sources decompiler

 

Posted in Security, Security NewsTagged BEC Scammers, Certificate, Certificate Transparency, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, Cyber Espionage, Dark Seoul, Darkode, Dridex, HVAC, ICS, Industrial Control System, Infrastructure, Keylogger, Lazarus, Malware, Man-in-the-Middle Attack, Mirai, MITM, MoneyTaker, Operation Troy, OSX.Pirrit, PRILEX, Retargetable Decompiler, RetDec, Spearphishing, Triton Malware, VulnerabilityLeave a comment

Security Newsletters, 2017 Dec 8th, Process Doppelgänging 外

Posted on 2017-12-08 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats

Summaries

  • 이란과 관련된 것으로 추정되는 사이버 스파이 그룹이 최근 패치된 마이크로소프트 오피스(Office)의 취약점을 사용해 표적 기관에 악성코드 유포를 진행하고 있다고 파이어아이(FireEye)가 목요일 발표했다. 이 스파이 그룹은 파이어아이에서는 APT34로, 타 기관에서는 OilRig으로 지칭된 그룹이며 최소 2014년부터 활동해 온 것으로 추정된다. 이 그룹은 금융, 정부, 에너지, 통신, 화학 분야의 기관을 공격 대상으로 삼고 있으며 특히 중동에 위치한 기관을 대상으로 한다. 4월에는 보안연구가들이 마이크로소프트가 패치를 발표한 직후 오피스 취약점 CVE-2017-0199를 공격에 사용하는 것을 확인했으며, 이번에는 마이크로소프트가 11월 14일에 패치한 CVE-2017-11882를 사용한 공격을 진행하고 있다. 이 취약점은 오피스에 17년간 존재한 방정식 편집기 컴포넌트에 영향을 주는 취약점을 공격한다.
  • 시만텍(Symantec)이 새로운 Adwind RAT(Remote Access Trojan) 변종을 유포하는 스팸메일에 대해서 경고했다. 이 악성코드는 사용자의 행동을 모니터링하고, 키 입력을 기록하며 스크린샷을 찍거나, 악성 파일을 다운로드하고 비디오 및 음성을 녹음할 수 있다. Adwind는 AlienSpy, Frutas, Unrecom, Sockrat, jRAT라고도 불리는 크로스플랫폼(cross-platform) 다기능 원격제어 트로이다. Adwind 메일은 JAR 파일이나 ZIP 파일을 첨부파일로 포함해 유포되고 있다.
  • 브라질 전자상거래에서 흔히 사용되는 지불방식인 Boleto의 송장으로 위장한 스팸메일이 유포되고 있다. 이 스팸메일들은 보통 브라질 기관들을 대상으로 유포된다. 다른 여타 스팸메일들 처럼 이 캠페인은 윈도우즈 컴퓨터들을 감염시키고 정보를 훔치려는 목적을 가지고 있다. 그러나 특이하게 이 캠페인에서 감염된 컴퓨터는 IRC(Internet Relay Chat) 트래픽을 발생시키는데, 모든 감염된 호스트들은 #MSESTRE 채널에 참여한다. 브라질 공식언어인 포르투갈어로 mestre는 master 또는 teacher를 의미한다.

Detailed News list

  • APT 34 launches Spy Campaign
    • [InfoSecurityMagazine]
      Iranian State-Sponsored APT 34 Launches Spy Campaign with Just-Patched Microsoft Vulns
    • [FireEye]
      New Targeted Attack in the Middle East by APT34, a Suspected Iranian Threat Group, Using CVE-2017-11882 Exploit
    • [SecurityWeek]
      Iranian Cyberspies Exploit Recently Patched Office Flaw
  • Spam Emails spreading Adwind RAT
    • [CSOOnline]
      Over 1 million monthly spam emails spreading new Adwind RAT variants
  • Boleto Campaign targets Brazil
    • [PaloAltoNetworks]
      Master Channel: The Boleto Mestre Campaign Targets Brazil

