DevHackDebug logo

[태그:] OceanLotus

Security Newsletters, 2018 Mar 15th, 웹기반 악성코드 유포 BlackTDS 外

Posted on by aDHDmin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 다크웹에서 BlackTDS라 불리는 악성코드용 트래픽분산시스템(TDS, Traffic Distribution System)이 서비스로 제공되는 것을 Proofpoint의 연구자들이 발견해 리포트했다. Traffic distribution system은 트래픽을 양쪽 사이트 모두로부터 사고 파는 브로커처럼 기능한다. 사용자의 브라우저 및 아이피 주소, 위치 및 User agent 데이터를 기반으로 해 필터링하며 광고 가치를 높인다. 사용자가 TDS chain의 일부인 링크를 클릭하면, TDS는 사용자 프로파일에 기반해 몰래 악성 웹페이지로 리다이렉트 시킨다. TDS는 웹 기반의 악성코드를 익스플로잇 킷이나 가짜 다운로드를 이용해 사이버 범죄자들을 돕는것으로 유명하다.
  • APT32APT-C-OO로도 알려진 OceanLotus APT 그룹이 최근 탐지된 공격에서 새로운 백도어를 사용한 것이 확인되었다. OceanLotus 그룹은 최소 2013년부터 활동해 왔다. 전문가들에 따르면, 이 그룹은 베트남과 연관된 것으로 추정된다. 이 해커들은 여러 산업 기관들과 외국 정부, 반체제 인사, 언론인을 공격 대상으로 삼고 있다. 최소 2014년부터, 파이어아이의 전문가들은 APT32그룹이 베트남의 제조, 소비재, 서비스 분야에 관심을 가진 외국 기업들을 공격대상으로 삼은 것을 확인했다. APT32는 또한 외국 투자자들과 관계가 있는 네트워크 보안 및 기술 인프라 기업, 보안 기업들 역시 공격대상으로 삼고 있다.

Detailed News list

 

Malwares

Summaries

  • PinkKite라 명명된 새로운 판매시점관리(PoS, Point-of-Sale)시스템 악성코드가 탐지되었다. 처음 확인된 것은 2017년 Kroll Cyber Security의 연구원들에 의해서였다. 12월에 끝난 9달 간의 대규모 POS 악성코드 캠페인을 조사한 결과다. 지난 금요일에 열린 Kaspersky Lab의 Security Analyst Summit에서 발표한 Courtney Dayter와 Matt Bromiley에 따르면, 이 캠페인이 PinkKite가 처음 탐지된 캠페인인 것으로 추정된다. PinkKite는 6K가 안되는 크기로, TinyPOS나 AbaddonPOS와 같은 기타 다른 소형 POS 악성코드와 유사하다. PinkKite는 메모리 스크래핑 및 데이터 검증 도구를 내장하고 있다. Dayter에 따르면, PinkKite가 다른 악성코드와 차별점을 갖는 부분은 내장된 영속성 메커니즘, 하드코딩된 이중 XOR암호화, 데이터 유출을 위해 사용하는 백엔드 인프라다. 일반적으로 POS 악성코드는 데이터를 C2 서버로 직접보내는데 반해, PinkKite 배후의 범죄자들은 대한민국, 캐나다, 네덜란드에 위치한 세 곳의 정보센터(Clearinghouses)로 데이터를 전송했다.
  • Palo Alto Networks의 Unit 42에서 HenBox라 명명된 안드로이드 악성코드를 탐지했다. 이 악성코드는 가상사설망(VPN, Virtual Private Network) 앱이나 기타 안드로이드 시스템 관련 어플리케이션과 같은 정상적인 안드로이드 앱과 함께 유포된다. 13일 공개된 블로그 포스트에서, 팔로알토네트웍스는 HenBox의 주요 공격 대상이 중국의 소수민족인 위구르 사용자라고 밝혔다. 이 악성코드는 또한 중국에 위치한 모바일 제조사인 샤오미(Xiaomi)에서 생산된 기기와 MIUI를 실행하는 기기를 노린다.

