Security Newsletters, 2018 Mar 15th, 웹기반 악성코드 유포 BlackTDS 外

Posted on 2018-03-15 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

다크웹에서 ^BlackTDS라 불리는 악성코드용 트래픽분산시스템^{(TDS, Traffic Distribution System)}이 서비스로 제공되는 것을 Proofpoint의 연구자들이 발견해 리포트했다. Traffic distribution system은 트래픽을 양쪽 사이트 모두로부터 사고 파는 브로커처럼 기능한다. 사용자의 브라우저 및 아이피 주소, 위치 및 User agent 데이터를 기반으로 해 필터링하며 광고 가치를 높인다. 사용자가 TDS chain의 일부인 링크를 클릭하면, TDS는 사용자 프로파일에 기반해 몰래 악성 웹페이지로 리다이렉트 시킨다. TDS는 웹 기반의 악성코드를 익스플로잇 킷이나 가짜 다운로드를 이용해 사이버 범죄자들을 돕는것으로 유명하다.
^APT32와 ^APT-C-OO로도 알려진 ^OceanLotus APT 그룹이 최근 탐지된 공격에서 새로운 백도어를 사용한 것이 확인되었다. OceanLotus 그룹은 최소 2013년부터 활동해 왔다. 전문가들에 따르면, 이 그룹은 베트남과 연관된 것으로 추정된다. 이 해커들은 여러 산업 기관들과 외국 정부, 반체제 인사, 언론인을 공격 대상으로 삼고 있다. 최소 2014년부터, 파이어아이의 전문가들은 APT32그룹이 베트남의 제조, 소비재, 서비스 분야에 관심을 가진 외국 기업들을 공격대상으로 삼은 것을 확인했다. APT32는 또한 외국 투자자들과 관계가 있는 네트워크 보안 및 기술 인프라 기업, 보안 기업들 역시 공격대상으로 삼고 있다.

Detailed News list

BlackTDS
- _[Threatpost]
  New Web-Based Malware Distribution Channel ‘BlackTDS’ Surfaces
- _{[DarkReading]}
  New Hosted Service Lowers Barriers to Malware Distribution
- _{[InformationSecurityMagazine]}
  BlackTDS Emerges as an As-a-Service Drive-By Kit for Malware Distribution
OceanLotus
- _{[SecurityAffairs]}
  OceanLotus APT is very active, it used new Backdoor in recent campaigns
- _{[ITSecurityGuru]}
  Chinese-speaking APT Actor Caught Spying on Pharmaceutical Organisations

Malwares

Summaries

PinkKite라 명명된 새로운 판매시점관리^{(PoS, Point-of-Sale)}시스템 악성코드가 탐지되었다. 처음 확인된 것은 2017년 Kroll Cyber Security의 연구원들에 의해서였다. 12월에 끝난 9달 간의 대규모 POS 악성코드 캠페인을 조사한 결과다. 지난 금요일에 열린 Kaspersky Lab의 Security Analyst Summit에서 발표한 Courtney Dayter와 Matt Bromiley에 따르면, 이 캠페인이 PinkKite가 처음 탐지된 캠페인인 것으로 추정된다. PinkKite는 6K가 안되는 크기로, TinyPOS나 AbaddonPOS와 같은 기타 다른 소형 POS 악성코드와 유사하다. PinkKite는 메모리 스크래핑 및 데이터 검증 도구를 내장하고 있다. Dayter에 따르면, PinkKite가 다른 악성코드와 차별점을 갖는 부분은 내장된 영속성 메커니즘, 하드코딩된 이중 XOR암호화, 데이터 유출을 위해 사용하는 백엔드 인프라다. 일반적으로 POS 악성코드는 데이터를 C2 서버로 직접보내는데 반해, PinkKite 배후의 범죄자들은 대한민국, 캐나다, 네덜란드에 위치한 세 곳의 정보센터^{(Clearinghouses)}로 데이터를 전송했다.
Palo Alto Networks의 Unit 42에서 HenBox라 명명된 안드로이드 악성코드를 탐지했다. 이 악성코드는 가상사설망^{(VPN, Virtual Private Network)} 앱이나 기타 안드로이드 시스템 관련 어플리케이션과 같은 정상적인 안드로이드 앱과 함께 유포된다. 13일 공개된 블로그 포스트에서, 팔로알토네트웍스는 HenBox의 주요 공격 대상이 중국의 소수민족인 위구르 사용자라고 밝혔다. 이 악성코드는 또한 중국에 위치한 모바일 제조사인 샤오미^(Xiaomi)에서 생산된 기기와 MIUI를 실행하는 기기를 노린다.

Detailed News List

PoS Malware
- _[Threatpost]
  New POS Malware PinkKite Takes Flight
Android Malware HenBox
- _[HackRead]
  Android malware HenBox hits Xiaomi devices & minority group in China

Exploits/Vulnerabilities

Summaries

지난주, 몇 시간 만에 40만대의 윈도우즈 PC를 감염시켰던 Dofoil 사태가 MediaGet이라는 BitTorrent 클라이언트의 업데이트 서버를 공격해 일어났음이 밝혀졌다. 마이크로소프트는 이를 “MediaGet update poisoning’이라 명명하고 MediaGet을 잠재적 불필요 응용프로그램^{(Potentially unwanted application)}으로 구분했다. 파일공유 프로그램이 악성코드 확산에 사용될 수 있으나, 마이크로소프트의 연구원들은 이 사태가 토런트 다운로드나 기타 파일공유 프로그램으로 발생한 것이 아니라 mediaget.exe프로세스로 부터 일어났음을 확인했다. 마이크로소프트에 따르면, 이 신중하게 계획된 공격은 2월 중순에 준비되었다. 이는 악성코드 배포 2주전이다.
Hotspot Shield, PureVPN, ZenMate와 같은 유명 VPN 서비스에서 사용자의 IP를 노출시키는 취약점이 발견되었다. VPN Mentor에 따르면, VPN Mentor는 해커 세 명과 테스트를 진행했고 세가지 VPN서비스 모두가 사용자의 IP주소를 유출한다는 결론을 내렸다. 이번에 발견된 취약점은 데스크탑이나 스마트폰 앱이 아닌 크롬 브라우저 플러그인에 존재하는 취약점이다. 발견된 취약점들은 CVE-2018-7878, CVE-2018-7879, CVE-2018-7880이다.
AMD 칩에서 새로운 취약점이 발견되었다. 이스라엘의 사이버보안기업 CTS Labs에서 웹사이트를 만들어 AMD의 EPYC, Ryzen, Ryzen Pro, Ryzen 프로세서들의 13개 보안 취약점 정보를 공개했다. 이 칩들은 노트북, 모바일 기기, 서버등에 사용된다. 취약점에는 공격자가 악성코드를 AMD의 칩에 주입할 수 있도록 하는 백도어들이 포함되어 있다. 이런 악성코드들은 공격자에게 AMD 프로세서를 장악하고, 네트워크 인증정보를 훔치거나, 악성코드를 설치하고 보호된 메모리 영역을 읽고 쓸 수 있게 한다. CTS Labs는 취약점 정보를 amdflaws.com이라는 웹사이트를 통해 공개했다. (14일에서 이어짐)

Detailed News List

Poisoned BitTorrent
- _[ZDNet]
  Windows attack: Poisoned BitTorrent client set off huge Dofoil outbreak, says Microsoft
- _{[TheHackerNews]}
  Trojanized BitTorrent Software Update Hijacked 400,000 PCs Last Week
VPN Service
- _[HackRead]
  HotSpot Shield, PureVPN & ZenMate found leaking users IP addresses
- _{[ITSecurityGuru]}
  Several privacy-busting bugs found in popular VPN services
- _[ZDNet]
  Several privacy-busting bugs found in popular VPN services
AMD CPU
- _[CSOOnline]
  Researchers find 13 critical flaws in AMD’s Ryzen and Epyc chips
- _[CSOOnline]
  Researchers claim there are 13 critical flaws in AMD’s Ryzen and EPYC chips
- _{[ITSecurityGuru]}
  13 Critical Flaws Discovered in AMD Ryzen and EPYC Processors
- _{[SecurityWeek]}
  Security Firm Under Fire Over Disclosure of AMD Chip Flaws
- _{[BankInfoSecurity]}
  AMD Chipset Flaws Are Real, But Experts Question Disclosure
- _{[SecurityAffairs]}
  13 Critical flaws and exploitable backdoors found in various AMD chips

Vulnerability Patches/Software Updates

Summaries

SAP에서 2018년 3월 SAP 보안 패치를 통해 자사 제품이 존재하던 10년 이상된 취약점 세개를 포함한 High 및 Medium 등급의 취약점들을 수정했다. March 2018 SAP Security Patch Day에는 10개의 Security Notes가 포함되었다. 각각 3개의 High, 7개의 Medium 등급이다. 또한 17개의 Support Package Notes도 릴리즈했다.
마이크로소프트^(Microsoft)에서 3월 정기 보안업데이트를 릴리즈했다. 마이크로소프트가 Patch Tuesday에서 15개의 Critical 취약점을 수정했다. 전체적으로는 75개의 취약점이 수정되었다. 패치가 적용된 제품에는 Microsoft 브라우저 및 마이크로소프트의 자바스크립트 엔진인 Chakra와 같이 브라우저에 관련된 기술들이 포함되었다. (14일에서 이어짐)
어도비^(Adobe)에서 보안 패치를 릴리즈했다. 윈도우, 맥, 리눅스, 크롬OS 용 플래시 플레이어 29.0.0.113에서 28.0.0.161 및 이전 버젼에 영향을 미치는 두가지 critical 취약점을 수정했다. 취약점은 use-after-free 버그 CVE-2018-4919와 type confusion issue CVE-2018-4920이다. 둘다 모두 원격 코드 실행^{(remote code execution)} 공격이 가능한 취약점이다. 그외 Dreamweaver CC 및 Adobe Connect도 패치되었다. (14일에서 이어짐)
삼바^(Samba) 프로젝트에서 두가지 취약점에 대한 패치를 릴리즈했다. 권한이 없는 원격의 공격자가 삼바서버에 대한 DoS 공격을 할 수 있는 취약점과 임의의 사용자의 비밀번호를 변경할 수 있는 취약점을 수정했다. 이 취약점들은 삼바 버젼 4.7.6, 4.6.114, 4.5.16 릴리즈와 함께 수정되었다. DoS 취약점은 CVE-2018-1050으로 RPC spoolss 서비스가 external daemon으로 실행되도록 설정되었을 때 공격당할 수 있다. 두번째 취약점인 CVE-2018-1057은 권한이 없는 사용자가 LDAP을 통해 관리자를 포함한 아무 사용자나 비밀번호를 변경할 수 있다. LDAP을 통한 비밀번호 변경 요청에서 Samba가 사용자의 권한을 적절하게 검증하지 않아 발생한다. (14일에서 이어짐)

