Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Dev
  • Hack
  • Debug
  • Contact

[태그:] OilRig

Security Newsletters, 2018 Mar 23rd, GitHub 라이브러리 의존성 스캔 外

Posted on 2018-03-23 - 2018-03-23 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 이란과 관련된 것으로 추정되는 해커들이 새로운 데이터 유출 기법을 도입했다는 기사가 공개되었다. 보안기업 Nyotron에 따르면 이란과 관련이 있는 것으로 추정되는 사이버 스파이 그룹이 최근 공격에서 새로운 악성코드와 데이터 유출 기법을 사용했다. 이 그룹은 OilRig이라 알려진 그룹으로, 2015년부터 활동해왔다. 주로 미국과 중동의 금융 및 정치 산업의 기관들을 공격 대상으로 삼아왔다. 관찰된 바에 따르면 이 그룹은 꾸준히 다양한 도구를 사용하며, 새로운 익스플로잇을 빠르게 도입하고, 새로운 트로이 악성코드로 교체해왔다. Nyotron은 OrilRig이 최근의 캠페인에서 대략 20여가지의 다른 도구들을 사용했다고 밝혔다. 그 도구들에는 이전에 탐지되지 않았던 악성코드등도 포함되어 있다. 그리고 데이터 유출을 위해서, 이 스파이그룹은 네트워크 수준의 보안 제품들의 탐지를 회피해서 대상 환경에 거점(foothold)을 구축하는 것에 매우 집중했다.

Detailed News list

  • Iran-linked Hackers
    • [SecurityWeek]
      Iran-linked Hackers Adopt New Data Exfiltration Methods

 

Malwares

Summaries

  • 새로운 기능을 탑재한 Trickbot 악성코드를 유포하는 새로운 스팸 캠페인이 확인되었다. Trickbot은 과거 페이팔과 같은 대기업을 포함한 다수의 뱅킹 기업들을 노린 공격에서 탐지되었던 트로이다. Trickbot의 제작자들은 꾸준하게 사용자의 중요 데이터를 수집하기 위한 새로운 방법들을 찾아왔다. 최근에는 연구자들에 의해 드롭박스 스푸핑(Dropbox Spoofing)을 이용한 스팸메일 캠페인이 탐지되었다. Trickbot 악성코드를 유초하는 새로운 스팸 이메일 캠페인은 정식 Dropbox 웹사이트에서 온 것으로 위장했지만 실제로는 비슷해 보이는 사이트를 사용한다.
  • 데이터 유출 방법으로 텔레그램을 사용하는 TeleRAT 악성코드가 확인되었다. 팔로 알토 네트웍스(Palo Alto Networks)에서 Telegram Bot API를 사용해 C&C서버와 통신하고 데이터를 유출하는 TeleRAT이라는 안드로이트 트로이를 탐지했다. TeleRAT은 이전에 탐지된 바 있는 또다른 IRRAT라는 안드로이드 악성코드와의 유사성을 보인다. 이 악성코드도 Telegram의 Bot API를 C&C 통신을 위해 사용한다.

Detailed News List

  • TrickBot
    • [HeimdalSecurity]
      Security Alert: New Spam Campaign Delivers Trickbot Payload, Spoofs Dropbox
    • [ZDNet]
      Old banking Trojan TrickBot has been taught new tricks
    • [ITSecurityGuru]
      TrickBot Banking Trojan Gets Screenlocker Component
  • TeleRAT
    • [SecurityAffairs]
      TeleRAT, a new Android Trojan that uses Telegram for data exfiltration

 

Exploits/Vulnerabilities

Summaries

  • 포츈 500 기업들 절반가량에서 사용하는 ManageEngine에서 심각한 취약점이 다수 발견되었다. EventLog Analyzer 11.8과 Log360 5.3에 영향을 주는 취약점은, 웹 쉘을 업로드해서 어플리케이션을 시작하는 사용자의 권한으로 원격 코드 실행을 할 수 있다. Applications Manager 13에서 발견된 나머지 취약점들은 다음과 같다. blind SQL injection 다수, Local file inclusion, API key disclosure.

