Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] Mirai

Security Newsletters, 2018 Feb 1st, Monero 채굴하는 Smominru Botnet 外

Posted on 2018-02-01 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • Lizard Squad 그룹이 그룹을 만든 Zachary Buchta가 체포되며 끝난 것으로 여겨졌었으나, BitBotPein이라는 이름으로 여전히 활동중이라는 리포트가 발표되었다. ZingBox의 연구가들이 BigBotPein 그룹이 Lizard Squad의 새로운 이름이며, 이들과 Mirai 악성코드와 연관되어 있다는 강한 증거를 가지고 있다는 리포트를 발표했다. Lizard Squad는 소니 플레이스테이션 및 Xbox Live, Blizzard의 Warcraft의 네트워크 장애를 일으킨 사건에 책임이 있다. 수년간 많은이들이 Lizard Squad가 서비스했던 LizardStresser DDoS 서비스를 이용했으며, 운영진이 체포되면서 끝이났다. ZingBox의 연구가들이 수집한 정보에 따르면, Lizard Squad 해커들과 Mirai는 둘다 같은 우크라이나(Ukrainian) 호스팅 서비스를 사용했다. 그리고, 연구가들은 BigBotPein이 Lizard Squad와 관린되어 있다는 점을 2017년 말에 있었던 또다른 Mirai 사건과 관련된 도메인을 분석하여 찾아냈다. 이 도메인이 Lizard Squad와 관련된 개인의 이름으로 등록되어 있었던 것이다.

Detailed News list

  • Lizard Squad
    • [HackRead]
      Lizard Squad is alive and continuing activities as BigBotPein: Report

 

Exploits/Vulnerabilities

Summaries

  • CT나 MRI와 같은 의료기기가 치명적인 위협에 노출되어 있다. MRI나 CT와 같은 핵심 의료기기들이 사이버공격에 취약하다고 보안연구가들이 경고했다. PC외에도 네트워크에 연결된 의료기기들에 대한 사이버 보안에 대해 주목한 것은 심박조절기에 치명적인 쇼크를 일으킬 수 있는 버그가 발견된 2012년으로 거슬러 올라간다. 그 후로 수년간 수천개의 의료기기들에서 취약점들이 발견되었다. 이번에 이스라엘의 Beersheba의 Ben-Gurion 대학교의 연구가들이 발표한 리포트에서는, MRI(Magnetic Resonance Imaging)나 CT(Computed Tomography)와 같은 의료 영상 장비들이 더욱더 사이버 공격에 취약해지고 있다고 밝혔다.
  • 멜트다운 및 스펙터 취약점과 그 패치에 대한 기사가 계속해 이어지고 있다.

Detailed News List

  • Medical equipment
    • [InformationSecurityBuzz]
      Medical Imaging Devices Are Vulnerable To Cyber-Attacks
    • [ZDNet]
      CT, MRI machines face the greatest risk of cyberattack, researchers warn
    • [InfoSecurityMagazine]
      Vulnerable Medical Imaging Devices Open the Door to Death
  • Meltdown/Spectre
    • [SecurityWeek]
      Malware Exploiting Spectre, Meltdown Flaws Emerges
    • [InfoSecInstitute]
      Meltdown and Spectre Patches: a story of delays, lies, and failures
    • [ZDNet]
      AMD vs Spectre: Our new Zen 2 chips will be protected, says CEO
    • [SecurityWeek]
      New AMD Processors to Include Protections for Spectre-like Exploits

 

Vulnerability Patches/Software Updates

Summaries

  • 모질라에서 파이어폭스(FireFox) 브라우저의 원격 코드 실행 취약점을 패치했다. 모질라에서 파이어폭스 브라우저 58버젼에 대한 보안 업데이트 릴리즈를 통해, 원격 공격자가 임의의 코드를 실행할 수 있는 치명적인 취약점을 수정했다. 이 취약점은 CVE-2018-5124으로 파이어폭스 56버젼부터 58버젼까지 영향을 미친다.
  • 시스코 시스템즈(Cisco Systems)에서 월요일에 VPN의 치명적인 취약점을 수정하는 패치를 릴리즈했다. 시스코에 따르면, 이 취약점은 인증받지않은 원격의 공격자가 영향을 받는 장치에서 코드를 실행시킬 수 있다. 게다가 이 취약점 CVE-2018-0101은 CVSS 점수 10점을 받아서 더 주목을 받고있다. (31일에서 이어짐)
  • Oracle Micros의 PoS(Point-of-Sale)에서 기업의 전체 비즈니스 데이터를 침해하고 다운로드받을 수 있는 취약점이 발견되었다. 이 취약점은 인증받지 않은 원격의 공격자가 PoS 서버의 데이터베이스를 읽고 쓸수 있는 접근권한을 획득할 수 있게한다. Oracle은 이 취약점이 이달 초의 분기(Quarterly) 패치 스케쥴에서 패치되었다고 밝혔다. (31일에서 이어짐)

Detailed News List

  • Mozilla
    • [SecurityAffairs]
      Mozilla fixes a critical remote code execution vulnerability in Firefox
    • [TheHackerNews]
      Update Your Firefox Browser to Fix a Critical Remotely Exploitable Flaw
    • [ZDNet]
      Firefox 58.0.1: Mozilla releases fix for critical HTML hijack flaw
    • [HelpNetSecurity]
      Mozilla plugs critical and easily exploitable flaw in Firefox
    • [SecurityWeek]
      Mozilla Patches Critical Code Execution Flaw in Firefox
    • [CyberScoop]
      Firefox vulnerability allowing for arbitrary code execution is fixed
    • [TheRegister]
      Unsanitary Firefox gets fix for critical HTML-handling hijack flaw
  • Oracle PoS
    • [SecurityWeek]
      Remotely Exploitable Vulnerability Could Impact 300,000 Oracle PoS Systems
    • [TheHackerNews]
      Critical Oracle Micros POS Flaw Affects Over 300,000 Payment Systems
    • [TheRegister]
      Oracle point-of-sale system vulnerabilities get Big Red cross
    • [SecurityAffairs]
      Once again, Oracle MICROS PoS have been breached
  • Cisco VPN
    • [InformationSecurityBuzz]
      Cisco Warns Of A Critical Vulnerability In Its SSL VPN Solution

 