Detailed News List

SAP
- _{[SecurityAffairs]}
  March 2018 SAP Security Patch Day addresses decade-old vulnerabilities
- _{[SecurityWeek]}
  SAP Patches Decade-Old Flaws With March 2018 Patches
Microsoft
- _{[SecurityAffairs]}
  What’s new in Microsoft Patch Tuesday updates for March 2018?
- _{[SecurityWeek]}
  Microsoft Patches Remote Code Execution Flaw in CredSSP
- _{[SecurityWeek]}
  Microsoft Releases More Patches for Meltdown, Spectre
- _[ZDNet]
  Windows RDP flaw: ‘Install Microsoft’s patch, turn on your firewall’
- _{[InfoSecurityMagazine]}
  Microsoft Releases More Spectre/Meltdown Patches
- _[TrendMicro]
  March Patch Tuesday Fixes 75 Security Issues, Drops Registry Key Requirement in Windows 10
Adobe
- _{[NakedSecurity]}
  Critical Flash update. Patch now!
- _[ZDNet]
  Adobe patches critical vulnerabilities in Flash, Dreamweaver
Samba
- _[ZDNet]
  Samba critical flaws: Patch now but older open instances have ‘far worse issues’
- _{[TheRegister]}
  Samba settings SNAFU lets any user change admin passwords

Security Newsletters, 2017 Dec 13th, RSA 로봇 ROBOT 공격 外

Posted on 2017-12-13 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

패치워크^(Patchwork) 사이버 스파이 그룹이 새로운 배포방식과 최근 패치된 취약점들의 익스플로잇 방법을 사용하고 있는 것이 확인되었다. ^{Dropping Elephant} 또는 ^Chinastrats라고도 알려진 이 그룹은 2014년부터 활동해왔다. 초기에는 동남 아시아 및 남 중국해와 연관되어 있는 정부와 관련된 기관들을 목표로 했다. 트렌드 마이크로에서 공개한 패치워크의 최근 작전들에 대한 리포트에서, 이 그룹이 공격대상 목록에 기업들을 추가하고 다양한 감염 벡터^{(infection vectors)}와 페이로드^(payloads)를 추가 한 것으로 나타났다.
머니테이커^(MoneyTaker) 해킹그룹이 미 은행들로부터 수백만 달러를 훔친 것으로 드러났다. Group-IB에 따르면, 이 해킹그룹이 라틴 아메리카의 은행들을 다음 공격 대상으로 노리고 있다. 러시아어를 사용하는 해킹그룹인 MoneyTaker가 미국내 20개 이상의 은행들에서 2016년 5월 부터 수백만 달러를 훔쳤으며, 라틴 아메키라의 금융 기관들에 대한 공격태세를 취하고 있다고 모스크바 기반의 Group-IB가 경고했다. 이들에 따르면, MoneyTaker라 불리는 이 해킹그룹의 작업방식^{(modus operandi)}은 공격대상 은행의 네트워크로 침입해 들어가 ATM 인출 사기^{(fraudulent ATM withdrawals)}를 위해 카드 처리 시스템^{(card processing systems)}을 조작한다. 이 해킹그룹의 피해기관에는 캘리포니아, 일리노이, 플로리다를 포함한 10개 주의 은행들이다. 이 은행들은 이 공격들로 평균 50만 달러의 피해를 입었다. (12일에서 이어짐)
Necurs 봇넷_(botnet)이 다시 상위 10위 목록안에 들었다. 체크포인트_{(Check Point)}의 최근 리포트에 따르면, Necurs 봇넷이 미국의 추수감사절^{(Thanksgiving holiday)} 이후로 사이버범죄자들이 새로운 랜섬웨어를 배포하는데 사용하면서 그 세력이 증가했다. 추수감사절을 지나면서, 해커들이 세계에서 가장 큰 스팸 봇넷으로 추정되는 Necurs를 새로운 Scarab 랜섬웨어를 배포하는데 사용하는 것이 확인되었다. Necurs 봇넷은 이 휴일 아침에만 1,200만 건의 이메일을 보내면서 Scarab 랜섬웨어의 대량 살포를 시작했다. (12일에서 이어짐)

Detailed News list

Patchwork Cyberspies
- _{[SecurityWeek]}
  Patchwork Cyberspies Adopt New Exploit Techniques
- _[TrendMicro]
  Untangling the Patchwork Cyber Espionage Group (PDF)
MoneyTaker Group
- _[CyberScoop]
  Meet Money Taker, the latest hacking group tied to Russian cybercrime
- _{[EHackingNews]}
  Hacking group steals £7.5m from US, UK, Russian banks
- _{[InsuranceJournal]}
  Russian-Speaking Hackers Steal $10M from US, Russia Banks: Cyber Security Firm
- _[HackRead]
  Sophisticated ‘MoneyTaker’ group stole millions from Russian & US banks
- _[ZDNet]
  MoneyTaker hacking group steals millions from US, UK, Russian banks
- _{[InfoSecurityMagazine]}
  MoneyTaker Group Stole $10m from US and Russian Banks
Necurs botnet
- _{[HelpNetSecurity]}
  Return of Necurs botnet brings new ransomware threat

Malwares

Summaries

Golduck 악성코드가 고전 안드로이드 게임들을 감염시키고 있다. 구글 플레이에 등록된 여러 고전게임들이 몰래 악성 APK 파일을 다운로드 받아 안드로이드 장치에 설치하고 있다. 이 악성코드는 Java reflection이라는 기법을 사용해 Golduck 서버로부터 다운로드되에 장치에 설치된다. 이 악성코드는 쉘 명령어를 실행하거나 SMS 메시지를 발송하기도 한다. 보안연구가들에 따르면, Golduck 악성코드는 root를 사용가능 할 경우, 공격자가 감염된 장치를 완전히 장악하도록 만든다.
96시간의 데드라인을 지정해농은 새로운 스파이더^(Spider) 랜섬웨어가 발견되었다. 스파이더라 이름붇은 이 랜섬웨어는 발칸(Balkans)에 위치한 피해자들을 공격 대상으로 삼는다. 스파이더 랜섬웨어는 96시간의 지불 기한을 준다. 그리고 공격자들은 피해자들에게 몸값 지불과 파일 복구과정이 매우 쉽다고 안심시키는 모습을 보인다. 한발 더 나아가, 그 과정이 어떻게 진행되는지에 대한 동영상까지 제공한다.
MacOS 백도어인 OceanLotus가 유니코드 트릭을 사용하는 것이 발견되었다. Malwarebytes의 연구자들이 OceanLotus 백도어가 탐지회피에 기발한 기법들을 사용하고 있다고 경고했다. 영어 알파벳처럼 보이는 유니코드를 사용해 사용자들이 악성 웹사이트에 접근하도록 하는 것은 몇년전 등장한 방법이다. 이번에는 사이버 범죄자들이 비슷한 방식으로 애플 컴퓨터를 속이는 방법을 발견해냈다.
- (9일자 기사 모음 중) 11월 30일에 애플이 조용히 macOS XProtect 악성코드 방지 시스템에 OSX.HiddenLotus.A.라 불리는 것에 대한 시그니처를 추가한 일이 있었다. 히든로터스^{(HiddenLotus)}가 무엇인가에 대해서는 의문으로 남았으나, 같은날 Arnaud Abbati가 샘플을 찾아서 트위터에서 공유하며 정체가 밝혀졌다. 히든로터스는 드로퍼^(dropper)로 Lê Thu Hà (HAEDC).pdf라는 파일이름을 사용했다. 이 파일은 이전에 문서파일 형태로 위장한 악성코드들 처럼 특별할 것 없어 보이지만, 실제로는 pdf 확장자를 사용한다. 하지만 인식되기로는 응용프로그램으로 인식되는데, 여기에는 pdf의 d 문자가 영어 알파벳 d가 아닌 로마 숫자 500을 의미하는 D의 소문자를 사용했다.
폴란드의 은행을 노리는 안드로이드 악성코드가 또 구글 플레이^{(Google Play)}에서 발견되었다. 이 악성코드들은 구글 플레이에 “Crypto Monitor”와 같은 암호화폐 가격을 추척해주는 앱이나, “StorySaver”라는 인스타그램 내용을 다운로드 해주는 정상적인 앱으로 위장하여 등록되었다. 이 악성 앱들은 가짜 알림^{(fake notifications)}을 화면에 표시할 수 있고, 정상 은행 어플리케이션에로 온 것으로 보이는 로그인 폼을 보여줄 수 있다. 악성 앱들은 이 폼에 입력된 인증정보를 수집하고, SMS기반의 2팩터 인증^{(2-factor authentication)}을 우회하기 위해 문자메시지도 가로챈다. (12일에서 이어짐)

Detailed News List

Golduck Malware
- _{[SecurityWeek]}
  Golduck Malware Infects Classic Android Games
Spider Ransomware
- _[ThreatPost]
  New Spider Ransomware Comes With 96-Hour Deadline
- _[ZDNet]
  New Spider ransomware threatens to delete your files if you don’t pay within 96 hours
OceanLotus & HiddenLotus
- _{[SecurityAffairs]}
  The OceanLotus MacOS Backdoor Transforms into HiddenLotus with a Slick UNICODE Trick
BankBot targets Polish Banks
- _{[InfoSecIsland]}
  BankBot Targets Polish Banks via Google Play