Detailed News List

  • ManageEngine
    • [ITSecurityGuru]
      Flaws in ManageEngine apps opens enterprise systems to compromise
    • [HelpNetSecurity]
      Flaws in ManageEngine apps opens enterprise systems to compromise

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 넷플릭스(Netflix)에서 새로운 취약점 제보 포상제도(Bug Bounty) 정책을 발표했다. 넷플릭스는 자사의 버그바운티를 버그크라우드(Bugcrowd) 플랫폼을 통해 시행하기로 결정했다. 넷플릭스에서는 치명적인 보안 취약점에 대해서 15,000달러가 지급된 것이 가장 높은 보상금이었다고 말했다. 제보할 수 있는 취약점 종류들로는 XSS, CSRF, SQL Injection, 인증 및 권한 관련, 데이터 노출, 원격 코드 실행, 리다이렉션, 비즈니스 로직, MSL 프로토콜, 모바일 API 등이 포함된다.

Detailed News List

  • Netflix
    • [SecurityWeek]
      Netflix Launches Public Bug Bounty Program
    • [TripWire]
      Researchers Can Earn up to $15K in Netflix’s New Public Bug Bounty Program
    • [ITSecurityGuru]
      Netflix asks you to start hacking, bug bounty program is now public
    • [ZDNet]
      Netflix asks you to start hacking, bug bounty program is now public
    • [TheRegister]
      What ends with X and won’t sue security researchers?

 

Vulnerability Patches/Software Updates

Summaries

  • 구글에서 크롬OS 장치들을 위한 멜트다운, 스펙터 취약점 패치 계획을 발표했다. 스펙터 및 멜트다운 취약점에 영향을 받는 인텔 프로세서 장치들에 대한 패치가 구글 크롬OS 운영체제의 최신 안정화 채널을 통해 제공될 예정이다.
  • 드루팔 코어의 버그가 다음주 패치될 예정이다. 지난 수요일 드루팔이 개발자들에게 전달한 권고문에 따르면, 2018년 3월 288일 UTC기준 18:00 – 19:30사이에 드루팔 7.x, 8.3.x, 8.4.x, 8.5.x에 대한 보안 릴리즈가 있을 예정이다. 보안 권고문에서는 매우 심각한 보안 취약점이라고 언급했을 뿐, 어떤 버그인지는 밝히지 않았다.

Detailed News List

  • Chrome OS
    • [SecurityAffairs]
      Google is distributing more Meltdown and Spectre Patches for Chrome OS devices
    • [SecurityWeek]
      More Chrome OS Devices Receive Meltdown, Spectre Patches
  • Drupal
    • [ThreatPost]
      Drupal Forewarns ‘Highly Critical’ Bug to be Patched Next Week

 

Data Breaches/Info Leakages

Summaries

  • 휴가 예약 사이트인 Orbitz가 88만건의 신용카드 정보가 해커에 의해 도난당했을 수 있다고 경고했다. 성명문에 따르면, Orbiz는 지난 3월 1일 자신들의 구(legacy) 플랫폼 중 하나에서 침입의 흔적을 발견해 포렌식 팀을 요청했다고 밝혔다. Orbitz의 중앙 예약 시스템에 침입이 있었던 것으로 보이며, 이름, 지불 카드 정보, 생일, 전화번호, 이메일 주소, 실제 주소, 청구 주소, 고객의 성별 정보가 유출된 것으로 추정된다. (21일에서 이어짐)
  • 페이스북의 5천만 고객 데이터 유출에 대한 기사가 이어지고 있다. 도널드 트럼프의 대선 캠페인을 맡았던 업체가 5천만 사용자의 데이터를 수집했다는 발표 이후 페이스북 주가가 요동쳤다. 페이스북이 데이터 오용 리포트에 대한 대응으로 트럼프의 2016년 캠페인에 고용되었던 영국의 커뮤니케이션 기업 Cambridge Analytica의 계정을 정지시키면서 이에 대한 수사요청이 대서양 양측에서 일어났다. (20일에서 이어짐)