Data Breaches/Info Leakages

Summaries

  • 호주의 차량 공유 서비스 GoGet의 사용자 데이터베이스에 침입하고 서비스를 불법으로 이용한 해커가 체포되었다. 1월 30일 수사관들이 가택 수색영장을 집행했고, 37세의 남성을 체포해 기소했다. 그리고 컴퓨터 및 노트북 등을 압수했다고 밝혔다.
  • Fortune 500 기업의 유출된 인증정보(Credentials)가 웹상에 올라온 것이 발견되었다는 연구 결과가 나왔다. 인증정보 모니터링 기업인 Vericlouds에 따르면, 포춘 500대 기업의 직원들의 계정정보가 유출되어 온라인에 존재한다. 이 연구에서 포춘 500 개입들 직원들의 10%의 이메일 인증정보가 유출된 것으로 나타났다. (31일에서 이어짐)

Detailed News List

  • Car Sharing Service
    • [ZDNet]
      Security consultant granted bail after ‘hacking’ GoGet systems
    • [HackRead]
      Hacker compromised user data & illegally used car sharing service 33 times
    • [TripWire]
      Man Arrested for Allegedly Hacking Car-Sharing Company Database
    • [ZDNet]
      ​GoGet fleet booking system accessed, alleged attacker charged
    • [TheRegister]
      Car-share biz GoGet became data share biz after 2017 hack attack
  • Fortune 500
    • [InformationSecurityBuzz]
      Dark Web Contains Trove Of Over 2.7 Million Leaked Email Credentials Of Fortune 500 Employees

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 사이버 범죄자들이 동업자(?)들의 랜섬웨어에 지불된 몸값을 훔치는 일이 벌어지고 있다. 랜섬웨어 제작자들은 TOR 브라우저를 설치할 수 없거나, 설치하기 원치 않는 사람들을 위해서 onion.top, onion.to와 같은 서비스를 통해 일반 브러우저로 TOR 네트워크를 사용할 수 있는 프록시(Proxy) 서비스로 피해자들을 유도한다. 그런데 onion.top 프록시에서 MITM(Man-in-the-Middle) 공격을 통해 특정 랜섬웨어에서 사용하는 비트코인 지갑 주소를 자신들의 비트코인 주소로 바꿔치기 하는 것이 보안기업 Proofpoint에 의해 확인되었다. (31일에서 이어짐)

Detailed News List

  • TOR Proxy
    • [InfoSecurityMagazine]
      Hackers Steal Ransomware Payments from Fellow Crims
    • [SecurityAffairs]
      Cybercriminals Stealing From Cybercriminals Ransomware Victims Left Stranded
    • [GrahamCluley]
      Bitcoin hijack steals from both ransomware authors AND their victims
    • [HackRead]
      Tor Proxy Used By Cybercriminals To Initiate Bitcoin Theft

 

Crypto Currencies/Crypto Mining

Summaries

  • 모네로(Monero) 암호화폐를 채굴하는 Smominru 봇넷이 해커에게 360만 달러를 벌어주었다는 리포트가 나왔다. Proofpoint의 연구에 따르면, Smominru라는 이름의 모네로 채굴 봇넷이 감염된 기기들에서 몰래 모네로 코인을 채굴해 봇넷을 운영하는 해커에게 수백만 달러를 벌어주었다. 봇넷 운영자는 8,900 모네로 코인을 채굴했으며, 이는 360만 달러 규모로, 주당 24모네로(8500달러)를 번 셈이다. 연구가들은 Smominru 봇넷이 확산되는 것을 2017년 5월에 확인했다. 현재는 윈도우즈 호스트를 526,000대 이상의 감염시켰으며, Smominru 봇넷은 NSA에서 개발하고 Shadow brokers 해킹그룹이 유출한 EternalBlue 익스플로잇을 사용한다. 이 봇넷의 C&C 인프라는 SharkTech라는 호스팅 및 DDoS 보호 서비스를 이용하고있다. SharkTech에서는 이에 대하여 아무런 반응도 내놓지 않았다.

Detailed News List

  • Smominru
    • [CyberScoop]
      Monero mining botnet ‘Smominru’ earns hackers $3.6 million

 

Posted in Security, Security NewsTagged BigBotPein, Crypto Currency, Cryptocurrency Mining, CVE-2018-0101, Data Breach, Information Leakage, Lizard Squad, Man-in-the-Middle Attack, Mirai, MITM, Patches, POS, Scam, Smominru, VulnerabilityLeave a comment

Security Newsletters, 2018 Jan 25th, Alphabet 보안 기업 Chronicle 런칭 外

Posted on 2018-01-25 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 트렌드마이크로(TrendMicro)에서 라자러스(Lazarus) 그룹과 이 그룹이 공격에 사용하는 여러 도구중 하나인 RATANKBA라는 악성코드, 그리고 서버들에 대한 분석 기사를 공개했다.
  • 모네로(Monero) 암호화폐를 채굴하기 위한 대규모의 움직임이 4개월 이상 지속되어 온 것을 팔로알토네트웍스(Palo Alto Networks)의 Unit 42에서 탐지했다. 이 작전은 오픈소스 XMRig 유틸리티를 사용해 모네로를 채굴한다. Unit42에서 예측한 바에 따르면, 이 작전에 영향을 받은 사람은 전 세계 약 1500만명에 달할 것으로 보인다.

Detailed News list

  • Lazarus
    • [TrendMicro]
      Lazarus Campaign Targeting Cryptocurrencies Reveals Remote Controller Tool, an Evolved RATANKBA, and More
  • Monero Mining Operation
    • [Unit42]
      Large Scale Monero Cryptocurrency Mining Operation using XMRig

 