Exploits/Vulnerabilities

Summaries

하이브리드 오피스 365^{(Hybrid Office 365 Deployments)}에서 숨겨진 관리자 계정이 발견되었다. Preempt Security에서 자동으로 생성되는 숨겨진 관리자 계정을 hybrid on-premise Azure Microsoft Office 365^(O365)에서 찾아냈다.
보안연구가 Ian Carroll이 EV인증서^{(Extended Validation certificates)}가 얼마나 속이기 쉬운지를 공개했다. 이 인증서는 사용자가 정상 사이트에 방문중이라는 것을 확인하기 위해, HTTPS 웹사이트의 소유권을 확인해주기 위한 용도다. 크롬이나 파이어폭스 등의 브라우저는 회사명과 함께 초록색 주소창을 보여준다. 문제는, 다른 회사와 동일한 이름으로 인증서를 발급받을 수 있다는 것이다. 보안연구가 Carroll은 켄터키에 Stripe, Inc라는 회사를 설립하고, 델라웨어에 위치한 수백만 달러짜리 결제 서비스 회사인 Stripe, Inc와 동일한 이름으로 인증서를 발급받았다.
19년 된 RSA의 TLS 암호 공격이 Facebook, PayPal과 같은 100개 상위 도메인 중 27개에 영향을 미쳤다. TLS 네트워크 보안 프로토콜에 존재하는 19년된 취약점이 최소 8개의 IT 제조사들의 소프트웨어 및 오픈소스 프로젝트에서 발견되었다. 이 취약점은 공격자가 암호화된 통신을 복호화 할 수 있게 해준다. Hanno Böck, Juraj Somorovsky of Ruhr-Universität Bochum/Hackmanit, and Craig Young of Tripwire VERT에 의해 RSA PKCS #1 v1.5 암호화에서 발견된 이 취약점은, 상위 100개 웹 도메인 중 27개에 영향을 미치며 여기에는 페이스북, 페이팔 등도 포함된다. 이 취약점은 TLS에만 국한되는 것이 아니라고 연구가들은 이야기했다. 동일한 문제가 XML 암호화, PKCS#11 인터페이스, 자바스크립트 오브젝트 사인 및 암호화^{(Javascript Object Signing and Encryption, JOSE)}, Cryptographic Message Syntax/ S/MIME에도 존재한다고 말했다. 이 취약점은 연구가들에 의해 ROBOT이라 명명되었다. Return Of Bleichenbacher’s Oracle Threat을 의미한다.
구글의 연구자가 iOS 11 탈옥^(Jailbreak) 익스플로잇을 공개했다. 구글의 프로젝트 제로^{(Project Zero)} 연구자 Ian Beer가 첫번째 iOS 11 탈옥으로 이어질 수 있는 개념증명^{(Proof-of-Concept)} 익스플로잇을 공개했다. Ian Beer가 사용한 iOS 취약점은 ^{CVE-2017-13865와 CVE-2017-13861}이다. CVE-2017-13865는 커널 취약점으로 응용프로그램이 제한된 메모리를 읽을 수 있게 만든다. CVE-2017-13861은 IOSurface의 취약점으로, 커널 권한으로 임의의 코드를 실행할 수 있게 해준다. 이 두가지 보안 취약점은 애플에 의해 iOS 11.2 버젼이 릴리즈되면서 12월 초에 패치되었다.

Detailed News List

Stealthy Admin Accounts in Hybrid Office 365
- _{[SecurityWeek]}
  Stealthy Admin Accounts Found in Hybrid Office 365 Deployments
- _{[DarkReading]}
  Microsoft Azure AD Connect Flaw Elevates Employee Privilege
fake Extended Validation certificates
- _[CyberScoop]
  It’s easy to fake Extended Validation certificates, research shows
19-year-old ROBOT vulnerability (Return Of Bleichenbacher’s Oracle Threat)
- _{[TheRegister]}
  I, Robot? Aiiiee, ROBOT! RSA TLS crypto attack pwns Facebook, PayPal, 27 of 100 top domains
- _[CyberScoop]
  Facebook patches security flaw based on 19-year-old bug; other sites may still be vulnerable
- _[Forbes]
  ‘ROBOT Attack’ Hacked Facebook With 19-Year-Old Bug — Massive Websites Still Vulnerable
- _{[TheHackerNews]}
  ROBOT Attack: 19-Year-Old Bleichenbacher Attack On Encrypted Web Reintroduced
Google Researcher Releases iOS 11 Jailbreak Exploit
- _{[HackersOnlineClub]}
  Google Releases Apple iOS Jailbreak Exploit
- _{[NakedSecurity]}
  iOS jailbreak exploit published by Google
- _{[MotherBoard]}
  Google Releases Tool To Help iPhone Hackers
- _[ZDNet]
  Google Project Zero ‘tpf0’ exploit whets appetite for iOS 11 jailbreak
- _{[SecurityAffairs]}
  Google Project Zero white hacker reveals Apple jailbreak exploit
- _{[SecurityWeek]}
  Google Researcher Releases iOS 11 Jailbreak Exploit
- _{[TheHackerNews]}
  Google Researcher Releases iOS Exploit—Could Enable iOS 11 Jailbreak
- _{[TheRegister]}
  Google’s Project Zero reveals Apple jailbreak exploit

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

독일 첩보기관 BfV가 중국의 LinkedIn 스파이 행위^(espionage)에 대해 경고했다. 독일의 첩보기관에 따르면, 중국이 링크드인^(LinkedIn)에서 최소 만명의 사람들을 대상으로 스파이 행위를 벌이고 있다. 중국은 가짜 LinkedIn 계정을 만들어 독일 공무원 및 정치인들의 정보를 모으고 있다고 독일 첩보기관인 BfV가 말했다. 중국 첩보기관이 링크드인을 사용해 최소 만명의 독일인들을 노리고 있으며, 이들을 정보원^(informants)으로 사용하려 할 수 있다고 주장했다. 그리고 이들은 이러한 목적으로 사용된 일부 가짜 프로필들을 공개했다. (12일에서 이어짐)
구글이 지난 9월 기사에서 공개했던 NSL에 이어, 자사의 투명성 리포트^{(Transparency Report)}에서 또다른 NSL^{(National Security Letters)}들을 대량 공개했다.
- (9일 기사 정리 내용 중) 구글이 자사의 투명성 리포트^{(Transparency Report)} 중 National Security Letter 섹션을 확대하여, National Security Letters^(NSLs)의 새로운 사례로 FBI로 부터 받은 것들을 공개하겠다고 밝혔다. 새로운 NSLs의 서브섹션은 세 컬럼으로 이루어져 있다. NSL 그 자체에 대한 링크와, NSL이 발행된 날짜, FBI가 발행한 문서에 대한 링크다. 가장 최근의 공개된 문서의 날짜는 2017년 9월 25일로 되어있다. 공개된 내용에 따르면, FBI는 NSL을 전자 통신 개인정보 보호법^{(Electronic Communications Privacy Act, ECPA})에 따라 비공개 요구^{(non-disclosure requirement)}와 함께 발행했다. 이 문서는 구글이 FBI로 부터 특정 날짜에 수신한, 구글의 고객 계정에 대한 정보 요청 NSL을 공개할 수 있도록 허락했으며, 요청한 FBI 요원의 이름 및 전화번호는 삭제되었다. 구글은 또한 대상 사용자 계정도 삭제했다. 가장 오래된 NSL은 2009년의 여러 Gmail 계정에 대한 것이다. 이 문서에서는 구글에게 이름, 주소, 서비스 기간 정보를 요구하고 있다.

Detailed News List

fake Chinese LinkedIn profiles
- _[Anomali]
  WTB: German Spy Agency Warns of Chinese LinkedIn Espionage
- _{[NakedSecurity]}
  Spies are watching… on LinkedIn
Google’s Transparency Report
- _[TechDirt]
  Google Publishes Another Batch Of National Security Letters, Updates Its Transparency Report

Vulnerability Patches/Software Updates

Summaries

애플^(Apple)이 AirPort Base Station의 취약점들을 수정하는 보안 업데이트를 릴리즈했다.
마이크로소프트^(Microsoft)가 Patch Tuesday에 공개한 패치에서 30개 이상의 취약점을 수정했다. 여기에는 인터넷 익스플로러^{(Internet Explorer)}와 엣지^(Edge) 브라우저에 영향을 미치는 19개의 취약점 패치가 포함되었다.
어도비가 플래시 플레이어에 영향을 미치는 취약점 하나^{(CVE-2017-11305)}를 수정하는 패치를 릴리즈했다.

Detailed News List

Apple
- _[US-CERT]
  Apple Releases Security Updates
Microsoft
- _[SpiderLab]
  Microsoft Patch Tuesday, December 2017
- _{[TalosIntelligence]}
  Microsoft Patch Tuesday – December 2017
- _[SANS]
  December Microsoft Patch Tuesday Summary, (Tue, Dec 12th)
- _[Cisco]
  Microsoft Patch Tuesday – December 2017
- _{[GrahamCluley]}
  It’s time to patch your Microsoft and Adobe software again against vulnerabilities
- _{[WeLiveSecurity]}
  It’s time to patch your Microsoft and Adobe software again against vulnerabilities
- _[ThreatPost]
  Microsoft December Patch Tuesday Update Fixes 34 Bugs
- _[VERT]
  VERT Threat Alert: December 2017 Patch Tuesday Analysis
- _{[KrebsOnSecurity]}
  Patch Tuesday, December 2017 Edition
- _[US-CERT]
  Microsoft Releases December 2017 Security Updates
- _{[SecurityWeek]}
  Microsoft Patches 19 Critical Browser Vulnerabilities
Adobe Flash Player
- _{[GrahamCluley]}
  It’s time to patch your Microsoft and Adobe software again against vulnerabilities
- _{[WeLiveSecurity]}
  It’s time to patch your Microsoft and Adobe software again against vulnerabilities
- _{[SecurityWeek]}
  Adobe Patches ‘Business Logic Error’ in Flash Player

Privacy

Summaries

넷플릭스^(Netflix)가 자사의 사용자들을 추적하고 있었다는 사실이 트위터를 통해 드러났다. 넷플릭스는 트위터 메시지를 통해 “A Christmas Prince를 지난 18일동안 지속적으로 시청한 53명에게^{(To the 53 people who’ve watched A Christmas Prince every day for the past 18 days: Who hurt you?)}” 라는 메시지를 등록한 바 있다. 넷플릭스는 시청자들의 페이지뷰와 같은 메타데이터(metadata)를 유명 뉴스 웹사이드틀 처럼 분석하고 있는것이 맞다고 그 사실을 인정했다.
피젯 스피너^{(Fidget Spinner)} 앱이 다른 앱의 데이터를 중국 서버로 보내는 것이 확인되었다. 블루투스 기능이 있는 피젯 스피너가 얼마전 등장한 바 있었다. 이번에는 이 스피너 앱이 사용자들의 프라이버시를 위협하고 데이터를 훔친다는 사실이 밝혀졌다. 인도의 Payatu Technologies의 IT보안 연구가에 따르면, 플레이스토어의 AiTURE 피젯 스피너 앱이 설치된 다른 앱들의 데이터를 수집해 사용자 동의없이 몰래 중국에 위치한 서버로 전송한다.