Detailed News List

  • Orbitz
    • [McAfee]
      Travel Agency Orbitz Hit with Data Breach, 880,000 Payment Cards Affected
    • [GrahamCluley]
      Travel site Orbitz warns data breach may have exposed 880,000 payment card details
    • [TripWire]
      Travel site Orbitz warns data breach may have exposed 880,000 payment card details
    • [NakedSecurity]
      880,000 payment cards affected in travel company data breach
  • Facebook
    • [Forbes]
      What Zuckerberg Should Have Said About Cambridge Analytica
    • [TechDirt]
      Wherein Facebook Loses Recess For Everyone
    • [NakedSecurity]
      New whistleblower says Facebook turned a blind eye to covert data harvesting
    • [Forbes]
      1.5B Accounts? Facebook’s Epic Free Data Giveaway Could Be The Largest Privacy Breach Ever
    • [ZDNet]
      Mozilla pulls Facebook advertising after Cambridge Analytica scandal
    • [NakedSecurity]
      Mozilla stops Facebook advertising, demands privacy changes
    • [InfoSecurityMagazine]
      Fresh Cambridge Analytica Revelations on Election Hacking, Facebook Faces FTC Investigation
    • [EHackingNews]
      Cambridge Analytica: More a spy and less an app
    • [Forbes]
      Facebook Is A Drug That’s Hell To Kick, Your Data For A Fix
    • [BankInfoSecurity]
      Yes, Mark Zuckerberg, You’ve Really Messed Up Another One
    • [TechDirt]
      Mark Zuckerberg Finally Speaks About Cambridge Analytica; It Won’t Be Enough
    • [EHackingNews]
      WhatsApp co-founder asks social users to delete their Facebook account
    • [HackerOnlineClub]
      Facebook CEO Mark Zuckerberg Admits It is “Breach of Trust” on Cambridge Analytica Scandal
    • [SecurityAffairs]
      Zuckerberg on Cambridge Analytica case: we made mistakes

 

Service Outage/Malfunction

Summaries

  • The Pirate Bay 토렌트 트래커가 다운되었다. 그러나 다크웹의 도메인은 운영중이다. The Pirate Bay 도메인이 전세계적으로 접속이 불가능한 상태다. The Pirate Bay는 UTC기준 20시 18분에 다운되었다. 그러나 아직까지 오프라인 상태에 대한 원인은 확실히 밝혀진 바 없다. 지난 4일간 두번째 발생한 다운타임이며, 아직 다크웹 도메인을 통한 접속은 가능한 상태다. 이전에는 미국에 위치한 다국적 인터넷 서비스 제공사인 Cogent Communications에서 Cloudflare의 새 IP주소를 차단하면서 접속장애가 발생한 바 있다. (22일에서 이어짐)

Detailed News List

  • The Pirate Bay
    • [HackRead]
      The Pirate Bay is Down Again for the 3rd Time in a Week

 

Crypto Currencies/Crypto Mining

Summaries

  • Cacti의 Network Weathermap 취약점을 사용해 유포되는 암호화폐 채굴기가 리눅스 서버를 노리고있다. 트렌드마이크로에 따르면 이전의 JenkinsMiner 악성코드를 사용했던 암호화폐 채굴 갬페인와 연관지을 수 있는 칩입시도가 모니터링 과정에서 탐지되었다. 차이점은 이번 캠페인에서는 리눅스 서버들을 공격 대상으로 한다. 전형적인 과거 취약점의 재사용 사례이기도 하다. 트렌드 마이크로는 이 캠페인이 일본, 대만, 중국, 미국, 인도에서 이루어지고 있다고 밝혔다. 이 캠페인에서는 시스템 관리자들이 네트워크 활동내역을 시각화하는데 사용하는 Cacti의 Network Weathermap 플러그인 취약점 CVE-2013-2618를 공격한다. (22일에서 이어짐)

Detailed News List

  • Crypto mining malware
    • [ZDNet]
      Cryptocurrency mining malware uses five-year old vulnerability to mine Monero on Linux servers

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • GitHub의 의존성 스캔을 통해 공개 리포지토리에서 4백만개의 보안 취약점이 발견되었다고 밝혔다. GitHub에서 자바스크립트 및 루비 라이브러리들의 오래된 취약점들에 대한 스캔을 통해 4백만개의 버그를 찾아냈다고 밝혔다. 스캐닝은 GitHub에 존재하는 공개 리포지토리들에서 Ruby용 RubyGems 및 JavaScript용 npm에 이미 취약하다고 알려진 라이브러리들을 자동으로 검사한다. 아직 Ruby와 JavaScript 외 모든 취약한 라이브러리들을 지원하진 않는다. GitHub에서는 올해 후반에는 Python 의존성에 대한 지원도 확대할 예정이라 밝혔다. 비공개 리포지토리에서는 보안 경고에 대한 선택(opt in)이 필요하다.