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 트렌드마이크로(TrendMicro)의 리포트에 따르면, 전세계 수백만 시스템을 감염시켰던 Conficker 웜이 9년이 지난 지금도 여전히 활발히 활동중이다. 이 웜은 제조, 헬스케어, 정부 분야의 조직에 강력한 위협으로 남아 있을 정도로 악성코드 방지 시스템에 의해 지속적으로 탐지되고 있다. Conficker 웜이 처음 등장한 것은 2008년이다. 이번주에 트렌드 마이크로가 발표한 리포트에 따르면, Downad라 불리는 웜은 이번 해에만 330,000건이 탐지되고 차단되었다. 이 수치는 트렌드 마이크로가 Conficker를 2016년에는 3000,000건, 2015년에는 290,000건을 탐지하고 차단한 수치와 거의 일치한다. 2008년에 처음 등장한 Conficker 웜은 처음 등장시 전세계 약 900만대의 놀라운 숫자의 컴퓨터 시스템을 감염시켰다.
  • 유명 모바일 뱅킹 앱이 중간자(MitM, Man-in-the-Middle) 공격에 취약한 것으로 드러났다. 보안연구가들이 유명 뱅킹 앱에서 인증정보를 해커에게 노출시킬 수 잇는 취약점을 발견했다. 이 취약점은 버밍엄 대학교(University of Birmingham)의 보안 및 프라이버시 그룹(Security and Privacy Group)의 연구가에 의해 발견되었다. 이 연구가는 수백개의 iOS 및 Android 뱅킹 앱을 분석했다. 이 연구에서 다수의 뱅킹 앱이 MitM 공격에 취약한 것으로 드러났으며, 영향을 받는 앱에는 Allied Irish bank와 Co-op, HSBC, NatWest, Santander등이 포함된다.
  • 유명 블로깅 웹 어플리케이션인 워드프레스(WordPress)를 사용하는 사이트에서 키로거가 발경되었다. 수천개의 워드프레스 사이트가 사용자의 입력을 가로채는 악성코드에 감염된 것이 발견되었다. 이 감염은 cloudflare.solutions이라는 악성코드로 웹사이트가 감염되었던 지난 4월의 캠페인 중 일부이다. 과거에 탐지되었을 당시에는 암호화폐를 채굴하는 기능이 포함되어 있었으며, 지금은 키로깅 기능이 포함되어 있다. 기사가 작성될 당시 cloudflare.solutions 악성코드는 5,495개의 웹사이트에 감염되어 있었으며 이 숫자는 증가하고 있는 것으로 보인다.
  • 윈도우즈의 버젼 및 안티바이러스 제품과 관계없이 윈도우즈 장치를 감염시킬 수 있는 Process Doppelgänging 이라는 공격기법이 엔드포인트 보안 기업 enSiol의 보안연구가에 의해 확인되었다. 프로세스 도플갱잉(Process Doppelgänging)은 런던에서 열린 블랙햇 유럽 2017(Black Hat Europe 2017) 보안 컨퍼런스에서 시연되었으며, 파일을 사용하지 않는(fileless) 코드 인젝션 기술(code injection technique)이나. 이 기법은 악성이라 알려진 파일지라도 그 파일을 조작된 윈도우즈 핸들러의 파일 트랜젝션(transaction) 프로세스에 전달하는 방법이다. 이 공격에서는 NTFS 트랜잭션을 이용하는데, 정상적인 파일을 트랜잭션 컨텐스트에서 덮어쓰기(overwrite)한다. 그리고 트랜잭션 컨텍스트 내의 수정된 파일에서 섹션을 만들고, 프로세스를 생성한다. 이렇게 트랜잭션 중에 있는 파일을 스캔하는 것은 현재로서는 불가능 한 것으로 보이며, 트랜잭션을 취소(rollback)하게 되면 흔적이 남지 않게 된다.