Detailed News List

Netflix
- _[ZDNet]
  Netflix is watching you. We’re all watching you
- _[ZDnet]
  Yes, that Netflix tweet is creepy — and raises serious privacy questions
Fidget Spinner App
- _[HackRead]
  This Fidget spinner app is sending other apps data to Chinese server

Deep Web/DarkNet/Onion/Underground Market

Summaries

다크웹에서 14억개의 평문 인증정보^{(credentials)}를 담고있는 파일이 발견되었다. 최근 다크웹을 모니터링하는 4iQ에서 41기가바이트의 거대한 파일을 발견했다. 이 파일은 14억개의 로그인 인증정보를 담고 있는데, 그 내용은 이메일과 비밀번호가 평문^(cleartext)으로 기록되어있다. 연구자들은 이 파일이 지금까지 다크 웹에서 발견된 것들 중 가장 큰 종합 데이터베이스라 보고있다. 4iQ의 블로그 포스트에서 밝힌 바에 따르면, 이 덤프는 이전의 252개의 침해사고를 하나로 모은 것으로 보인다. 이 파일은 다크웹에서 2017년 12월 5일에 발견되었고, 총 데이터 량은 1,400,553,869개의 사용자이름, 이메일, 평문 비밀번호다. (11일에서 이어짐)

Detailed News List

1,400,000,000 Clear Text Credentials File
- _{[InformationSecurityBuzz]}
  Largest-Ever Database Of 1.4 Billion Credentials Found On Dark Web
- _{[TheRegister]}
  Archive Of 1.4 Billion Creds Found On Dark Web
- _{[HelpNetSecurity]}
  1.4 billion unencrypted credentials found in interactive database on the dark web
- _{[SecurityAffairs]}
  A collection of 1.4 Billion Plain-Text leaked credentials is available online
- _{[InfoSecurityMagazine]}
  Researchers Find Trove of 1.4 Billion Breached Credentials
- _{[TheHackerNews]}
  Collection of 1.4 Billion Plain-Text Leaked Passwords Found Circulating Online

Service Outage

Summaries

비트피넥스^(Bitfinex) 암호화폐 거래소^{(Cryptocurrency exchange)}가 분산서비스거부^{(DDoS, Distributed Denial of Service)}공격을 받았다. 비트피넥스^(Bitfinex)는 세계 최대의 암호화폐 거래소 중 하나다. 비트피넥스는 지난 화요일인 12월 12일에 끊임없는 DDoS 공격을 받은 끝에 운영을 중단해야 했다. 홍콩에 위치한 비트피넥스는 트워터를 통해 고객들에게 상황을 공지했다. 다행이 DDoS 공격이 사용자들의 자금에는 영향을 미치지 못했다.

Detailed News List

Bitfinex DDoS
- _[HackRead]
  Bitfinex cryptocurrency exchange hit by massive DDoS attacks

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

Pen Test Partners의 보안연구가들이 많은 학교들의 난방 제어기의 웹 인터페이스가 공공 인터넷에서 접근가능하며, 안전하지 않다는 사실을 발견했다. 이러한 취약한 시스템과 설정들이 비단 학교뿐만 아니라, 정부 사무실, 대학교, 소방서, 레스토랑에도 존재한다. 조사를 진행했던 Pen Test Partners에서는 이미 몇몇시스템들이 해킹당했다는 사실을 발견했다. 이러한 문제의 대부분은 HVAC^{(Heating, Ventilation and Air Conditioning)}과 빌딩 관리 시스템^{(Building management system)} 설치업자들에 의해 일어난다. 장치들이 고립 네트워크에 존재하며 외부로 노출되지 않아야 하는데 지켜지지 않는것이다.

Detailed News List

Building Control Systems of Schools, Offices, …
- _{[TheRegister]}
  Brrr! It’s a snow day and someone has pwned the chuffin’ school heating

Social Engineering/Phishing/Con/Scam

Summaries

돈을 내놓지 않으면 살해하겠다는 일명 살인청부^(hitmen) 이메일 사기가 벌어지고 있다. Spiceworks의 Dave Lass가 NakedSecurity에 제보한 내용에 따르면, 이 이메일에는 자신이 메일 수신자에 대한 살해 명령을 받았으며 수신자를 관찰해 왔다고 적혀있다. 그러나 0.5 비트코인을 지불하면 살해하지 않겠다는 메시지와 함께 비트코인 지갑 주소가 적혀있고 몸값을 지불하면 살해를 의뢰한 의뢰인 정보와 증거들을 넘기겠다고 말하고 있다.

Detailed News List

Ransom email scam
- _{[NakedSecurity]}
  Ransom email scam from ‘hitman’ demands: pay up or die

Crypto Currencies/Crypto Mining

Summaries

GitHub 저장소에 등록되어 있는 암호화폐 채굴 스크립트가 발견되었다. 이 암호화폐 채굴 스크립트는 만들어진지 세 달 된 GitHub 저장소에 등록되어 있었고 wpupdates라는 이름으로 등록되어 있었다.
매장내^(In-store) 와이파이인터넷 업체^(Provider)가 스타벅스 웹사이트를 이용해 모네로^(Monero) 암호화폐 코인을 채굴하려 했다는 주장이 나왔다. 12월 2일에 트위터 사용자 Noah Dinkin은 거대 커피체인인 스타벅스의 아르헨티나 리워드 사이트가 모네로^(Monero) 암호화폐를 채굴하기 위한 코인하이브^(CoinHive) 스크립트를 사용하는 것을 공개했다. Dinkin은 이 사건의 배후에 있는 범인이 스타벅스의 매장내 WiFi 제공업체일 수 있다고 말했다. 그러나, 지난 몇 달 동안 사이버 범죄자들은 웹사이트들을 해킹해 몰래 코인하이브의 스크립트들을 삽입해왔다. 며칠 전에는 보안연구가들이 5,000개 이상의 사이트들이 코인하이브 코드를 삽입하는 해킹을 당했다는 사실을 밝혀내기도 했다. (11일에서 이어짐)
가장 큰 암호화폐 채굴 시장인 나이스해시^(NiceHash)가 해킹사실을 인정했다. 나이스캐시는 다른사람의 컴퓨팅 파워를 구매하거나, 유사 비트코인들^(altcoins)을 채굴하고 비트코인으로 지불받을 수 있는 암호화폐 채굴 시장이다. 나이스해시^(NiceHash)는 해킹으로 전체 비트코인 지갑을 잃게 되었다고 발표했다. 나이스해시는 수요일 정오에 성명을 발표했는데 NiceHash 웹 사이트에 보안 침해가 있었으며, 지불 시스템이 완전히 침해당해 나이스해시의 비트코인 지갑을 도둑맞았다고 발표했다. 나이스해시가 정확한 금액을 밝히지는 않았지만, 추정되는 금액은 약 6천만 달러에 달할 것으로 보인다. (8일에서 이어짐)

Detailed News List

Cryptominers on GitHub
- _[Sucuri]
  Malicious Cryptominers from GitHub
Starbucks
- _{[TheRegister]}
  Argy-bargy Argies barge into Starbucks Wi-Fi with alt-coin discharges
NiceHash
- _{[InformationSecurityBuzz]}
  Hackers Steal $60m Bitcoin From NiceHash

Technologies/Technical Documents/Statistics/Reports

Summaries

SAP가 CVE^{(Common Vulnerabilities and Exposures)}넘버링 기관^{(CNA, CVE Numbering Authority)}이 되었다. 2017년 11월 9일자로, 전세계에 CNAs는 81개 기관이 있다.

Detailed News List

SAP
- _{[SecurityWeek]}
  SAP Becomes CVE Numbering Authority
- _[CVE]
  CNA list

Security Newsletters, Nov 10th, 2017

Posted on 2017-11-10 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Intelligence

Summaries

러시아와 관련된 사이버스파이그룹 APT28^(FancyBear)이 마이크로소프트의 DDE^{(Dynamic Data Exchange)}기능을 악성코드를 유포하는데 사용하고 있다. 이 사이버 스파이 그룹은 최근 뉴욕에서의 테러공격과 관련된 문서를 배포하는 작전을 펼치고 있어 주의가 요구된다. DDE 기능을 사용해 악성코드를 배포하기 위해 만든 문서는 열어보기만 하면 사용자의 특별한 상호작용 없이도 악성코드가 실행되도록 만들어져 있기 때문에 더욱 위험하다.
넷플릭스^(Netflix)로 위장한 피싱공격에 대한 주의 기사가 이어지고 있다. 넷플릭스는 1억명 이상의 사용자를 보유하고 있는, 사이버 범죄자들에게는 상당히 매력있는 공격대상이다. 최근 새로 탐지된 피싱 사기에서는 넷플릭스의 사용자들의 계정정보와 신용카드 정보를 훔치려는 시도를 확인할 수 있다. 이 피싱사기에서 사용되는 이메일은 상당히 잘 꾸며져 있으며, 피싱 이메일에서 연결되는 로그인 페이지 또한 그럴듯 하게 꾸며져 있어 주의가 요구된다.
오션로터스^(OceanLotus)APT 그룹이 사이버 스파이 작전에서 새로운 전술을 펼치고 있다. 장악한 웹사이트를 베트남 정부가 관심이 있는 대상을 추적하거나 공격하기 위해 사용하고 있다고 Volexity가 발표했다. OceanLotus APT 그룹은 지난 몇년간 베트남 정부의 입맛에 맞는 정교한 디지털 감시 작전을 펼쳐왔으며, 장악한 웹사이트를 기반으로 거대한 공격 인프라를 구축해왔다. OceanLotus를 추적해온 보안기업 Volexity는 최근 관찰된바에 따르면, 이 그룹은 장악한 웹사이트 네트워크를 사용해 피해대상을 관찰하고 정보를 수집하고 있다고 밝혔다. 이 장악된 웹사이트들은 특별하게 선정된 것으로 보이는데, 이유는 그 사이트들을 방문하는 사람들이 베트남 정부에 대해 관심이 있는 사람들이 될 확률이 특히 높아 보이기 때문이다.