Malwares

Summaries

  • 클라우드플레어 도메인(cloudflare.solutions)을 사용했던 키로거가 새로운 도메인으로 돌아왔다.  Sucuri에서 cloudflare.solutions에 대한 정보를 공개한 뒤, 해당 도메인은 정지되었다. 공격자는 즉시 새로운 도메인들을 등록했다. cdjs.oneline, cdns.ws, msdns.online 등이다.
  • 미라이 마수타(Mirai Masuta)봇넷에 대한 기사가 이어지고 있다. Mirai를 기반으로 한 새로운 IoT 봇넷인 Masuta는 최소 두 개의 변종이 있는 것으로 보인다고 NewSky Security에서 밝혔다. Masuta의 소스코드가 비공개 다크웹의 포럼에서 발견되었고, 연구자들이 발견한 바에 따르면 악성코드의 설정 파일은 미라이와 비교했을때 다른 암호화 키를 사용한다. 그리고 연구자들은 nexusiotsolutions.net이라는 도메인을 C7C 서버로 사용하는데, 이 도메인은 Nexus Zeta라는 최근의 Satori 공격과 관련된 개인이 사용하는 도메인이다. 이 도메인은 nexuszeta1337@gmail.com 이메일을 사용해 등록되었다. 그래서 NewSky Security는 Nexus Zeta가 Satori에 이어, Masuta 봇넷의 제작에 관련된 것으로 추정한다.
  • P2P통신을 사용하는 IoT 봇넷이 급격히 확산중이다. 보안 기업 비트디펜더(BitDefender)에 의해 Hide’N Seek(HNS)라 명명된 이 봇넷은 처음 1월 초에 탐지되었으며, 1월 20일 다시 탐지되어 급격히 확산중이다. 이 봇넷은 장치들간에 분산된 Peer-to-Peer 방식으로 통신 한다. 이 봇넷은 리퍼(Reaper)봇넷과 동일한 익스플로잇을 사용해 장치를 감염시킨다. 그러나 아직 이 두 봇넷이 연관되었다는 증거는 없다.

Detailed News List

  • Keylogger
    • [Sucuri]
      Cloudflare[.]solutions Keylogger Returns on New Domains
  • Mirai Masuta
    • [SecurityWeek]
      Mirai-Based Masuta Botnet Weaponizes Old Router Vulnerability
    • [SecurityAffairs]
      Satori’s threat actors are behind the new Masuta botnet that is targeting routers in the wild
    • [TheRegister]
      Fresh botnet recruiting routers with weak credentials
  • P2P IoT Botnet
    • [ZDNet]
      This unusual new IoT botnet is spreading rapidly via peer-to-peer communication

 

Exploits/Vulnerabilities

Summaries

  • 일렉트론(Electron) 프레임워크에서 심각한 취약점이 발견되었다. 일렉트론은 Skype나 Slack과 같은 유명 어플리케이션을 제작하는데 사용된 프레임워크다. 이 프레임워크에서 심각한 원격 코드 실행 취약점(remote code execution vulnerability)이 발견되었다. 이 앱들은 윈도우즈에서 실행되고, myapp://과 같은 프로토콜에 대한 기본 핸들러로 앱 자신을 등록했을 때 취약하다. 이 취약점은 CVE-2018-1000006 번호가 부여되었다. (24일에서 이어짐)
  • Meltdown/Spectre와 이에대한 패치, 그리고 패치에 의한 성능 문제에 대한 기사가 계속해서 이어지고 있다.

Detailed News List

  • Electron framework
    • [ThreatPost]
      Skype, Slack and Other Popular Windows Apps Vulnerable to Critical Framework Bug
    • [SecurityAffairs]
      Critical code execution flaw in Electron framework impacts popular Desktop apps such as Skype and Signal
    • [ThreatPost]
      Skype, Slack and Other Popular Windows Apps Vulnerable to Critical Framework Bug
    • [SecurityWeek]
      Code Execution Flaw Impacts Popular Desktop Apps
    • [ZDNet]
      Electron critical vulnerability strikes app developers
    • [TheHackerNews]
      Critical Flaw Hits Popular Windows Apps Built With Electron JS Framework
    • [TheRegister]
      Skype, Slack, other apps inherit Electron vuln
  • Meltdown/Spectre
    • [CyberScoop]
      Congress wants answers on embargo of Spectre and Meltdown information
    • [InformationSecurityBuzz]
      Intel Halt Of Spectre And Meltdown Patches
    • [BankInfoSecurity]
      Expect More Cybersecurity ‘Meltdowns’
    • [ZDNet]
      ​Spectre flaw: Dell and HP pull Intel’s buggy patch, new BIOS updates coming
    • [SecurityWeek]
      Apple Patches Meltdown Flaw in Older Versions of macOS

 

Vulnerability Patches/Software Updates

Summaries

  • 워드프레스 플러그인에서 사이트 구독자 목록을 유출시키는 취약점이 패치되었다. 워드프레스 플러그인인 Email Subscribers & Newsletters에서 Dominykas Gelucevicius가 취약점을 찾아냈다. Gelucevicius의 설명에 따르면, 이 취약점은 3.4.8 이전 버젼의 플러그인은 모두 취약하다.
  • 파이어폭스 58 업데이트가 릴리즈되었다.

Detailed News List

  • WordPress Plugin
    • [TripWire]
      WordPress Plugin Fixes Bug Allowing Download of 100K+ Sites’ Subscriber Lists
  • Mozilla Firefox 58
    • [ZDNet]
      ​Firefox 58 arrives with tracker blocking to make browsing faster, and fixes for dozens of security flaws

 

Privacy

Summaries

  • 윈도우즈 10에서 원격 측정 데이터(telemetry data)를 위한 새로운 개인정보 보호 도구가 나온다. 2018년 4월 업데이트를 시작으로, 마이크로소프트가 윈도우즈 10 사용자들이 마이크로소프트의 원격측정 서버로 보내지는 수집된 진단 데이터를 검사할 수 있는 도구를 출시한다. 마이크로소프트는 윈도우즈 10의 다음번 릴리즈에서 윈도우즈 진단 데이터 뷰어 도구(Windows Diagnostic Data Viewer utility)를 포함한다고 공식적으로 확인했다.

Detailed News List

  • Windows 10
    • [ZDNet]
      Windows 10: Microsoft rolls out new privacy tools for telemetry data

 

Data Breaches/Info Leakages

Summaries

  • 벨(Bell) 캐나다가 데이터 침해 사고를 당했다. 이미 정보유출 사고를 겪은 바 있는 벨 캐나다가 고객 데이터베이스를 또 해킹당했다. 벨 캐나다는 2017년 5월 190만명의 고객정보가 도난당한바 있다.