Detailed News List

  • Conficker won’t die
    • [DarkReading]
      Conficker: The Worm That Won’t Die
    • [TrendMicro]
      CONFICKER/ DOWNAD 9 Years After: Examining its Impact on Legacy Systems
  • Major Banking App
    • [SecurityAffairs]
      Major Banking Applications were found vulnerable to MiTM attacks over SSL
    • [TheHackerNews]
      Security Flaw Left Major Banking Apps Vulnerable to MiTM Attacks Over SSL
    • [ThreatPost]
      Banking Apps Found Vulnerable to MITM Attacks
    • [InformationSecurityBuzz]
      University Of Birmingham Found a Security Flaw That Had 10 Million Banking App Users At Risk
    • [DarkReading]
      Man-in-the-Middle Flaw in Major Banking, VPN Apps Exposes Millions
    • [InfoSecurityMagazine]
      UK Researchers Find Major Bank App Bug Affecting 10 Million
    • [ZDNet]
      Man-in-the-middle flaw left smartphone banking apps vulnerable
  • WordPress Keylogger
    • [SecurityWeek]
      Keylogger Found on 5,500 WordPress Sites
    • [SecurityAffairs]
      Thousands of WordPress sites infected with a Keylogger and cryptocurrency miner scripts
    • [Sucuri]
      Cloudflare[.]Solutions Keylogger on Thousands of Infected WordPress Sites
  • Process Doppelgänging
    • [HackRead]
      Process Doppelgänging attack affects all Windows version & evades AV products
    • [SecurityWeek]
      ‘Process Doppelgänging’ Helps Malware Evade Detection
    • [SecurityAffairs]
      Process Doppelgänging Attack allows evading most security software on all Windows Versions
    • [TheHackerNews]
      Process Doppelgänging: New Malware Evasion Technique Works On All Windows Versions
    • [ZDNet]
      Doppelgänging: How to circumvent security products to execute code on Windows

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 지난 달 미 검찰에 의해 HBO에 대한 해킹으로 기소된 Behzad Mesri가 이란 스파이 그룹과 관련이 있다는 기사가 나왔다. 보안기업 ClearSKy가 새로운 리포트를 공개했다. 이 리포트에서는 Charming Kitten또는 Newscaster, NewsBeef라는 이름으로 알려진 스파이 그룹의 활동을 자세히 다뤘다. 이 그룹은 2014년 부터 활동해 왔으며, 이란, 미국, 이스라엘, 영국 및 기타 여러국가의 여러 단체들을 공격 대상으로 삼았다. 그리고 이들의 공격 대상에는 종종 학술 연구, 인권 및 언론과 관련된 개인들도 포함되었다. (7일에서 이어짐)

Detailed News List

  • HBO Hacking linked to Iranian Hacking Group Charming Kitten
    • [SecurityAffairs]
      HBO hacker linked to the Iranian Charming Kitten APT group
    • [InformationSecurityBuzz]
      Iranian Hacker Charged For HBO Breach Part Of Charming Kitten Group
    • [EHackingNews]
      Iranian Hacking Group Creates Fake News Agency

 