Detailed News list

APT28, FancyBear, DDE
- ^{[SecurityAffairs]} Russia-Linked APT28 group observed using DDE attack to deliver malware
- ^{[TheHackerNews]} Russian ‘Fancy Bear’ Hackers Using (Unpatched) Microsoft Office DDE Exploit
- ^[TripWire] Microsoft issues advisory to users after macro-less malware attacks
Netflix phishing
- ^[HackRead] A tricky Netflix phishing scam users should be aware of
APT32, OceanLotus
- ^{[DarkReading]} OceanLotus APT Group Unfolds New Tactic in Cyber Espionage Campaign

Malwares/Exploits/Vulnerabilities

Summaries

중국 MatisTek 의 GK2 키보드에서 발견된 키로거에 대한 기사도 이어지고 있다. 해당 GK2 키보드에서는 사용자의 동의 없이 키의 눌린 횟수와 같은 통계 데이터를 중국의 알리바바 클라우드 서버로 전송한다. 최초 해당내용을 알린 사용자는 키 입력을 가로채는 것 같다고 밝혔으나, 실제로 보내는 데이터는 어떤키가 얼마나 눌렸는가 하는 통계 정보를 보낸다. 그러나 사용자 동의 없이 해당 정보를 수집하고 인터넷의 서버로 몰래 보낸다는 것에는 문제가 있어 보이는 것이 사실이다. 이 문제제기에 대해서 아직 제조사의 공식적인 답변이나 대응은 없는 상태다.
인텔의 매니지먼트 엔진^{(Management Engine)} 취약점에 의해 2008년 이후 대부분의 CPU를 USB를 통해 해킹할 수 있는 취약점이 밝혀졌다. 다가오는 블랙햇^(BlackHat) 컨퍼런스에서 발표될 이 기술은 포지티브 테크놀러지스^{(Positive Technologies)}의 보안전문가가 9월에 발표했고, 12월에 더 자세한 내용과 함께 시연을 선보일 예정이다. God-mode hack 이라 명명된 이 기술은 공격자가 어떠한 마더보드이든 Platform Controller Hub 내에서 서명되지 않은^(unsigned) 코드를 실행할 수 있다. IME^{(Intel Management Engine)}에 영향을 미치는 보안 이슈는 Embedi의 Maksim Malyutin에 의해 3월에 처음 발견되었다. 치명적인 원격 코드 실행 취약점은 CVE-2017-5689로 지난 9년간의 인텔 칩셋이 포함되어 원격 관리 기능이 구현된 컴퓨터에서 발견되었다. 이 취약점은 AMT^{(Active Management Technology)}, SBT^{(Small Business Technology)}, ISM^{(Intel Standard Manageability)}와 같은 IME^{(Intel Management Engine)} 기술에 영향을 미쳐, 공격자가 원격으로 취약한 시스템을 장악할 수 있다.
구글의 연구가 Andrey Konovalov가 찾아낸 리눅스 커널 내 USB 하부시스템의 취약점에 대한 기사도 이어지는 중이다. Andrey는 구글이 개발한 Syzkaller라는 이름의 퍼징 툴을 사용해 취약점을 찾아냈다. Andrey는 찾아낸 취약점을 공개했는데, DoS를 일으킬 수 있는 Use-after-free나 out-of-bounds, null pointer dereference 등이 있었고, 임의 코드를 실행할 수 있는 버그도 있었다.
백도어^(Backdoor)가 포함되어있는 사물인터넷^{(IoT, Internet of Things)} 취약점 스캔 스크립트가 배포되고 있다. 무료라는 수식어를 달고 배포되는 이러한 스크립트나 툴 들은 백도어가 내장되어 있어, 그것을 다운로드해 사용하려는 스크립트 키디^{(Script kiddies)}들을 역으로 해킹하려는 것으로 보인다. 이번에 탐지된 새로운 해킹툴은 PHP 스크립트로, 여러 언더그라운드 해킹 포럼에서 다운로드 받을 수 있게 배포되고 있으며, 인터넷상에서 취약한 버젼의 GoAhead 웹서버를 내장해 운영하는 IP 카메라를 찾게 해준다. 그러나 Newsky Security의 보안연구가 Ankit Anubhav의 분석 결과에 따르면, 이 툴은 숨겨진 백도어를 가지고 있어 제작자가 이것을 사용하는 해커를 해킹할 수 있게 해준다.

Detailed News List

Keylogger built-in Mantistek GK2 Keyboard
- ^[ThreatPost] PRIVACY CLOUDS FORM OVER MANTISTEK GAMING KEYBOARD
- ^{[Tom’s Hardware]} MantisTek GK2’s Keylogger Is A Warning Against Cheap Gadgets (Updated)
Intel Management Engine flaw
- ^{[SecurityAffairs]} Experts can hack most CPUs since 2008 over USB by triggering Intel Management Engine flaw
Vulnerabilities in Linux Kernel USB subsystem
- ^{[SecurityAffairs]} Google Syzkaller fuzzer allowed to discover several flaws in Linux USB Subsystem
Backdoored IoT Vunerability Scanning Script
- ^{[TheHackerNews]} Hacker Distributes Backdoored IoT Vulnerability Scanning Script to Hack Script Kiddies
- ^{[BleepingComputer]} Hacker Wannabes Fooled by Backdoored IP Scanner

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

유럽의 개인정보보호법인 GDRP^{(General Data Protection Regulation)}을 기한 내 적용하는 것의 어려움에 대한 기사들이 장기간 이어지고 있다. 미국과 유럽의 기업들이 GDPR 컴플라이언스를 대응하는 것에 대하여 상당한 불안감을 내비치고 있는 것으로 보인다. 가장 우려스러운 내용으로 꼽은 항목들은 72시간 내 데이터 침해에 대한 알림, 데이터 플로우 매핑, 사용자 동의 관리, 국제 데이터 전송 관리다. 설문조사는 미국과 영국의 500여명의 프라이버시 전문가들을 대상으로 진행됐다. GDPR은 2018년 5월 25일부터 시작되어 이제 적용까지 약 7개월 못되는 기간이 남았다. 이는 Regulation으로 EU 회원 국가들은 무조건 적용해야 하는 법이다. 불이행시 상당한 규모^{(2,000만 유로 또는 전세계 연간 매출액의 4% 중 큰 금액)}의 벌금을 물어야 하기 때문에 기업들의 고민이 더 심해 보이는듯 하다.
AV 제조사가 악성코드 차단 결정에 대하여 면책권을 가지고 있다고 법원이 결정을 내렸다. 이니그마 소프트웨어 그룹^{(Enigma Software Group)}이 자사의 악성코드대응^{(anti-malware)} 소프트웨어를 안전하지 않은 것으로 분류한 말웨어바이츠^{(Malwarebytes)}에 대해 소송을 제기했지만 이 소송이 기각되었다. 말웨어바이츠는 자사의 소프트웨어를 사용해 경쟁업체를 방해한다고 제기된 소송에서 1996년의 Communication Decency Act의 조항을 성공적으로 인용했다.
미국 미네소타 주의 연방 검찰이 46세의 남성을 사이버 히트맨(hitman)을 고용해 1년에 걸친 분산서비스거부^{(DDoS, Distributed denial of service)} 공격을 그의 이전 고용인에게 지시했다고 기소했다. 검찰에 따르면 46세의 John Kelsey Gammell은 일곱개의 DDoS서비스와 계약하고 그중 세개의 서비스에 다달이 돈을 지불하며 미네소타 몬티첼로에 위치한 POS^{(point-of-sale)} 시스템 수리회사인 Washburn Computer Group을 공격하게 했다.
사이버범죄 세계를 떠나기로 약속한 봇넷 운영자를 감옥에 보내지 않기로 결정한 미 연방법원의 결정에 대한 기사가 나왔다. 산타 클라라^{(Santa Clara)}의 29세 Sean Tiernan은 피츠버그의 한 지방 법원으로부터 2011년에 시작된 스팸 봇넷 관련한 2년간의 집행 유예를 선고받고, 감옥에 가는 것을 면했다. 사법부에 따르면, 티어난은 최소 지난 2011년 8월 1일부터 그가 14개월 후 FBI에 의해 급습 당하기 전까지 봇넷 개발에 연루되었다.

Detailed News List

GDPR
- ^{[HelpNetSecurity]} Top GDPR compliance risks: Breach notification, data mapping, managing consent
Immunity for Malware-blocking decisions
- ^{[DarkReading]} AV Vendors Have Immunity for Malware-Blocking Decisions, Court Says
Cyber hitman
- ^{[NakedSecurity]} Hackers hired for year-long DDoS attack against man’s former employer
Botnet Operator
- ^{[NakedSecurity]} No jail time for botnet creator who promises to go straight

Patches/Updates

Summaries

KRACK 취약점 패치에 관련된 기사는 주요 제조사별로 업데이트나 패치를 제공함에 따라 계속 이어질 것으로 보인다. 구글이 안드로이드 운영체제에 KRACK 공격과 관련된 취약점을 패치했다는 기사가 계속적으로 이어지고 있는 중이다. 애플도 구글에 앞서 KRACK 패치를 iOS 11.1 업데이트에 포함하여 배포한 바 있다. (KRACK 태깅된 포스트 보기)
2018년 초 구글 크롬에서 몇가지 종류의 리다이렉트^(redirect)가 차단될 예정이다. 제품 매니저인 Ryan Schoen은 크롬 데스크탑 사용자들의 피드백 내용중 1/5에 해당하는 내용이 원하지 않는 컨텐츠에 관련된 내용이라 이를 심각하게 받아들여 크롬의 개선사항에 포함시키려 한다고 말했다. 그 결과 원하지 않는 내용이나, 거슬릴 만한 리다이렉트를 차단한다는 것이다.

Detailed News List

Google patches KRACK in Android
- ^[ThreatPost] GOOGLE PATCHES KRACK VULNERABILITY IN ANDROID
Blocking unwanted redirects
- ^{[HelpNetSecurity]} Chrome to start blocking unwanted redirects
- ^[HackRead] Google Chrome will automatically block forced website redirects

Privacy

Summaries

모바일 어플리케이션 개발자가 Twilio의 목소리 및 SMS 소프트웨어 개발 키트^{(SDK, Software Development Kit)}와 Rest API를 사용하면서, 하드코딩^(Hardcoded)된 계정정보^{(credentials)}를 앱에서 삭제하지 않아서 수백만명의 개인^(private) 모바일 대화를 노출시키는 사고가 발생했다. 그러한 이유로 도청^{(Eavedropper)} 취약점이라 불리는 이 취약점은 공격자가 전화 기록, 통화 시간^{(minutes of calls)}, 녹음시간^{(minutes of call audio recordings)}, 저장된 통화의 듣기, SMS 및 MMS 문자 메시지 열람이 가능하다고 Appthority 연구원이 밝혔다. 1,100개의 iOS 와 안드로이드 앱을 점검한 Appthority는 685개의 취약점을 찾아냈다. 이 취약한 안드로이드 앱들은 4,000만에서 1억 8,000만 회 설치되었다. 일부 75개 앱들은 아직도 구글플레이^{(Google Play)}에, 102개 앱은 앱스토어^{(App Store)}에 존재한다.