Detailed News List

  • Bell Canada
    • [TheRegister]
      Bell Canada Canucks it up again: Second hack in just eight months
    • [DarkReading]
      Bell Canada Hit with 2nd Breach in 8 Months
    • [InformationSecurityBuzz]
      Bell Canada Cyber Breach
    • [InfoSecurityMagazine]
      Bell Canada Suffers Customer Data Breach
    • [SecurityAffairs]
      Bell Canada suffers a data breach for the second time in less than a year
    • [SecurityWeek]
      Bell Canada Hit by Data Breach

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 산업제어시스템(ICS, Industrial control systems) 환경에서의 PC나 서버에서 소프트웨어를 동작시키기 위해 사용하는 라이센스 관리 소프트웨어(license management software)에서 여러 심각한 취약점들이 발견되었다. 카스퍼스키랩의 ICS CERT 연구자들에 따르면, Hardware Against Software Piracy(HASP)라는 라이센스 관리 시스템에서 발견된 14개의 취약점은 라이센스 관리용 USB 토큰이 사이버 공격의 원격 접근 채널로 사용될 수 있다는 의미다. 발견된 취약점에는 다수의 서비스거부(DoS, Denial of service) 취약점과 여러 원격 코드 실행(Remote code execution) 취약점들이 포함된다. (23일에서 이어짐)

Detailed News List

  • USB Token
    • [InformationSecurityBuzz]
      Vulnerabilities Found In USB Tokens Used In Industrial Control Systems

 

Crypto Currencies/Crypto Mining

Summaries

  • 가짜 암호화폐 사기에서 랜섬웨어를 유포한 것이 확인되었다. Fortinet의 연구자들이 새로운 랜섬웨어 사기를 탐지했다. 이 사기에서 해커들은 새로운 암호화폐 ‘스프라이트코인(SpriteCoin)‘을 소개하며 피해자들에게 지갑 파일을 다운로드하고 비밀번호를 생성하라고 속였다. 이 지갑 설치파일은 윈도우즈 기반의 컴퓨터를 감염시키는 악성코드 였으며, 시스템의 파일들을 암호화 시키고 잠긴 파일들의 암호를 푸는것에 대해 몸값을 오구한다. (24일에서 이어짐)

Detailed News List

  • SpriteCoin fraud
    • [CSOOnline]
      Hackers lure victims with fake cryptocurrency SpriteCoin
    • [CSOOnline]
      Fake SpriteCoin cryptocurrency installs ransomware and more malware if ransom is paid

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 구글 알파벳(Alphabet)에서 사이버보안 기업 크로니클(Chronicle)을 만들었다. 수요일에 알파벳이 크로니클을 발표했다. 크로니클은 2016년에 알파벳의 문샷(moonshot) 팩토리의 프로젝트로서 시작되었다.

Detailed News List

  • Google Chronicle
    • [KrebsOnSecurity]
      Chronicle: A Meteor Aimed At Planet Threat Intel?
    • [SecurityWeek]
      Google Parent Alphabet Launches Cybersecurity Firm Chronicle
    • [DarkReading]
      Meet Chronicle: Alphabet’s New Cybersecurity Business
    • [CyberScoop]
      Alphabet launches Chronicle, a new cybersecurity company
    • [ZDNet]
      Alphabet hatches cybersecurity company Chronicle using Google technology

 

Posted in Security, Security NewsTagged Crypto Currency, Cyber Espionage, Data Breach, HideNSeek, Industrial Control System, Information Leakage, Keylogger, Lazarus, Malware, Masuta, Mirai, Patches, Privacy, RATANKBA, SpriteCoin, VulnerabilityLeave a comment

Security Newsletters, 2018 Jan 24th, DNS Rebinding Attacks 취약점 外

Posted on 2018-01-24 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 터키 국방 계약자(contractors)를 대상으로한 스피어 피싱 캠페인이 벌어지고 있다. RiskIQ에 따르면, 가해자는 2017년 11월 이래로 Memcos라는 이름의 원격 접근 트로이(RAT, Remote Access Trojan)를 다운로드하는 무기화(weaponized)된 문서를 사용해 기관내 여러사람을 공격 대상으로 삼아왔다. Remcos는 키 입력을 기록하고, 스크린샷을 생성하거나, 웹캠과 마이크를 사용해 오디오나 비디오를 녹음, 녹화하고 프로그램을 설치 또는 제거하며 파일을 관리할 수 있다. 그리고 SOCKS5 프록시 기능이 있어 피해자를 프록시로 만들어 실제 C2 서버를 숨기는 데 사용할 수 있다.
  • 사이버 스파이 캠페인이 악성코드에 감염된 메시징 앱을 사용해 20개국 이상에서 정치적 활동가(activists), 군인, 변호사, 언론인, 그리고 기타 개인들의 스마트폰 데이터를 훔쳐왔다는 리포트가 공개되었다. 이 캠페인은 전 세계의 다중 플랫폼을 노린 공격이다. Dark Caracal이라 명명된 이 APT(Advenced Persistent Threat) 캠페인은 개인정보 및 지적재산등을 포함한 수백기가바이트의 데이터를 21개 이상의 국가들과 수천의 피해자들로부터 훔쳤다고 리포트에서 공개되었다. Dark Caracal은 90개의 침해지표(IOC, Indicator of Compromise)와 연관되는 다중 플랫폼 공격이다. 리포트에 포함된 IOC 90개 중 26개는 데스크톱 악성코드 침해지표이며, 11개의 안드로이드 악성코드 IOC, 60개의 도메인/IP 기반 IOC다. (19일에서 이어짐)

Detailed News list

  • Turkish
    • [InfoSecurityMagazine]
      Espionage Campaign Sets Sites on Turkish Defense Contractors
  • Dark Caracal
    • [DarkReading]
      Dark Caracal Campaign Breaks New Ground with Focus on Mobile Devices

 

Malwares

Summaries

  • 사토리(Satori) IoT 봇넷 제작자가 새로운 미라이(Mirai) 변종인 Masuta와 관련이 있는 것으로 추정된다. NewSky Security의 연구자들은, 사토리(Satori) 혹은 Mirai Okiru라 불리는 미라이 변종의 배후에 있는 해커가 새로운 두개의 미라이 변종인 Masuta와 PureMasuta의 배후와 동일인인 것으로 추정했다.
  • 새로운 샘샘(SamSam) 랜섬웨어 캠페인의 피해 병원에서 5만 5천달러의 몸값을 지불했다. SamSam 랜섬웨어는 2015년에 탐지된 오래된 악성코드이지만 최근까지도 피해는 이어지고 있다. SamSam 랜섬웨어 피해대상 중에는 MedStar라는 발티모어와 워싱턴 지역의 10개의 병원을 관리하는 비영리 그룹이 있는데, 이 공격의 배후는 MedStar에 암호화된 자료 복구 비용으로 45비트코인을 요구하기도 했다. 이 악성코드는 최근의 여러 병원들의 침해에 사용되었고, 그중 하나인 Hancock Health hospital에서는 55,000달러의 몸값을 지불하기로 결정했다. (22일에서 이어짐)