Vulnerability Patches/Software Updates

Summaries

  • OpenSSL의 취약점이 패치되었다. OpenSSL 프로젝트가 목요일에 구글 연구가가 발견한 두가지 취약점이 패치된 OpenSSL 1.0.2n 버젼을 공개했다. 이 취약점은 구글 연구가 David Benjamin이 앞서 발표했던 OSS-Fuzz라는 퍼싱 서비스를 사용해 발견한 취약점이다. (11월 3일자 뉴스모음) 취약점 중 하나는 CVE-2017-3737이며, 다른 하나는 CVE-2017-3738이다.
  • 치명적인 취약점이 마이크로소프트(Microsoft)의 악성코드 보호 엔진(MPE, Malware Protection Engine)에서 발견되어 마이크로소프트가 목요일에 이에 대한 패치를 공개했다. 이 취약점은 공격자가 공격대상 컴퓨터를 완전히 장악할 수 있게 한다. 윈도우즈10용 윈도우즈 디펜더(Windows Defender)를 포함한 다양한 마이크로소프트의 보안 제품들이 영향을 받는다. 마이크로소프트 악성코드 보호 엔진은 마이크로소프트의 모든 제품의들의 안티바이러스 및 안티스파이웨어 프로그램에 핵심 기능을 제공한다. 마이크로소프트에 따르면, 아직까지 이 취약점이 실제 공격에 사용되고 있다는 흔적은 발견되지 않았다.
  • 크롬이 63 업데이트에서 더욱 강력한 보호기능을 제공한다. 어제 공개된 크롬 63에서는 기업 마켓을 겨냥한 새로운 보안 기능 개선사항들이 포함되었다. 그 첫번째로는 사이트 고립(site isolation) 기능이다. 크롬이 처음부터 사용해왔던 다중 프로세스 모델(multiple process model)의 한층 더 엄격한 버젼이다. 크롬은 여러가지 보안 및 안정화 이유로 다중 프로세스를 사용한다. 안정성면에서는 하나의 탭이 충돌하더라도 기타 다른 탭이나 브라우저 그 자체는 영향을 받지 않는다. 보안적인 면에서는 다중 프로세스를 사용함으로 인해서 악성코드가 하나의 사이트에서 다른 사이트의 비밀번호 입력과 같은 정보를 훔치기 어려워진다.

Detailed News List

  • OpenSSL patched
    • [SecurityWeek]
      Two Vulnerabilities Patched in OpenSSL
    • [OpenSSL]
      OpenSSL Security Advisory 07, Dec, 2017
  • Microsoft Releases Security Update
    • [US-CERT]
      Microsoft Releases Security Updates for its Malware Protection Engine
    • [CyberScoop]
      Critical vulnerability found in Microsoft Malware Protection Engine
  • Apple patches macOS, watchOS, tvOS
    • [TheRegister]
      Apple gets around to patching all the other High Sierra security holes
    • [SecurityWeek]
      Apple Patches Vulnerabilities in macOS, watchOS, and tvOS
    • [HelpNetSecurity]
      Apple users, it’s time for new security updates
    • [US-CERT]
      Apple Releases Security Updates
  • Chrome 63 offers even more protection
    • [TechRepublic]
      Google ups Chrome security for business users with new features and policies
    • [ARSTechnica]
      Chrome 63 offers even more protection from malicious sites, using even more memory
    • [US-CERT]
      Google Releases Security Update for Chrome
    • [SecurityWeek]
      Chrome Improves Security for Enterprise Use
    • [ZDNet]
      Chrome 63 vs Windows 10 Edge: Google steps up rivalry with site isolation security

 

Privacy

Summaries

  • 애플이 사용자의 프라이버시를 해치지 않으면서 사용자의 정보를 수집하고 있다고 주장했다. 애플은 최근 어떻게 사용자의 개인정보를 연관시키지 않으면서 정보를 수집하는지에 대해 밝혔다. 최근 애플의 머신러닝 저널에 공개된 포스트에 따르면, 애플은 민감 사용자 데이터를 그들 고객의 프라이버시를 지키면서도 수집할 수 있게하는 알고리즘을 개발했다. 사용자가 누군이지 드러내지 않으면서 정보를 얻기 위해서, 애플은 iOS10을 릴리즈하면서 차등 개인정보(local differential privacy)를 사용하는 시스템 구조(system architecture)를 개발했다. 포스트에 따르면 이 아이디어는 신중히 조정된 노이즈를 사용해 사용자 데이터를 가리는데 사용하는 것에 근원을 두고 있으며, 많은 사용자들이 데이터를 제공할 때, 추가된 잡음(noise)이 평균화되고(added averages out) 의미있는 정보가 나타난다. 지역 차등 프라이버시(local differential privacy)를 사용하면서 사용자 데이터는 장치에서 전송되기 전에 랜덤화(randomized)되고, 서버는 원본 데이터(raw data)를 보거나 수신할 수 없게 된다.