Detailed News List

Eavesdropper
- ^{[DarkReading]} ‘Eavesdropper’ Exposes Millions of Mobile Conversations

Deep Web/DarkNet/Onion

Summaries

뉴욕타임스^{(The New York Times)}가 토르^(Tor) 오니언^(Onion) 서비스를 통해 접근이 가능해졌다. 뉴욕타임스에서 자체 onion 도메인 서비스를 시작했고, 다크웹에서 토르 브라우져를 사용해 전세계에서 접근이 가능해졌다.
다크웹의 해커에 의해 누구나 추적해주는 서비스가 팔리고 있다. 리포트에 따르면 Abridk 라는 아이디를 쓰는 러시아 해커가 누군가를 전세계에 걸쳐 추적해주는 서비스를 제공하고 있다고 한다. 그리고 이 리포트에서 Abridk라는 해커가 모든 종류의 정보의 추적이 가능하다고 주장하는데, 여기에는 세금기록, 전세계 비행정보, 인터폴 정보등이 포함된다.

Detailed News List

The New York Times
- ^{[DarkWebNews]} The New York Times Now Accessible Via Tor Onion Service
Dark Web Tracking Services
- ^[HackRead] A Dark Web hacker is offering services to track anyone anywhere

Mobile/Cloud

Summaries

구글의 플레이스토어^{(Play Store)}에서 4번째로 뱅킹봇^{(BankBot, BankingBot)} 악성코드가 발견되었다. 계속적으로 구글 크롬을 안전하게 만들려는 구글의 시도에 대한 기사가 이어지고 있는 반면에, 구글 플레이스토어 에서는 악성코드 발견 기사가 이어지고 있다. 보안기업 RiskIQ의 연구자들이 안드로이드 사용자로부터 금융정보를 훔치는데 사용하는 BankBot^{(혹은 BankingBot)}이라는 이름의 악성코드를 찾아냈다. 이번에 BankBot^(BankingBot)이 발견된 곳은 Cryptocurrencies Market Prices라는 암호화폐의 가격을 알려주는 어플리케이션에서다.

Detailed News List

BankBot on Play Store
- ^[HackRead] Google just can not get rid of BankBot malware from Play Store

Security Breaches/Info Leakages

Summaries

위키리크스^(WikiLeaks)가 Vault 7에 이어 Vault 8으로 새로운 자료를 공개했다. Vault 7 시리즈는 CIA의 23가지의 서로다른 해킹툴의 상세정보를 다룬 자료였다. 위키리크스는 이번에 Vault 8 시리즈를 발표했는데, 이번 시리즈는 CIA 해커들에 의해 개발된 백엔드^(Backend) 인프라구조^{(Infrastructure)}의 정보와 소스코드에 대한 것이다. 내부 고발 조직은 이번에는 프로젝트 하이브^{(Project Hive)}의 소스코드와 개발로그들까지 공개했는데, 프로젝트 하이브^{(Project Hive)}는 CIA 해커들이 악성코드를 몰래 원격 제어하기 위해 사용한 백엔드 컴포넌트다. 올해 4월 위키리크스는 프로젝트하이브^{(Project Hive)}에 대한 대략적인 정보를 공개한 바 있다. 그 내용은 이 프로젝트가 악성코드와 통신하며 특정 작업을 대상 시스템에서 수행하도록 명령을 전송하고, 추출된 정보를 대상 시스템으로부터 수신할 수 있게 고도화된 C&C^{(Command-and-Control)} 서버 (악성코드 제어 시스템)이라는 것이었다. 하이브는 멀티유저^(Multi-user) 올인원^(all-in-one) 시스템으로, 다수의 CIA 운영자가 다양한 작전에서, 원격으로 다수의 악성코드를 제어할 수 있게 했다.
야후^(Yahoo)의 전 CEO인 메이어^(Mayer)가 두건의 대량 정보유출에 대하여 사과했다. 메이어가 수십억명의 사용자 계정정보를 유출시켰던 두 건의 데이터 침해 사건에 대하여 사과를 했다. 마리사 메이어^{(Marissa Mayer)}는 오늘 자신이 야후의 CEO로 재직할 당시 발생한 이 두 건의 사건에 대하여 공개적으로 사과를 하며, 그 시스템의 침입에 관해 러시아 국가주도의 해커^{(Russia nation-state hackers)}들을 비난했다. 이 발언은 상원통상위원회^{(Senate Commerce Committee)}에서 이루어졌다.
데이터 침해 정보의 유출이 2016년에 비해 305% 증가한 것으로 나타났다. 2017년 첫 9개월 동안 3,833건의 데이터 침해 사건이 일어났으며, 70억건 이상의 데이터 레코드가 유출되었다는 Risk Based Security의 최근 분석결과가 발표되었다.

Detailed News List

WikiLeaks Vault 8
- ^{[TheHackerNews]} Vault 8: WikiLeaks Releases Source Code For Hive – CIA’s Malware Control System
- ^[HackRead] WikiLeaks’ Vault 8 Leaks Show CIA Impersonated Kaspersky Lab
- ^[WikiLeaks] Vault 7
- ^[WikiLeaks] Vault 8
Mayer apologizes
- ^{[DarkReading]} Yahoo’s Ex-CEO Mayer Calls Out Russian Hackers
Data Exposure Up 305% from 2016
- ^{[DarkReading]} Data Breach Record Exposure Up 305% from 2016

Industrial/Infrastructure/Physical System/HVAC

Summaries

지멘스^(Siemens)가 보안기업인 테너블^(Tenable)과 협력한다는 기사가 나왔다. 산업제어시스템^{(ICS, Industrial Control System)} 및 감독통제 및 데이터수집^{(SCADA, Supervisory Control And Data Acquisition)}시스템 시장의 거대기업인 지멘스가 테너블사와의 협력을 발표했다. 이번주 지멘스는 새롭게 개편된 산업 영역의 보안 관리 서비스(managed security services)에 새로운 도구를 추가했다. 9월 발표에서 지멘스는 PAS에서 이상탐지기술^{(Anomaly detection technology)}을 그들의 기존 네트워크 모니터링^{(network monitoring)}및 보안서비스^{(security services)}에 추가한다고 밝히며, 이제부터 테너블 네트워크 시큐리티^{(Tenable Networks Security)}의 취약점 탐지^{(Vulnerability detection)} 및 관리 기술^{(management technology)}을 주요 인프라 공급자를 위해 제공되는 새로운 관리보안 서비스^{(manages security service)}로 통합할 예정이라 밝혔다.
물리공간적 분리^{(Air Gap)}를 뛰어넘는 은밀한 PLC^{(Programmable Login Controller)} 해킹이 보고되었다. 다음달 열리는 블랙햇 유럽^{(Black Hat Europe)}에서 연구자들이 데이터 추출 공격을 지멘스^(Siemens)의 PLC를 대상으로 시연할 예정이다. 여기서는 코드 조작^{(code manipulation)}과 라디오 주파수 방출^{(RF, Radio Frequency Emissions)}을 조합해 사용한다.
미국 국토안보부^{(DHS, Department of Homeland Security)}의 보고서에 따르면 보잉757에 대한 테스트에서 비행기가 해킹에 취약하다는 결과가 나왔다. 작년에 미국 정부 및 산업, 학계로 꾸며진 팀에서 연구실의 인공적인 환경이 아닌 상태에서 상업적인 비행기를 원격으로 해킹하는데 공식적으로 성공했다는 미국 국토안보부의 공식 언급이 버지니아 Tysons Corner에서 열린 2017 CyberSat Summit에서 있었다.

Detailed News List

Siemens & Tenable
- ^{[DarkReading]} Siemens Teams Up with Tenable
Stealthy PLC Hack over Air Gap
- ^{[DarkReading]} Stealthy New PLC Hack Jumps the Air Gap
Airplanes are vulnerable
- ^{[AviationToday]} Boeing 757 Testing Shows Airplanes Vulnerable to Hacking, DHS Says

Technologies/Technical Documents/Reports

Summaries

2017년의 데이터 유출 사건은 타겟^(Target), 홈디포^{(Home Depot)}, TJX와 같은 대형 소매 체인의 POS^{(Point-of-sale)}를 대상으로 한 공격은 줄어들었지만 백화점, 식료품 체인, 기타 전형적인 소매기업들이 보안에 노력을 기울임에 따라 해커들이 공격대상을 호텔리어나 레스토랑으로 변화시키는 양상이 보인다는 기사가 나왔다.
마이크로소프트^(Microsoft)의 ATP^{(Advanced Threat Protection)}이 iOS, macOS, Android, Linux로 확대될 예정이다. 오늘 마이크로소프트는 보안기업 비트디펜더^{(BitDefender)}, Lookout, Ziften과의 파트너십을 발표하면서 윈도우즈 디펜더^{(Windows Defender)} ATP^{(Advanced Threat Protection)}을 iOS, macOS, Android, Linux 장치로 확장할 것이라 밝혔다. 오늘 소식에 따르면 iOS, macOS, Android, Linux의 이 기능이 탑재된 장치에서는 파트너사의 Windows Defender ATP 콘솔로 보안경고를 전송하게 되며, 추가적인 인프라는 필요하지 않다. 위협 및 탐지내역이 콘솔로 수집되고, 모든 장치들은 6개월간의 이벤트 기록과 타임라인^{(a timeline with an event history)}을 갖는다. ATP는 기존에는 윈도우 장치로 국한되어 있었다.
사이버 보안 인력이 부족한 조직은 사이버 공격 및 데이터 유출사고로 큰 타격을 입을 가능성이 있다는 새로운 조사 결과가 발표되었다. 이 조사에서 IT 보안 팀에 인력이 부족한 조직은 업무부하를 감당할 직원이 충분하지 않고, 사이버 공격이나 데이터 유출에 영향을 받을 더 큰 가능성이 있다고 발표했다. 이 조사는 343개의 전세계 정보보안 종사자를 대상으로 진행했고, 22%의 응답자가 현재 속한 IT 보안팀이 인력이 부족하게 구성되어 있으며, 지난 2년간 그들 조직에서의 보안 사건에 투입할 인력 부족을 겪었다고 응답해왔다. 그리고 70%의 설문 응답자가, 2022년까지 180만 명의 정보보안 인력이 부족할 것으로 예상되는 사이버보안 기술의 부족이 조직에 영향을 미칠 것이라 응답해왔다.