Detailed News List

  • Masuta
    • [ThreatPost]
      Satori Author Linked to New Mirai Variant Masuta
  • SamSam
    • [SecurityWeek]
      SamSam Operators Make $325,000 in 4 Weeks

 

Exploits/Vulnerabilities

Summaries

  • 블리자드(Blizzard)의 게임들에서 해커들이 수백만대의 PC를 위협에 노출 시킬 수 있는 DNS Rebinding취약점이 발견되었다. 구글 프로젝트 제로 팀의 Tavis Ormandy가 새롭게 발견한 취약점을 발표했다. 이번엔, 블리자드의 게임들에서 원격 공격자가 악성코드를 게임 사용자의 컴퓨터에서 실행시킬 수 있는 취약점이다. 블리자드 게임을 하기 위해서 Blizzard Update Agent를 설치하면, 이 어플리케이션은 JSON-RPC 서버를 HTTP 프로토콜을 사용해 포트 1120에서 실행시키고, 이를 통해 설치/제거/설정변경/업데이트 및 기타 관리 명령을 입력받는다. Ormandy는 이 Blizzard Update Agent가 DNS Rebinding 공격에 취약한 것을 시연했는데, 어떤 웹사이트든 해당 웹사이트가 권한을 가진 DNS 레코드를 localhost로 resolve 되도록 만들어 공격할 수 있다.
  • 플레이스테이션(PlayStation)4를 해킹해 PS2 에뮬레이터 및 홈브루 소프트웨어를 실행시킬 수 있다. Resetera.com의 한 사용자가 PS4 4.05의 해킹버전에 대한 정보를 올렸다. 이 정보를 올린 DanteLinkX에 따르면, PS4 파일들을 .pkg 포맷으로 덤프하거나 로드 하고, 이들을 펌웨어버젼 4.05에서 불러올 수 있다. 그리고 4.05버젼과 호환되는 덤프들 여럿이 인터넷에서 확산되고 있다. DanteLinkX는 펌웨어 5.01에 대한 해킹도 진행중이라 밝혔다.
  • 일렉트론(Electron) 프레임워크에서 심각한 취약점이 발견되었다. 일렉트론은 Skype나 Slack과 같은 유명 어플리케이션을 제작하는데 사용된 프레임워크다. 이 프레임워크에서 심각한 원격 코드 실행 취약점(remote code execution vulnerability)이 발견되었다. 이 앱들은 윈도우즈에서 실행되고, myapp://과 같은 프로토콜에 대한 기본 핸들러로 앱 자신을 등록했을 때 취약하다. 이 취약점은 CVE-2018-1000006 번호가 부여되었다.
  • 우버에서 Two-factor 인증을 무용지물로 만들수 있는 버그를 무시했다는 기사가 나왔다. ZDNet의 보도에 따르면, 우버는 공격자가 사용자 계정에 Two-factor 인증을 우회해 침입할 수 있는 취약점을 “특별히 심각하지 않다”는 이유로 무시했다. 우버는 2015년에 Two-factor 인증을 시스템 내에서 테스트하기 시작했다. 뉴델리(New Delhi)의 보안 연구가 Karan Saini가 이 Two-factor 인증을 우회할 수 있는 버그를 찾아 우버의 버그바운티 관리 업체인 HackerOne에 제보했다. 그러나 이 리포트는 즉각 거절당했고, ‘정보’로 분류되었다. 여기서 ‘정보’란 유용한 정보가 포함되어 있으나, 즉각적인 조치나 수정이 필요하지 않다는 의미다. (22일에서 이어짐)
  • Meltdown/Spectre와 이에대한 패치, 그리고 패치에 의한 성능 문제에 대한 기사가 계속해서 이어지고 있다.

Detailed News List

  • Blizzard
    • [CSOOnline]
      Hackers could have exploited flaw in all Blizzard games
    • [CSOOnline]
      Hackers could have exploited flaw in all Blizzard games to hijack millions of PCs
    • [SecurityAffairs]
      Google hacker found a critical flaw in Blizzard Games that expose millions of PCs to DNS Rebinding attacks
    • [TheHackerNews]
      Critical Flaw in All Blizzard Games Could Let Hackers Hijack Millions of PCs
  • PS4 hacked
    • [HackRead]
      PlayStation 4 hacked to run PS2 emulation & homebrew software
  • Electron Framework
    • [CyberScoop]
      Severe Electron framework vulnerability impacts apps like Skype and Slack
  • Uber
    • [HackRead]
      Uber dismissive about security flaw that lets hackers bypass its 2FA
    • [InformationSecurityBuzz]
      Security Flaw Ignored By Uber That Renders “
  • Meltdown/Spectre
    • [SecurityWeek]
      HP, Dell Halt BIOS Updates Over Buggy CPU Patches
    • [DarkReading]
      Meltdown, Spectre Patches, Performance & My Neighbor’s Sports Car
    • [ZDNet]
      In security update, Apple backports Meltdown fix to older macOS versions
    • [DarkReading]
      Fallout from Rushed Patching for Meltdown, Spectre
    • [SecurityAffairs]
      Intel recommended to stop deploying the current versions of Spectre/Meltdown patches
    • [ThreatPost]
      Intel Halts Spectre/Meltdown Patching for Broadwell and Haswell Systems
    • [CSOOnline]
      How bad are Meltdown and Spectre?
    • [HelpNetSecurity]
      Intel testing new Spectre fixes, tells everyone to hold off on deploying current firmware updates
    • [BankInfoSecurity]
      Intel: Stop Installing Patches Due to Reboot Problems
    • [TheHackerNews]
      Intel Warns Users Not to Install Its ‘Faulty’ Meltdown and Spectre Patches
    • [SecurityAffairs]
      Linus Torvalds calls the Linux Spectre patches “UTTER GARBAGE”
    • [ZDNet]
      Intel: Stop firmware patching until further notice

 

Vulnerability Patches/Software Updates

Summaries

  • 애플이 보안 업데이트를 릴리즈했다.
  • 모질라에서 보안 업데이트를 릴리즈했다.