Detailed News List

  • Apple collect your data
    • [TechRepublic]
      Apple claims it can collect your data without violating your privacy; here’s how
    • [ZDNet]
      Apple to iPhone, Mac users: Here’s why our data gathering doesn’t invade your privacy
    • [Apple Machine Learning Journal]
      Learning with Privacy at Scale

 

Data Breaches/Info Leakages

Summaries

  • 나이스해시(NiceHash)가 해킹당해 수천 비트코인을 도둑맞았다. 암호화폐 채굴 마켓인 나이스해시(NiceHash)가 해킹으로 전체 비트코인 지갑을 잃게 되었다고 발표했다. 나이스해시는 사용자들이 자신의 컴퓨터 사이클을 암호화폐 채굴을 위해 사고파는 마켓이다. 나이스해시는 수요일 정오에 성명을 발표했는데 NiceHash 웹 사이트에 보안 침해가 있었으며, 지불 시스템이 완전히 침해당해 나이스해시의 비트코인 지갑을 도둑맞았다고 발표했다. 나이스해시가 정확한 금액을 밝히지는 않았지만, 추정되는 금액은 약 6천만 달러에 달할 것으로 보인다.
  • 우버(Uber)가 해킹한 사람을 확인하고 추가 사고를 막기위해 정보 공개를 하지 않겠다는 약속을 받는 목적으로 10만 달러의 금액을 그들의 버그바운티 프로그램(bug bounty program)에서 지불한 것으로 로이터 통신이 보도했다. 로이터 통신이 이 침해사고에 대해 잘 알고있는 익명의 소식통으로부터 입수한 바에 따르면, 해커는 20세의 플로리다의 남성으로 우버는 이 사람의 컴퓨터에서 포렌식 수사를 진행했으며, 훔친 정보를 삭제한 것이 맞는지 확인하는 과정을 거쳤다.
  • 유명 키보드 앱이 3100만명의 사용자 개인정보를 수집하고 이 정보를 유출시키는 사고가 있었다. 문제는 앱 제조사의 데이터베이스가 비밀번호로 보호되고 있지 않았기 때문이었다. 서버는 전세계 4000만명 이상의 사용자가 사용하는 개인화 가능한 온스크린(on-screen) 키보드 앱인 AI.type의 공동설립자 Eitan Fitusi의 소유다. 서버가 비밀번호로 보호되어있지 않아서 누구나 사용자 레코드에 접근이 가능했고, 데이터베이스에는 577기가바이트 이상의 민감 정보가 존재했다. 해당 내용을 발견한 Kromtech Security Center에서 연락을 취한 후 보안설정이 되었으나, Fitusi는 이에대한 답변을 하지 않았다. 노출된 데이터는 사용자 이름, 이메일 주소, 앱 설치기간 이었고, 사용자의 도시와 국가와 같은 위치정보도 포함되어 있었다. 무료버젼을 사용하는 사용자 정보는 더 자세한 정보도 존재했다. 장치의 IMSI와 IMEI 번호, 장치의 제조번호 및 모델정보, 화면 해상도, 안드로이드 정보와 같은 중요 정보들도 존재했다. (6일에서 이어짐)