Detailed News List

  • GitHub
    • [ZDNet]
      GitHub: Our dependency scan has found four million security flaws in public repos

 

Posted in Security, Security NewsTagged Bug Bounty Program, Cryptocurrency Mining, Cyber Espionage, Information Leakage, Malware, OilRig, Outage, Patches, TeleRAT, Trickbot, VulnerabilityLeave a comment

Security Newsletters, 2018 Jan 29th, phpBB 감염된 패키지 다운로드 外

Posted on 2018-01-29 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 유명한 오픈소스 웹 포럼 어플리케이션인 phpBB의 다운로드 링크가 침해당해 몇시간 동안 감염된 버젼을 다운로드하게 만든 사고가 있었다. 신원이 알려지지 않은 해커가 변경한 다운로드 URL은 두개로, phpBB 3.2.2 full package와 phpBB 3.2.1 -> 3.2.2 자동 업데이터 URL이다. 이렇게 변경된 링크는 1월 26일 UTC 12:02 PM 부터 UTC 15:03 PM 까지 약 세 시간 동안 제공되었다. 이 시간동안 phpBB를 다운로드 받은 사용자는 감염된 파일을 다운로드 받았을 수 있다. 아직까지 해커가 어떻게 다운로드 URL을 변경했는지에 대해서는 알려지지 않았다.
  • 미국에서 ATM에 대한 잭팟팅(Jackpotting) 공격이 최초로 확인되었다. ATM에 악의적인 소프트웨어나 하드웨어를 설치해 현금을 인출할 수 있게 하는 잭팟팅(Jackpotting) 공격은 유럽과 아시아에서는 오랫동안 은행을 위협해온 공격이었다. 그간 미국에서는 목격되지 않았으나, 이번주에 미국에서도 이러한 공격이 확인되면서 Secret Service에서는 이 공격에 대해 금융기관들에게 경고하기 시작했다.
  • 구글 더블클릭(DoubleClick)을 악용해 암호화폐 채굴기를 유포하는 말버타이징(Malvertising) 캠페인이 확인되었다. 여기에는 CoinHive 스크립트 외에도, 사설 풀(pool)의 별도 웹 마이너도 사용되었다. 공격자들은 구글의 더블클릭을 악용(abused)한다. (27일에서 이어짐)
  • 이란 해커들이 새로운 백도어를 가지고 IIS 웹 서버들을 노리고 있다. OilRig으로 알려진 이란과 연관된 것으로 추정되는 사이버 스파이 그룹이 중동 정부 기관과 금융 및 교육기관들의 IIS 웹서버들을 공격하고 있다. RGDoor라고 명명된 이 악성코드는, 첫번째 악성코드가 탐지되어 삭제된 경우에 공격자가 침해당한 웹서버에 다시 접근할 수 있게 해주는 악성코드로 추정된다. (27일에서 이어짐)
  • 클라우드플레어 도메인(cloudflare.solutions)을 사용했던 키로거가 새로운 도메인으로 돌아왔다. Sucuri에서 cloudflare.solutions에 대한 정보를 공개한 뒤, 해당 도메인은 정지되었다. 공격자는 즉시 새로운 도메인들을 등록했다. cdjs.oneline, cdns.ws, msdns.online 등이다. (25일에서 이어짐)

Detailed News list

  • phpBB
    • [SecurityAffairs]
      Download URLs for two packages of the phpBB forum software were compromised
  • Jackpotting Attacks
    • [KrebsOnSecurity]
      First ‘Jackpotting’ Attacks Hit U.S. ATMs
  • OilRig RGDoor
    • [SecurityAffairs]
      Iran-linked APT OilRig target IIS Web Servers with new RGDoor Backdoor
  • Malvertising
    • [HackRead]
      Hackers are using YouTube Ads to Mine Monero Cryptocurrency
    • [SecurityAffairs]
      Trend Micro spotted a malvertising campaign abusing Google’s DoubleClick to deliver Coinhive Miner
  • KeyLogger
    • [SecurityAffairs]
      Attackers behind Cloudflare_solutions Keylogger are back, 2000 WordPress sites already infected