Detailed News List

 

Exploits/Vulnerabilities

Summaries

  • 지난주, 몇 시간 만에 40만대의 윈도우즈 PC를 감염시켰던 Dofoil 사태가 MediaGet이라는 BitTorrent 클라이언트의 업데이트 서버를 공격해 일어났음이 밝혀졌다. 마이크로소프트는 이를 “MediaGet update poisoning’이라 명명하고 MediaGet을 잠재적 불필요 응용프로그램(Potentially unwanted application)으로 구분했다. 파일공유 프로그램이 악성코드 확산에 사용될 수 있으나, 마이크로소프트의 연구원들은 이 사태가 토런트 다운로드나 기타 파일공유 프로그램으로 발생한 것이 아니라 mediaget.exe프로세스로 부터 일어났음을 확인했다. 마이크로소프트에 따르면, 이 신중하게 계획된 공격은 2월 중순에 준비되었다. 이는 악성코드 배포 2주전이다.
  • Hotspot Shield, PureVPN, ZenMate와 같은 유명 VPN 서비스에서 사용자의 IP를 노출시키는 취약점이 발견되었다. VPN Mentor에 따르면, VPN Mentor는 해커 세 명과 테스트를 진행했고 세가지 VPN서비스 모두가 사용자의 IP주소를 유출한다는 결론을 내렸다. 이번에 발견된 취약점은 데스크탑이나 스마트폰 앱이 아닌 크롬 브라우저 플러그인에 존재하는 취약점이다. 발견된 취약점들은 CVE-2018-7878, CVE-2018-7879, CVE-2018-7880이다.
  • AMD 칩에서 새로운 취약점이 발견되었다. 이스라엘의 사이버보안기업 CTS Labs에서 웹사이트를 만들어 AMD의 EPYC, Ryzen, Ryzen Pro, Ryzen 프로세서들의 13개 보안 취약점 정보를 공개했다. 이 칩들은 노트북, 모바일 기기, 서버등에 사용된다. 취약점에는 공격자가 악성코드를 AMD의 칩에 주입할 수 있도록 하는 백도어들이 포함되어 있다. 이런 악성코드들은 공격자에게 AMD 프로세서를 장악하고, 네트워크 인증정보를 훔치거나, 악성코드를 설치하고 보호된 메모리 영역을 읽고 쓸 수 있게 한다. CTS Labs는 취약점 정보를 amdflaws.com이라는 웹사이트를 통해 공개했다. (14일에서 이어짐)

Detailed News List

 

Vulnerability Patches/Software Updates

Summaries

  • SAP에서 2018년 3월 SAP 보안 패치를 통해 자사 제품이 존재하던 10년 이상된 취약점 세개를 포함한 High 및 Medium 등급의 취약점들을 수정했다. March 2018 SAP Security Patch Day에는 10개의 Security Notes가 포함되었다. 각각 3개의 High, 7개의 Medium 등급이다. 또한 17개의 Support Package Notes도 릴리즈했다.
  • 마이크로소프트(Microsoft)에서 3월 정기 보안업데이트를 릴리즈했다. 마이크로소프트가 Patch Tuesday에서 15개의 Critical 취약점을 수정했다. 전체적으로는 75개의 취약점이 수정되었다. 패치가 적용된 제품에는 Microsoft 브라우저 및 마이크로소프트의 자바스크립트 엔진인 Chakra와 같이 브라우저에 관련된 기술들이 포함되었다. (14일에서 이어짐)
  • 어도비(Adobe)에서 보안 패치를 릴리즈했다. 윈도우, 맥, 리눅스, 크롬OS 용 플래시 플레이어 29.0.0.113에서 28.0.0.161 및 이전 버젼에 영향을 미치는 두가지 critical 취약점을 수정했다. 취약점은 use-after-free 버그 CVE-2018-4919와 type confusion issue CVE-2018-4920이다. 둘다 모두 원격 코드 실행(remote code execution) 공격이 가능한 취약점이다. 그외 Dreamweaver CC 및 Adobe Connect도 패치되었다. (14일에서 이어짐)
  • 삼바(Samba) 프로젝트에서 두가지 취약점에 대한 패치를 릴리즈했다. 권한이 없는 원격의 공격자가 삼바서버에 대한 DoS 공격을 할 수 있는 취약점과 임의의 사용자의 비밀번호를 변경할 수 있는 취약점을 수정했다. 이 취약점들은 삼바 버젼 4.7.6, 4.6.114, 4.5.16 릴리즈와 함께 수정되었다. DoS 취약점은 CVE-2018-1050으로 RPC spoolss 서비스가 external daemon으로 실행되도록 설정되었을 때 공격당할 수 있다. 두번째 취약점인 CVE-2018-1057은 권한이 없는 사용자가 LDAP을 통해 관리자를 포함한 아무 사용자나 비밀번호를 변경할 수 있다. LDAP을 통한 비밀번호 변경 요청에서 Samba가 사용자의 권한을 적절하게 검증하지 않아 발생한다. (14일에서 이어짐)

Detailed News List