Detailed News List

  • NiceHash got Hacked
    • [InfoSecurityMagazine]
      $64m in Bitcoin Stolen from NiceHash Mining Platform
    • [SecurityAffairs]
      NiceHash: security breach leads to 60 million lost – Iceman is behind?
    • [NakedSecurity]
      NiceHash cryptomining exchange hacked; everything’s gone
    • [DarkReading]
      Bitcoin Miner NiceHash Hacked, Possibly Losing $62 Million in Bitcoin
    • [InformationSecurityBuzz]
      $60 Million Worth Of Bitcoin Stolen From Cryptocurrency Site
    • [TripWire]
      NiceHash Temporarily Ceases Operations Following Security Breach
    • [ZDNet]
      Bitcoin exchange NiceHash hacked, $68 million stolen
    • [SecurityAffairs]
      NiceHash Hacked – Crooks have allegedly stolen $60m worth of Bitcoin
    • [TheHackerNews]
      Largest Crypto-Mining Exchange Hacked; Over $70 Million in Bitcoin Stolen
    • [HelpNetSecurity]
      NiceHash suffers security breach, around $70 million in Bitcoin stolen
    • [HackRead]
      Cryptocurrency mining market NiceHash hacked; $67m might be stolen
    • [TheRegister]
      NiceHash diced up by hackers, thousands of Bitcoin pilfered
  • Uber Hacking
    • [DarkReading]
      Uber Used $100K Bug Bounty to Pay, Silence Florida Hacker: Report
    • [ZDNet]
      Uber paid 20-year-old man to hide hack, destroy data
    • [TheHackerNews]
      Uber Paid 20-Year-Old Florida Hacker $100,000 to Keep Data Breach Secret
    • [Reuters]
      Exclusive: Uber paid 20-year-old Florida man to keep data breach secret – sources
  • Keyboard App
    • [GrahamCluley]
      Oops! This Android keyboard app accidentally leaked 31 million users’ personal details
    • [WeLiveSecurity]
      Virtual keyboard app exposes personal data of 31 million users
    • [EHackingNews]
      Misconfigured Ai.Type Virtual Keyboard Database Exposes 31 Million Users’ Personal Data
    • [EHackingNews]
      Personal data of 31 million Android users of virtual keyboard app revealed

 

Industrial/Infrastructure/Physical System/HVAC/SCADA

Summaries

  • 다수의 산업용 지멘스(Siemens) 제품들에서 심각한 취약점이 발견되었다. 다수의 산업용 장비들에서 공격자가 원격으로 시스템을 서비스거부(DoS, Denial-of-Service) 상태로 만들 수 있는 취약점이 발견되었다. 이 취약점은 CyberX의 연구가들에 의해 지멘스에 보고되었으며, CVE-2017-12741로 높은 심각성(high severity)등급으로 분류되었다. 지멘스에 따르면 영향받는 제품들은 SIMATIC S7-200 Smart micro-PLCs for small automation applications, 일부 SIMATIC S7 CPUs, SIMATIC WinAC RTX 소프트웨어 컨트롤러(software controllers), SIMATIC ET 200 PROFINET 인터페이스 모듈(interface modules), SIMATIC PN/PN 커플러(couplers), SIMATIC Compact field units, PROFINET IO의 개발 도구(development kits), SIMOTION 동작 제어 시스템(motion control systems), SINAMICS 컨버터(converters), SINUMERIK CNC 자동화 제품(automation solutions), SIMOCODE 모터 관리 시스템(motor management systems), SIRIUS 3RW motor soft starters 다.

Detailed News List

  • Siemens Products
    • [SecurityWeek]
      Serious Flaw Found in Many Siemens Industrial Products
    • [Siemens]
      SSA-346262: Denial-of-Service in Industrial Products(PDF)

 

Internet of Things

Summaries

  • 다수의 차량을 포함한 온갖 기기들이 점차 더 많이 네트워크에 연결되기 시작하면서, 이를 걱정하는 기사들이 이어지고 있다. 해커들이 인터넷에 접속된 차량에 침입하게 되면 에어백이나 브레이크, 잠금장치 등을 무력화 할 수 있고 차량을 훔칠 수도 있다. 최근에 테슬라(Tesla)차량이 중국 해커들에 의해 해킹된 최근의 사건에 주목할만 하다.
  • 사토리(Satori)봇넷이라 이름 붙은, 라우터(Router)의 제로데이에 기반한 봇넷 공격이 임박했다고 하는 기사가 나왔다. 새로운 Mirai 변종이 공격준비가 끝났다는 것이다. 14개월 전 소스코드가 공개된 이후, 봇넷 운영자들은 새로운 버젼을 계속적으로 릴리즈해 왔다. 가장 최근의 변종에서는 근래에 발견된 가정 및 소규모 사무실용으로 많이 사용되는 라우터를 취약점을 공격하는 기능이 들어가있다. 이 취약점은 강력한 암호를 설정해 놓고너 원격 관리기능(remote administration)을 꺼 놓아도 공격가능하다. 영향을 받는 화웨이(Huawei) 장치 중 하나는 EchoLife Home Gateway이고 다른 하나는 Huawei Home Gateway다. 약 90,000에서 100,000대의 새로 감염된 장치들이 두 화웨이 라우터 모델 중 하나다. 새로운 악성코드는 다른 장치들을 대상으로 공격하기 위한 65,000개의 사용자 이름 및 비밀번호 사전을 갖추고있다. (6일에서 이어짐)