Detailed News List

Breaches in 2017
- ^{[DarkReading]} Inhospitable: Hospitality & Dining’s Worst Breaches in 2017
Microsoft Windows Defender ATP
- ^{[DarkReading]} Windows Defender ATP Extended to iOS, macOS, Android, Linux
Cybersecurity staffing shortage
- ^{[DarkReading]} Cybersecurity Staffing Shortage Tied to Cyberattacks, Data Breaches

Crypto Currencies

Summaries

워낙 큰 액수이다 보니, 패리티 월렛^{(Parity wallet)}의 잠겨버린 금액들에 대한 기사도 이어지고 있다. 약 1억 5천만 달러에서 3억 달러 규모의 전자암호화폐가 접근 불가능한 상태에 처했다. 누군가가 취약점을 ‘실수로’ 건드려 거래할 수 없도록 잠김상태로 만들어 버렸기 때문이다. 패리티 테크놀로지스^{(Parity Technologies)}는 하루 뒤 버그를 패치했고, 패리티 월렛^{(Parity Wallet)} 라이브러리 내 존재하는 취약점이 7월 20일 이후 발행된 패리티 월렛의 다중서명 지갑에 자산이 있는 사용자에게 영향을 미칠 수 있다^{(affecting users with assets in a standard multi-sig contract deployed after July 20)}는 내용의 주의보^(advisory)를 발행했다.
드라이브바이^(drive-by) 암호화폐 채굴^{(cryptocurrency mining)}이 계속적으로 퍼져나가고 있다. 코인하이브^(Coinhive)의 DNS를 조작해 다른 사이트들을 동원해 암호화폐를 채굴한 사건에 이어, 사용자의 CPU 파워를 가로채서 암호화폐 채굴에 사용하는 사례가 계속적으로 증가하고 있다. 말웨어바이츠^{(Malwarebytes)}의 최근 분석에 따르면, 말웨어바이츠의 안티바이러스가 9월 말부터 10월 말까지 하루에 약 8백만건의 암호화폐 채굴 하이재킹 시도를 차단했다고 말했다. 센시스^(Censys) 검색엔진은 방문자수가 많은 약 900개의 사이트들이 코인하이브 스크립트를 돌리고 있는 것을 찾아내기도 했다.

Detailed News List

Parity wallet
- ^[ThreatPost] HUNDREDS OF MILLIONS IN DIGITAL CURRENCY REMAINS FROZEN
- ^{[NakedSecurity]} $300m… deleted! How a tiny bug flushed away a fortune
- ^{[SCMagazineUK]} £214 million in Ethereum crypto-currency virtually gone after code deletion
Drive-by cryptocurrency mining
- ^{[HelpNetSecurity]} The Wild West of drive-by cryptocurrency mining
- ^{[DarkReading]} Cybercriminals Employ ‘Driveby’ Cryptocurrency Mining
- ^{[ARSTechnica]} Cryptojacking craze that drains your CPU now done by 2,500 sites
- ^{[BleepingComputer]} Cryptojacking Craze: Malwarebytes Says It Blocks 8 Million Requests per Day

Internet of Things

Summaries

IoT 장치들에서 완벽한 보안을 기대하기란 비용대비 효과 때문에 기대하기 힘들다는 사실을 인정해야 한다는 연구자의 이야기가 기사화 됐다. 제네럴모터스^{(GM, General Motors)}의 차량 자동주행^{(Cruise Automation)} 보안 아키텍트^{(principal autonomous vehicle security architects)}인 찰리 밀러^{(Chalie Miller)}와 크리스 발라섹^{(Chris Valasek)}이 한 말이다. 사업의 주 모델이나 대상이 보안 그 자체가 아닌 이상 최상 수준의 보안 기능을 제품내에 구현하는 것은 비용대비 효과적이지 못하고, 제품을 판매함에 있어서도 그 보안기능을 제품의 특장점으로 내세워 고객에게 비용을 지불하게 하지 못한다는 것. 다소 논란스러울 수 있는 내용이지만, 인터넷에 연결되는 전구를 보호하느라 고심하느니 그 노력을 회사나 기관의 실제 위협이 될 것이 무엇인가에 투자하라는 의미다.
접속가능해지는 장치들이 헬스케어 산업의 보안위협을 가속화 할 것이라는 전망이 나왔다.

Detailed News List

IoT is insecure
- ^[ThreatPost] IOT IS INSECURE, GET OVER IT! SAY RESEARCHERS
Healthcare Industry & technologies
- ^{[HelpNetSecurity]} Connected technologies will accelerate security threats to healthcare industry

Security Newsletters, Nov 9th, 2017

Posted on 2017-11-09 - 2017-11-09 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Intelligence

Summaries

넷플릭스^(Netflix)처럼 꾸민 피싱 작전이 벌어지고 있다. 아주 그럴듯하게 만들어진 구분하기 힘든 피싱 이메일을 보내기 때문에 주의가 필요하다. 넷플릭스에서 발송된 것처럼 꾸민 이메일은 계정 정지 알림 메시지를 담고있다. 넷플릭스의 디자인 요소들을 사용하고, 눈에 띄는 맞춤법이나 철자의 오류도 없으며, 정상적인 이메일 처럼 보이도록 꾸며놓았다. 피싱메일을 보내는 공격자는 이메일 작성을 위해 템플릿 시스템과 특정 이메일 수신자 목록을 사용하는 것으로 보인다. 메일에 포함된 링크를 클릭하면 가짜 넷플릭스 로그인 페이지로 접근하며, 실제 사이트와 매우 유사하게 만들어졌다.
시만텍^(Symantec)의 보안연구가에 의해 새로운 APT 그룹인 소우버그^(Sowbug)가 확인됐다. 연구가에 따르면, 2015년부터 활동해온 이 그룹은 남미와 동남아시아 정부기관을 상대로한 고도화된 표적공격에 연관되어 있는 것으로 나타났다. 이 그룹은 그들이 침투한 기관에서 문서를 훔쳐내는 등의 전형적인 사이버스파이 행위를 해왔다. 이 소우버그 그룹은 Felismus라 불리는 고유의 악성코드를 사용해 대상 시스템을 감염시킨다. 이 악성코드는 3월에 Forcepoint의 연구자에 의해 처음 발견되었고, 시만텍의 보안전문가에 의해 Sowbug 그룹과의 관계가 밝혀졌다.
다가오는 온라인 쇼핑몰 할인 이벤트인 사이버 먼데이^{(Cyber Monday)}를 노린 사기에 주의가 필요하다. 영국의 통계이지만 약 98%의 영국인이 온라인에서 쇼핑을 하고, 1/3에 가까운 29%가 사이버 먼데이에 쇼핑할 계획을 가진다고 한다. 그리고 설문에서 이미 1/5에 해당하는 많은 수의 사람들이 온라인으로 사기를 당해본 경험이 있다고 답했다.
베트남 정부와 관련되어 있다고 여겨지는 해킹그룹이 동남아시아 근접 국가들의 컴퓨터에 침입했다. 사이버보안 기업 Volexity의 Steven Adair에 따르면, 이 해킹그룹은 아직도 활동중이며 ASEAN^{(Association of Southeast Asian Nations)}의 웹사이트를 침입했다. 5월에 FireEye는 APT32, 혹은 OceanLotus라고도 알려진 그룹에 대하여 보고하면서 베트남의 다국적 외국기업과 반체제 대상들을 노리고 있다고 말했다.
러시아 크렘린과 연관되어 있다고 여겨지는 해킹그룹 APT28 혹은 FancyBear는 작년 미국 민주당 전국 위원회^{(DNC, Democratic National Committee)}와 클린턴 캠페인을 해킹했다. 이번에는 똑같은 해커들이 지난주 발생한 뉴욕에서의 ISIS공격과 새로이 공개된 마이크로소프트 소프트웨어의 취약점을 악용해 사이버 스파이 전략을 펼치고 있는 것으로 보인다. 화요일에 맥아피^(McAfee)의 연구자들은 이 러시아 해킹팀과 연계된 새로운 피싱 작전을 추적중이라고 밝혔다. 이 피싱메일에서 해커들은 마이크로소프트 오피스의 DDE^{(Dynamic Data Exchange)}기능을 사용하고 있으며, 보안 연구자들은 이 기술이 마이크로소프트 오피스 문서를 열어보기만 해도 악성코드 설치에 악용될 수 있다고 밝혔다.

Detailed News list

Netflix phishing campaign
- ^{[HelpNetSecurity]} Artful Netflix-themed phishing campaign can fool many
- ^[Wired] THE DEVIOUS NETFLIX PHISH THAT JUST WON’T DIE
SowBug APT
- ^{[SecurityAffairs]} Symantec uncovered a new APT, the cyber espionage Sowbug group
- ^{[theHackerNews]} Newly Uncovered ‘SowBug’ Cyber-Espionage Group Stealing Diplomatic Secrets Since 2015
- ^{[InternationalBusinessTimes]} Shadowy cyber-espionage group ‘Sowbug’ has been hacking diplomatic secrets for years
Cyber Monday
- ^{[InfoSecurityMagazine]} Beware Cyber Monday Scams Targeting UK Consumers
OceanLotus
- ^[Reuters] Vietnam’s neighbors, ASEAN, targeted by hackers: report
FancyBear
- ^[Wired] RUSSIA’S ‘FANCY BEAR’ HACKERS EXPLOIT A MICROSOFT OFFICE FLAW—AND NYC TERRORISM FEARS

Malwares/Exploits/Vulnerabilities

Summaries

전자서명된 악성코드에 대한 기사도 이어지고 있다. 이번 ACM 컨퍼런스에서 발표된 Cerified Malware: Measuring Breaches of Trust in the Windows Code-Signing PKI에서 연구자들은 2014년 데이터 세트인 150,000개의 악성코드 샘플을 확인했고, 325개의 악성코드가 정상^(valid)이거나 회수^(revoked), 조작^(malformed)된 인증서로 서명이 되어 있음을 발견했다. 디지털 서명된 악성코드는 일반적으로 시스템 보호 메커니즘을 그대로 우회할 수 있기 때문에 문제가 될 수 있다는 내용이다.
윈도우즈의 새로운 코드 인젝션 기법인 PROPagate가 발표되었다. PROPagate는 최근 윈도우즈의 모든 버젼에서 동작하는 코드 인젝션 방법으로, 공격자가 다른 어플리케이션에 탐지되지 않고 코드를 주입할 수 있다. 이 공격법을 공개한 Adam은 GUI 어플리케이션에서만 코드 인젝션이 가능하다고 밝혔다.
리눅스의 USB 드라이버와 관련된 보안 취약점이 발견되었다. 리눅스 커널에 포함된 USB 드라이버들에 보안 취약점이 다수 존재하며, 여럿은 공격하여 코드를 실행하고 컴퓨터를 장악할 수 있는 것으로 알려졌다. 이 취약점들은 구글의 보안전문가 Andrey Konovalov가 리눅스 커뮤니티에 자신이 리눅스 커널 USB 하부시스템에서 찾은 14개의 취약점을 알려오면서 드러났다.
중국 키보드에 내장된 키로거 기사도 이어지고 있다. 중국 기계식 키보드 제조사인 MantisTek의 GK2 모델이 키로거가 내장되어 있으며 수집한 통계정보를 중국의 알리바바 클라우드 서버로 보내는 것이 확인되었다.