 

Vulnerability Patches/Software Updates

Summaries

  • 레노보(Lenovo)가 ThnkPad의 지문인식기에 영향을 미치는 하드코딩된 비밀번호 취약점을 수정했다. 이 취약점은 Windows7, 8, 8.1을 사용하는 십여대의 레노보 노트북 모델에 영향을 미친다. Lonovo의 Fingerprint Manager Pro 8.01.76과 이전버젼에서 저장되는 데이터에는 윈도우즈 로그온 인증정보 및 지문정보가 포함되어있다. 그러나 이 데이터가 취약한 알고리즘으로 암호화되며, 하드코딩된 비밀번호가 사용된다. 이 취약점은 CVE-2017-3762다. (27일에서 이어짐)

Detailed News List

  • Lenovo Fingerprint Manager Pro
    • [SecurityAffairs]
      Hurry up, update your Lenovo Fingerprint Manager Pro if you use Windows 7, 8 and 8.1

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 피싱 사기로 9십만 달러가 도둑맞았다. 2017년 9월 21일에 시작된 이 사기 사건은, 텍사스의 Harris County의 약 30%가 허리케인 하비(Harvey)에 의해 물에 잠겼을 때 시작되었다. 카운티 auditor 사무실은 D&W Contractors, Inc의 회계사 Fiona Chambers라고 하는 여성으로부터의 이메일을 받았다. D&W Contractors, Inc는 카운티의 허리케인 피해 복구 업무를 진행할 회사였고, 이메일에서 Chambers는 카운티 오피스에 총액 88만8천달러를 계약에 따라 은행계좌로 입금해 달라는 요청을 했다. Chambers가 제공한 해당 은행계좌가 실제 D&W Contractors, Inc의 계좌인지 확인하지 않고 카운티 사무실은 88만8천 달러를 계좌이체 했다. 바로 다음날, 카운티 사무실은 D&W Contractors에는 Fiona Chambers라는 직원이 존재하지 않으며, 은행 계좌도 이 회사의 것이 아니며 피싱 사기에 당했다는 것을 확인했다.

Detailed News List

  • Phishing Scam
    • [HackRead]
      Phishing Scam: Hackers Steal $900,000 from County Office

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • 아기들의 사회보장번호(SSN)가 세금 사기를 위해 다크웹에서 판매되고 있다. Terbium Labs의 최근 연구 결과에 따르면, 아기들의 사회보장번호(Social Security Numbers)와 다른 개인 식별 정보(Personal Identifiable Information, PII), 생일, 어머니의 처녀 이름 정보가 다크웹에서 거래되고 있다. (26일에서 이어짐)

Detailed News List

  • Infant fullz
    • [SecurityAffairs]
      Cybercriminals are offering for sale infant fullz on the dark web

 

Crypto Currencies/Crypto Mining

Summaries

  • 일본 기반의 암호화폐 교환소인 CoinCheck이 해킹당해 5억 3400만 달러 가량을 도둑맞았다. 거대 암호화폐 거래소중 하나인 Coincheck이 해킹당해 NEM 토큰 5억3400만 달러 가량을 도둑맞았다. 도쿄에 위치한 거래소인 Coincheck은 암호화폐 비즈니스 역사상 가장 큰 규모인 것으로 추정되는 해킹을 당했음을 시인했다. 기자회견에서 Coincheck 회장 Koichi Wada는 고객들에게 사과하며 당국이 사고에 한 조사를 진행중에 있다고 밝혔다. (27일에서 이어짐)

Detailed News List

  • Coincheck
    • [SecurityAffairs]
      Japan-based digital exchange Coincheck to refund to customers after cyberheist
    • [SecurityWeek]
      Japan’s Crypto Exchange to Refund to Customers After Theft
    • [EHackingNews]
      Japan cryptocurrency exchange lost $532 million to hackers

 

Posted in Security, Security NewsTagged Crypto Currency, Cryptocurrency Exchanges, Cyber Espionage, Dark Web, Jackpotting Attacks, Keylogger, Malvertising, OilRig, Patches, Phishing, RGDoorLeave a comment