Detailed News List

  • Apple
    • [US-CERT]
      Apple Releases Multiple Security Updates
  • Mozilla
    • [TheRegister]
      It’s 2018 and… wow, you’re still using Firefox? All right then, patch these horrid bugs
    • [US-CERT]
      Mozilla Releases Security Updates

 

Privacy

Summaries

  • 안드로이드의 소닉(Sonic) 게임 앱이 데이터를 유출하고 있다는 기사가 나왔다. 세가(Sega)는 이러한 주장에 대해 조사중이라 밝혔다. 보안 기업인 Pradeo에서 지난주에 안드로이드 게임 Sonic Dash, Sonic the Hedgehog Classic, Sonic Dash 2: Sonic Boom앱이 사용자의 위치 데이터 및 장치 정보를 유출한다고 밝혔다. 구글 플레이스토어 에서 제공하는 다운로드 수치정보로 봤을 때, 대략 1억 200만명 에서 6억명의 사용자에 영향이 있을 것으로 보인다. (23일에서 이어짐)

Detailed News List

  • Sonic
    • [InfoSecurityMagazine]
      Sonic the Hedgehog Apps Leak Data
    • [GrahamCluley]
      Sonic the Hedgehog accused of leaking Android users’ data
    • [SecurityAffairs]
      Three Sonic apps in the Google Play are leaking data to uncertified servers

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 해커가 고객을 속이기 위해서 주유기(gas pump)를 감염시키는 사건이 일어났다. 러시아 당국이 주유소에서 주유기에 소프트웨어 프로그램을 이용해 실제 주유한 양 보다 더 많이 돈을 지불하게 하여 고객들 속이는 사기행위들을 적발했다. 토요일에 러시아의 FSB(Federal Security Service)가 해커 Denis Zayev를 체포했다. 주유소 고객들을 속이는 여러 프로그램들을 만든 혐의다. (22일에서 이어짐)

Detailed News List

  • Gas Pump
    • [NakedSecurity]
      Gas pump malware tricks customers into paying for more than they pump

 

Crypto Currencies/Crypto Mining

Summaries

  • 해커들이 암호화폐 ICO로부터 4억달러 가량을 훔쳤다는 리포트가 나왔다. Ernst & Young의 새로운 보고서에서, 모든 펀드의 약 10% 이상이 도난 당하거나 분실되었다. 이는 2015년에서 2017년 사이의 37억 달러 펀딩 중 거의 400만 달러에 해당하는 규모다.
  • 가짜 암호화폐 사기에서 랜섬웨어를 유포한 것이 확인되었다. Fortinet의 연구자들이 새로운 랜섬웨어 사기를 탐지했다. 이 사기에서 해커들은 새로운 암호화폐 ‘스프라이트코인(SpriteCoin)‘을 소개하며 피해자들에게 지갑 파일을 다운로드하고 비밀번호를 생성하라고 속였다. 이 지갑 설치파일은 윈도우즈 기반의 컴퓨터를 감염시키는 악성코드 였으며, 시스템의 파일들을 암호화 시키고 잠긴 파일들의 암호를 푸는것에 대해 몸값을 오구한다.

Detailed News List

  • ICO
    • [ZDNet]
      Hackers steal almost $400M from cryptocurrency ICOs
  • SpriteCoin
    • [HackRead]
      SpriteCoin cryptocurrency ransomware spy on user, steal saved passwords
    • [ZDNet]
      Fake cryptocurrency scam delivers ransomware – and more malware when you pay up
    • [HelpNetSecurity]
      Fake cryptocurrency wallet carries ransomware, leads to spyware

 

Posted in Security, Security NewsTagged Crypto Currency, Cyber Espionage, Dark Caracal, Exploit, ICS, Industrial Control System, Malware, Masuta, Mirai, Mirai Okiru, Patches, Privacy, PureMasuta, Satori Botnet, SpriteCoin, VulnerabilityLeave a comment

Security Newsletters, 2018 Jan 16th, 금융기관 노리는 KillDisk 변종 外

Posted on 2018-01-16 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 팬시베어(FancyBear) 사이버스파이그룹이 미 상원(Senate)을 노리고 있다는 경고가 나왔다. 트렌드마이크로에 따르면, 2016년 미 선거에서 민주당을 공격했던 해커들이 상원 의원들을 노리고 있다. 이 그룹은 Pawn Storm 혹은 Fancy Bear, Sednit, APT 28로도 알려져있다.

Detailed News list

  • FancyBear
    • [InfoSecurityMagazine]
      Kremlin-Linked Hackers Target Senate Ahead of Mid-Terms
    • [BankInfoSecurity]
      Fancy Bear Targets US Senate, Security Researchers Warn

 

Malwares

Summaries

  • 새로운 KillDisk 변종이 라틴 아메리카 금융기관 윈도우즈 장치들을 공격하고 있다. 디스크 삭제 악성코드인 KillDisk의 새로운 변종이 발견되었다. TROJ_KILLDISK.IUB로 명명된 이 변종은 라틴아메리카의 금융기관에 대한 사이버 공격과 관련된어 있다. KillDisk는 다양한 악성코드에 의해 유포되고 있으며, 더 큰 공격의 일부로 사용되었을 수 있다.
  • 악성 크롬 확장기능으로 약 50만명이 영향을 받은 것으로 드러났다. 이 확장기능들은 클릭 사기(click fraud)와 검색엔진 최적화 조작(SEO manipulation)에 사용되었다. 그러나 공격자들이 기업 네트워크에 대한 접근 권한을 획득하거나 사용자 정보를 얻는데 사용되었을 수 있다고 경고했다.
  • PowerStager라 명명된 툴은 파이썬 스크립트로 개발된 도구로, C 소스코드를 사용해 윈도우즈 바이너리를 만든다. 이 툴은 쉘코드 페이로드를 실행하는 PowerShell 스크립트를  동작시키는 다중 레이어 난독화(multiple layers of obfuscation)를 사용한다. PowerStager는 독특한 난독화 기술을 PowerShell에 사용한다.
  • Mirai Okiru 봇넷이 역사상 처음으로 ARC CPU기반의 IoT 장비를 대상으로 공격을 벌이는 것이 탐지되었다. 2016년 8월에 MalwareMusDie 팀의 보안연구가 unixfreaxjp가 악명높은 Mirai 봇넷을 처음으로 탐지헀는데, 이번에도 같은 연구자에 의해 새로 악성코드가 탐지되었다. 이번에 unixfreaxjp가 발견한 것은 컴퓨터 엔지니어링 역사상 처음으로, ARC CPU를 감염시키는 리눅스 악성코드다. 이 새로운 ELF 악성코드는 MIRAI OKIRU로 명명되었다. 악성코드가 ARC CPU기반의 시스템을 공격대상으로 삼은 것은 처음있는 일이다. 첫 발견때까지 Mirai Okiru는 거의 대부분의 안티바이러스에서 탐지되지 않았다. MalwareMustDie에서는 ARC CPU가 1년에 IoT 장치들을 10억대 이상 생산해내기 때문에, Linux와 IoT의 감염에 있어 큰 변화가 있을 것이라 예상했다. (15일에서 이어짐)
  • 악성코드를 설치하는 가짜 Meltdown/Spectre 패치가 유포중이다.
  • DNS 설정을 하이재킹하는 맥OS용 악성코드 MaMi가 확인되었다. OSX/MaMi라고 명명된 이 악성코드는 Malwarebytes 포럼에 DNS 설정이 82.163.143.135, 82.163.142.137로 계속 변경된다는 리포트를 통해 발견되었다. 악성코드가 어떻게 유포되는지에 대해서는 아직 밝혀진바가 없다. 이번에 분석된 샘플은 DNS를 하이재킹하는 기능만 했지만, 스크린샷을 찍거나 마우스 이벤트의 시뮬레이션, 파일 업로드/다운로드, 명령실행 등의 기능도 갖추고 있다. (13일에서 이어짐)