Detailed News List

Signed Malwares
- ^[ThreatPost] ASSESSING WEAKNESSES IN PUBLIC KEY INFRASTRUCTURE
PROPagate, Code injection technique
- ^[Hexacorn] PROPagate – a new code injection trick
- ^{[BleepingComputer]} Researcher Details New Windows Code Injection Technique Named PROPagate
Linux USB driver
- ^{[BleepingComputer]} Linux Has a USB Driver Security Problem
Keylogger built-in Keyboard
- ^[HackRead] Chinese Keyboard Developer Spies on User Through Built-in Keylogger

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

미국 상원 통상위원회^{(The US Senate Commerce Committee)}가 다가오는 수요일, 전 Yahoo! 회장인 마리사 메이어^{(Marissa Mayer)}와 Equifax의 전 CEO인 리처드 스미스^{(Richard Smith)}, Equifax의 임시^(interim) CEO인 Paulino do Rego Barros에게서 그들의 엄청난 사이버 보안 침해에 대하여 증언을 들을 예정이다. 야후는 2013, 2014년 Mayer의 운영하에 있을 때 수십억의 사용자 정보가 침해당하는 사건이 있었다. 이 사건은 2016년까지는 주목을 받지 못했었지만, 10억명에 해당하는 야후의 전체 사용자에 대한 이름, 이메일 주소, 전화번호, 생일, 해시된 비밀번호, 보안 질문과 답 등이 노출된 것으로 드러났다. 그리고 지난달 버라이즌은 실제로는 영향받은 계정의 규모가 실제로는 30억에 달한다고 말했다.

Detailed News List

Equifax data breaches
- ^{[InfoSecurityMagazine]} Former Yahoo!, Equifax CEOs Face Congressional Grilling Over Data Breaches

Patches/Updates

Summaries

구글이 KRACK 공격을 포함한 여러 심각한 취약점을 수정하는 안드로이드 운영체제의 11월 패치를 내놓았다.

Detailed News List

Android Update
- ^{[SecurityAffairs]} Android Security Bulletin—November 2017 – Google addresses critical flaws and high-risk KRACK vulnerabilities in Android

Mobile/Cloud

Summaries

Amazon S3 cloud bucket에 누구나 접근 가능하게 설정되어 있던 액센츄어^(Accenture)의 데이터가 간신히 유출을 면했다. 9월 중순 보안연구 회사인 UpGuard가 4개의 공개된 아마존 웹 서비스 S3 스토리지 버킷이 엑센츄어^(Accenture)의 비밀API 및 인증 정보, 인증서, 복호화키, 고객정보를 포함한 데이터를 담고 있는 것을 발견했다. 약 137기가바이트에 달하는 이 모든 데이터들은 다운로드가 가능했으며, 웹 주소를 안다면 누구나 접근 가능했다.

Detailed News List

Accenture and S3 bucket
- ^[Teiss] Cyber security consultancy firm Accenture narrowly avoided a massive data breach

Service Outage

Summaries

페이스북과 인스타그램이 일시적인 서비스 장애를 겪었다. 유럽과 남미 그리고 미국 일부 지역에서 페이스북과 인스타그램 모두 수요일 동부시간 오후 1:02에 서비스가 중단됐다. 다운디텍터^{(DownDetector)}에 따르면 페이스북 서비스 중단은 인도 및 파키스탄에도 영향을 미쳤다. 이 두 곳에서 접속하면 장애에 따른 조치중이라는 메시지만 표시되었다. 인스타그램도 역시 동부시간 수요일 오후 1시 2분에 서비스가 중단되었고, 약 10분간 이어졌다. 앱 서비스는 중단되었고, 브라우져에서는 5xx 서버에러가 표시되었다.

Detailed News List

Facebook and Instagram Outage
- ^[HackRead] Facebook and Instagram Suffer Worldwide Outage

Security Breaches/Info Leakages

Summaries

미국의 800여개 학교 웹사이트가 하이재킹 되어 사담 후세인^{(Saddam Hussein)}의 이미지와 아랍어 모집 동영상과 영문으로 된 “나는 IS^{(Islamic State)}를 사랑한다”라는 메시지와 함께 게시되었다. International Business Times에 따르면, 해당 서비스를 제공하는 웹호스팅 회사인 애틀란타의 스쿨데스크^(SchoolDesk)는 공격을 확인했다고 밝혔으며, “Team System DZ”라는 해킹그룹에 책임이 있다고 밝혔다.
파라다이스 페이퍼스^{(Paradise papers)}는 내부자 소행이 아니라는 기사가 이어지고 있다. 국제탐사보도언론인협회^{(ICIJ, International Consortium of Investigative Journalists)}와 Panama Papers 및 Paradise Papers 보도를 함께한 독일의 Süeddeutsche Zeitung에 따르면, 파라다이스 페이퍼스는 21개의 출처에서 수집되었다.

Detailed News List

Defaced school websites
- ^{[NakedSecurity]} Hijackers deface 800 school websites with pro-Islamic State messages
Paradise papers
- ^[GearsOfBiz] Paradise Papers were not an inside job, says leaky offshore law firm
- ^{[NakedSecurity]} Is the 1.6TB Paradise Papers exposé a leak or a hack?

Crypto Currencies

Summaries

GitHub 사용자가 실수로 이더리움의 패리티 월렛^{(Parity Wallet)} 라이브러리의 취약점을 건드려 2억8천만 달러 규모가 잠겨버렸다. 여기에는 패리티 테크놀로지스^{(Parity Technologies)}사의 설립자인 Gavin Woods가 모금한 9천만 달러도 포함되었다. 패리티 테크놀로지스^{(Parity Technologies)}에 의해 운영되는 엄청난 양의 이더리움 지갑의 돈이 영구적으로 정지당한 것이다. 패리티 월렛^{(Parity wallets)}은 전체 이더리움 네트워크의 약 20%를 차지하는 것으로 추정되어왔다. 패리티 테크놀로지스는 이 사고에 대해 7월 20일 이후에 만들어진 “다중서명^{(Multisignature)}” 지갑의 심각한 취약점에 의한 사고라고 발표했다. 영향을 받은 지갑 소유자는 금액을 이동할 수 없게 됐다.

Detailed News List

Ethereum Locked Up
- ^{[SecurityAffairs]} A regular GitHub user accidentally triggered a flaw Ethereum Parity Wallet that locked up $280 million in Ether
- ^{[theHackerNews]} Oh, Crap! Someone Accidentally Triggered A Flaw That Locked Up $280 Million In Ethereum
- ^{[InfoSecurityMagazine]} Coding Error Locks Users Out of $280m in Ether
- ^{[BleepingComputer]} Unknown User Triggers Bug That Freezes $285Mil Inside Ethereum Wallets
- ^[HackRead] Multi-Sig Wallets worth $300M Mistakenly Blocked by User

Internet of Things

Summaries

브라더^(Brother)사의 프린터가 DoS 공격에 취약하다는 기사가 이어지고 있다. 트러스트웨이브^(Trustwave)의 SpiderLabs의 보안연구가들이 브라더사의 프린터에 대한 취약점을 공개했다. 이 취약점은 Debut 임베디드 웹서버를 내장한 모든 브라더 프린터에 영향을 미친다. 그리고 조작된 요청 하나로 프린터를 작동불능으로 만들 수 있다.
사물인터넷^{(IoT, Internet of Things)}과 OT^{(Operational Technology)}가 부상함에 따라 그에따른 보안에 대한 불안감도 높아지고 있다. 600개 이상의 국제 기업들을 대상으로 한 설문조사 결과에 따르면, 기업의 90%는 다음 몇 년 동안의 온라인에 접속된 기기들의 숫자가 증가할 것이라 예상하고 있다. 77%의 기업은 이러한 연결된 장치들이 심각한 보안 문제를 일으킬 것이라는데 동의했다. 82%의 기업은 그들의 네트워크에 연결된 장치들을 식별하는데 어려움을 겪고 있다고 말했고, IoT 보안에 대한 주 책임이 누구에게 있는가에 대하여 IT나 비즈니스 리더들이 확실한 답을 갖고 있지 못했다.

Detailed News List

Brother printers
- ^[ThreatPost] BROTHER PRINTERS SUSCEPTIBLE TO REMOTE DENIAL OF SERVICE ATTACKS
IoT Security
- ^{[InfoSecurityMagazine]} Most Orgs Agonize Over IoT Security

Privacy

Summaries

FBI가 일요일 텍사스 교회에서 일어난 총기난사 사건의 사망한 용의자의 휴대전화가 암호화되어 있음을 공개하여 암호화에 대한 논쟁이 다시금 살아날 것으로 보인다. FBI 수사관인 Christopher Comb는 용의자인 Devin Kelley가 어떤 종류의 휴대전화를 사용했는지 밝히진 않았지만, 콴티코에 있는 FBI 연구실에 보내졌다는 사실만 밝혔다. 그리고 그는 휴대전화가 암호화되어 현재로서는 접근할 방법이 없다고 말했다.
정부에 의한 모바일 데이터 수집에 대하여 전문가들의 우려가 커지고 있다. 보안전문가들은 2021년 이후 정부가 조사를 위해 휴대전화 데이터를 사용하는 가능성에 대하여 의문을 제기하고 나섰다. 이 문제는 이번주 영국의 국가통계청^{(ONS, the Office of National Statistics)}이 런던 수천명의 성인의 익명화된^(anonymized) 움직임을 통근 패턴을 연구하기 위해 추적하고 있다는 사실이 알려지면서 제기됐다. 이는 행정 데이터 인구조사 프로젝트^{(Administrative Data Census Project)}의 일환으로, “정부가 2021년 이후의 인구조사는 새로운 데이터 소스를 사용할 수 있을것”이라는 목표를 충족시킬 수 있는지 보기위한 연구다.

Detailed News List

Encrypted Cellphone
- ^[ThreatPost] TEXAS SHOOTER’S PHONE ENCRYPTED
Government Mobile Data Grab
- ^{[InfoSecurityMagazine]} Experts Raise Concerns Over Government Mobile Data Grab