Detailed News List

  • Driverless cars
    • [UpstateBusinessJournal]
      Cybersecurity concerns surround the promise of driverless cars
    • [ZDNet]
      No, we’re not trying to get backdoors in smart homes, cars, says Germany
    • [EHackingNews]
      Rising peril of autonomous vehicles due to cyber attacks
  • Satori Botnet
    • [InformationSecurityBuzz]
      Satori Botnet

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • 안드로이드 랜섬웨어 킷(Android Ransomware Kits)이 다크넷에서 붐이 일고 있다. 이번해에 지금까지 5,000개 이상의 안드로이드 랜섬웨어 킷이 존재하는 것이 확인되었으며, 평균 가격은 $200이다. 대다수의 랜섬웨어 키트는 여전히 윈도우즈 시스템을 대상으로 하고있다. 그러나 새로나온 리포트에 따르면, 안드로이드 랜섬웨어 키트가 비싼 값에 거래되고 있으며, 그 판매량과 가격이 증가할 것으로 예상된다. 안드로이드 랜섬웨어 키트는 윈도우즈 랜섬웨어 키트가 평균 $10라는 가격에 판매되는 것에 비해 평균 $200라는 20배 높은 가격으로 판매되고 있다고 카본블랙(Carbon Black)이 발표했다. 이 랜섬웨어 키트의 가격은 $250에서 $850선이다.

Detailed News List

  • Android Ransomware Kit
    • [DarkReading]
      Android Ransomware Kits on the Rise in the Dark Web

 

Crypto Currencies/Crypto Mining

Summaries

  • StorageCrypt 랜섬웨어가 SambaCry 익스플로잇을 사용해 NAS 장치들을 노리고있다. 새로운 종류의 랜섬웨어가 5월에 패치된 SambaCry 취약점을 사용해 NAS(Network-Attached Storage) 장치를 노리고 있다. StorageCrypt라 명명된 이 랜섬웨어는 0.4에서 2비트코인을 암호화 파일을 풀어주는 것에 대한 몸값으로 요구한다. NAS 장치를 감염시키기 위해서 StroageCrypt는 리눅스 삼바(Samba) 취약점(CVE-2017-7494)을 이용한다. (7일에서 이어짐)

Detailed News List

  • StorageCrypt
    • [SecurityAffairs]
      The StorageCrypt ransomware is the last malware in order of time exploiting SambaCry to target NAS Devices

 

Posted in Security, Security NewsTagged Adwind RAT, Android Ransomware Kits, APT34, Bug Bounty Program, Charming Kitten, cloudflare.solutions, Conficker, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, CVE-2017-0199, CVE-2017-11882, CVE-2017-3737, CVE-2017-3738, CVE-2017-7494, Cyber Espionage, DarkNet, Deep web, Industrial Control System, Information Leakage, Internet of Things, IoT, Keylogger, Malware, Malware Protection Engine, Man-in-the-Middle Attack, Mirai, MITM, NewsBeef, Newscaster, OilRig, OpenSSL, OSS-Fuzz, Patches, PLC, Privacy, Process Doppelgänging, SambaCry, Satori Botnet, StorageCrypt, Underground Market, VulnerabilityLeave a comment

글 내비게이션

이전 글

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.