Detailed News List

  • KillDisk
    • [SecurityAffairs]
      New KillDisk variant targets Windows machines in financial organizations in Latin America
    • [SecurityWeek]
      New KillDisk Variant Spotted in Latin America
    • [TrendLabs]
      New KillDisk Variant Hits Financial Organizations in Latin America
  • 크롬 확장
    • [SecurityWeek]
      Half Million Impacted by Four Malicious Chrome Extensions
  • PowerStager
    • [SecurityWeek]
      “PowerStager” Tool Employs Unique Obfuscation
  • Mirai Okiru
    • [CSOOnline]
      Mirai Okiru: New DDoS botnet targets ARC-based IoT devices
    • [TheHackerNews]
      New Mirai Okiru Botnet targets devices running widely-used ARC Processors
  • MaMi
    • [ZDNet]
      MaMi malware targets Mac OS X DNS settings
  • Fake Meltdown/Spectre Patch
    • [SecurityWeek]
      Fake Meltdown/Spectre Patch Installs Malware
    • [InfoSecurityMagazine]
      Phishers Push Malware Disguised as Meltdown Fix

 

Exploits/Vulnerabilities

Summaries

  • 멜트다운/스펙터(Meltdown/Spectre)에 대한 기사가 이어지는 중이다.

Detailed News List

  • Meltdown/Spectre
    • [NYTimes]
      Keeping Up With the Meltdown and Spectre Bugs
    • [ARSTechnica]
      Spectre and Meltdown patches causing trouble as realistic attacks get closer (ArsTechnica)
    • [TheRegister]
      Now Meltdown patches are making industrial control systems lurch
    • [ZDNet]
      Meltdown-Spectre: More businesses warned off patching over stability issues
    • [SecurityAffairs]
      Spectre/Meltdown patches had a significant impact on SolarWinds’s AWS infrastructure
    • [CSOOnline]
      Spectre and Meltdown explained: What they are, how they work, what’s at risk
    • [TheRegister]
      Meltdown/Spectre fixes made AWS CPUs cry, says SolarWinds
    • [TheRegister]
      Oracle still silent on Meltdown, but lists patches for x86 servers among 233 new fixes
    • [SecurityWeek]
      Device Manufacturers Working on BIOS Updates to Patch CPU Flaws

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 캐나다 경찰이 유출된 비밀번호 정보를 제공하던 LeakedSource.com의 운영자를 고소했다. 캐나다 당국이 27세의 온타리오 남성을 훔친 비밀번호 정보 수십억건을 온라인에서 판매한 혐의로 체포 및 기소했다. 2017년 12월 22일 Royal Canadian Mounted Police(RCMP)가 Jordan Evan Bloom을 기소했다.
  • 아이폰의 애플 헬스 데이터가 살인사건 재판에 증거로 사용되었다. 2016년 10월 19세의 의대생 Maria Ladenburger를 강간하고 살해한 독일의 아프간 난민에 대한 재판에서 이 정보가 사용되었다. Hussein Khavari는 Ladenburger를 강간하고 그녀를 Dreisam강에 익사시킨 것을 인정했다.

Detailed News List

  • LeakedSource.com
    • [KrebsOnSecurity]
      Canadian Police Charge Operator of Hacked Password Service Leakedsource.com
  • iPhone Apple Health
    • [NakedSecurity]
      iPhone’s Apple Health data used as evidence in murder trial

 

Vulnerability Patches/Software Updates

Summaries

  • 중국의 레노보(Lenovo)의 엔지니어가 네트워킹 스위치에 존재하는 백도어를 찾아냈다. 보안권고문(CVE-2017-3765)에 따르면 이 “HP backdoor”는 펌웨어에 대한 내부 보안 감사(internal security audit)을 모든 제품들에 대하여 진행하여 발견되었다. 이 백도어는 Enterpise Network Operating System(ENOS)에 영향을 미친다. 레노보는 업데이트를 릴리즈 했으며, 인증이나 인가를 우회할 수 있는 메커니즘을 절대 허용하지 않는다고 언급했다. (15일에서 이어짐)

Detailed News List

  • Lenovo
    • [SecurityWeek]
      Backdoor Found in Lenovo, IBM Switches

 

Data Breaches/Info Leakages

Summaries

  • 원플러스(One Plus) 웹사이트의 지불 시스템이 해킹당해 고객 신용카드 정보가 침해당했다. 중국의 스마트폰 제조사가 결제 페이지가 Magento 버그로 침해당했다는 것을 부인했다. 원플러스는 다수의 고객들이 원플러스의 공식 웹사이트에서 스마트폰을 구매한 이후에 신용카드 사기 및 구매에 대한 문제를 제기한 것에 대한 성명을 발표했다. 원플러스는 부인했지만, 다른 한편으로는 영국의 IT 보안 기업인 Fidus InfoSecurity Limited는 onPlus의 결제 세피이가 마젠토(Magento) eCommerce 플랫폼을 사용하고 있었으며, 최근에 해커에 의해 공격받았음을 조사를 통해 발견했다고 밝혔다.
  • HaveIBeenPwned에 침해사이트 정보가 등록되었다. 이번에 업데이트 된 정보는 TheFlyOnTheWall, LyricsMania, Open CS:GO로 TheFlyOnTheWall 사이트는 8만여명의 계정정보를, LyricsMania 사이트는 10만여명의 계정정보, Open CS:GO 사이트는 50만여명의 계정정보가 침해당했다
  • 누구인지 알려지지 않은 해커가 병원 서버를 장악한 뒤 몸값으로 비트코인을 요구하고 있다. 1월 11일 밤 Greenfield Indiana의 Hancock Health 병원이 정교한 사이버 공격으로 전체 네트워크가 장악 당했다. 해커는 컴퓨터 시스템에 비트코인으로 몸값을 지불할 것을 요구하는 메시지를 띄웠다. 병원에서는 해커가 감염을 확산시키는 것을 막기위해 그들의 시스템을 중단하기로 결정하고 FBI에 신고했다.

Detailed News List

  • One Plus
    • [HackersOnlineClub]
      One Plus Website’s Payment System Got Hacked And Customers Credit Card Info Compromised
    • [TheHackerNews]
      OnePlus Site’s Payment System Reportedly Hacked to Steal Credit Card Details
    • [HackRead]
      OnePlus denies checkout page hack amid credit card fraud reports
    • [TheRegister]
      Customers reporting credit card fraud after using OnePlus webstore
  • TheFlyOnTheWall
    • [HaveIBeenPwned]
      The Fly on the Wall – 84,011 breached accounts
  • LyricsMania
    • [HaveIBeenPwned]
      Lyrics Mania – 109,202 breached accounts
  • Open CS:GO
    • [HaveIBeenPwned]
      Open CS:GO – 512,311 breached accounts
  • Indiana Hospital
    • [CyberScoop]
      Indiana hospital shuts down systems after ransomware attack
    • [TripWire]
      Hospital Shut Down Its Computer Network Following Ransomware Attack

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 피닉스 컨택트(Phoenix Contact) 산업용 스위치에서 심각한 보안 결함이 발견되었다. 독일 기반의 산업 자동화 솔루션을 생산하는 피닉스 컨택트(Phoenix Contact)의 산업용 스위치에서 보안 취약점이 발견되었다. Phoenix Contact의 FL SWTICH 산업용 이더넷 스위치들이 인증 우회(authentication bypass) 및 정보노출(information exposure)취약점에 영향을 받는 것이 확인되었다. 이 취약점은 펌웨어 버젼 1.0부터 1.32까지를 사용하는 3xxx, 4xxx, 48xx 시리즈에 영향이 있다. 이 취약점은 1.33에서 수정되었다. 더 심각한 취약점은 CVE-2017-16743으로, 원격에서 인증되지 않은 공격자가 조작된 HTTP Request를 전송하는 것으로 인증을 우회하여, 관리 기능에 접근(gain administrative access)할 수 있다. 두번째 취약점 CVE-2017-16741은 중간 등급의 취약점으로, 원격의 인증받지 않은 공격자가 장치의 모니터 모드를 공격해 진단 정보를 읽을 수 있다. 펌웨어 1.33에서는 사용자가 모니터 기능을 비활성화 할 수 있다.
  • 주요 스카다(SCADA, Supervisory Control And Data Acquisition)시스템의 모바일 앱에서 보안 취약점이 발견되었다. 2년 전, 산업제어시스템(ICS, Industrial Control Systems)의 소프트웨어 및 하드웨어에서 취약점을 찾은바 있는데, 이번에는 스카다 모바일 앱에 대한 연구를 진행했다. IOActive와 Embedi에 소속된 이들이 34개 제조사의 SCADA 모바일 어플리케이션에 대한 조사 결과, 그들 중 대다수에서 취약점들이 발견되었다. 분석 대상 어플리케이션들은 구글 플레이에 등록되어있는 앱들 중에서 34개가 임의로 선택되었다. (12일에서 이어짐)

Detailed News List

  • Phoenix Contact Industrial Switches
    • [SecurityWeek]
      Serious Flaws Found in Phoenix Contact Industrial Switches
  • SCADA App
    • [NakedSecurity]
      More SCADA app vulnerabilities found
    • [InformationSecurityBuzz]
      Vulnerabilities Found In SCADA Mobile Applications
    • [InformationSecurityBuzz]
      IOActive And Embedi Uncover Major Security Vulnerabilities In ICS Mobile Applications

 

Service Outage/Malfunction

Summaries

  • 실수로인해 하와이에 있는 사람들에게 탄도 미사일(ballistic missile) 경보가 발송되었다. 하와이에서 토요일 아침에 휴대전화로 긴급경보가 발송되고 TV와 라디오에도 송출되었다. 놀란 사람들은 대피소를 찾았다. 그리고 약 38분 후 잘못된 경고였음이 밝혀졌다. 하와이 정부의 David Ige는 CNN과의 인터뷰에서 거짓 경보 발송의 원인은 해킹이 아니었으며, 근무 교대의 표준 절차중에 실수로 버튼을 잘못 누른 결과였다고 밝혔다. (15일에서 이어짐)

Detailed News List

  • Hawaii
    • [GrahamCluley]
      Hawaii’s ballistic missile false alarm and a user interface failure

 

Crypto Currencies/Crypto Mining

Summaries

  • Blackwallet 서비스가 DNS 하이재킹으로 해킹당해, 사용자들의 계정으로부터 400,000 달러가 도난당했다. BlackWallet.co가 1월 13일 DNS 하이재킹으로 공격을 받았다. 그결과 공격자들이 사용자의 계정에서 40만 달러를 빼냈다.

Detailed News List

  • Blackwallet
    • [SecurityAffairs]
      Blackwallet hacked, hackers stole $400,000 from users’ accounts through DNS hijacking

 

Posted in Security, Security NewsTagged Crypto Currency, Data Breach, Fancy Bear, ICS, Industrial Control System, Information Leakage, KillDisk, Malware, MaMi, Mirai, Mirai Okiru, Patches, PowerStager, SCADALeave a comment

글 내비게이션

이전 글

Search

Recent Posts

  • Exploit PoC for CVE-2023-20887 VMWare Aria Operations for Networks
  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外

Categories

  • Diet (7)
  • Exploit (1)
  • Flaw (2)
  • Hacking (1)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2023년 6월 (1)
  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.