Security Newsletters, 2018 Jan 27th, 네덜란드AVID, Cozy Bear 해킹 外

Posted on 2018-01-27 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 네덜란드 AIVD(General Intelligence and Security Service of the Netherlands)에서 2016년의 미국 민주당 전국 위원회(DNC, Democratic National Committee)에 대한 해킹사건에 대한 정보를 미 첩보 당국에게 제공했다. 네덜란드 뉴스에 따르면, AIVD의 요원들이 APT29 혹은 Cozy Bear라 알려진 러시아의 해킹그룹이 사용하는 모스코바의 붉은 광장에 있는 대학 건물의 네트워크에 2014년 여름 침입했다. AIVD는 네트워크에 완벽히 침투해 건물내의 CCTV까지 확인할 수 있었으며, 네트워크를 사용하는 Cozy Bear의 해커들도 확인할 수 있었다.
  • 러시아와 연관된 것으로 추정되는 해킹그룹 FancyBear가 이번에는 국제 루지 연맹(International Luge Federation)으로부터 데이터를 유출했다.
  • 구글 더블클릭(DoubleClick)을 악용해 암호화폐 채굴기를 유포하는 말버타이징(Malvertising) 캠페인이 확인되었다. 여기에는 CoinHive 스크립트 외에도, 사설 풀(pool)의 별도 웹 마이너도 사용되었다. 공격자들은 구글의 더블클릭을 악용(abused)한다.
  • 팔로알토네트웍스의 Unit 42에서 Google+, Pastebin, bit.ly 서비스들을 이용하는 공격을 탐지했다. 이 공격에서 공격자들은 최근의 팔레스타인 지역의 사건들에 관한 아랍어 문서를 미끼로 사용해 피해자들이 해당 문서를 열람하고 악성코드에 감염되도록 유도하고 있다.
  • 이란 해커들이 새로운 백도어를 가지고 IIS 웹 서버들을 노리고 있다. OilRig으로 알려진 이란과 연관된 것으로 추정되는 사이버 스파이 그룹이 중동 정부 기관과 금융 및 교육기관들의 IIS 웹서버들을 공격하고 있다. RGDoor라고 명명된 이 악성코드는, 첫번째 악성코드가 탐지되어 삭제된 경우에 공격자가 침해당한 웹서버에 다시 접근할 수 있게 해주는 악성코드로 추정된다.
  • 클라우드플레어 도메인(cloudflare.solutions)을 사용했던 키로거가 새로운 도메인으로 돌아왔다. Sucuri에서 cloudflare.solutions에 대한 정보를 공개한 뒤, 해당 도메인은 정지되었다. 공격자는 즉시 새로운 도메인들을 등록했다. cdjs.oneline, cdns.ws, msdns.online 등이다. (25일에서 이어짐)

Detailed News list

  • Dutch Intel
    • [DarkReading]
      Dutch Intel Agency Reportedly Helped US Attribute DNC Hack to Russia
    • [GrahamCluley]
      How Dutch intelligence spied on the Russian hackers attacking the DNC
    • [NakedSecurity]
      Spy vs. Spy – “Cozy Bear” election hackers undone by hackable security camera
    • [ZDNet]
      Dutch spies tipped off NSA that Russia was hacking the Democrats, new reports claim
    • [SecurityWeek]
      Dutch Spies Watched as Russians Hacked US Democrats: Report
    • [SecurityAffairs]
      The Dutch intelligence service AIVD ‘hacked’ Russian Cozy Bear systems for years
  • FancyBear
    • [EHackingNews]
      Russia-linked hackers Fancy Bears leak data from International Luge Federation
  • Malvertising Campaign abuses Google’s DoubleClick
    • [TrendMicro]
      Malvertising Campaign Abuses Google’s DoubleClick to Deliver Cryptocurrency Miners
    • [TheRegister]
      Crypto-jackers slip Coinhive mining code into YouTube site ads
  • TopHat Campaign
    • [PaloAltoNetworks]
      The TopHat Campaign: Attacks Within The Middle East Region Using Popular Third-Party Services
  • Iranian Hackers
    • [SecurityWeek]
      Iranian Hackers Target IIS Web Servers With New Backdoor
  • Keylogger Campaign
    • [ThreatPost]
      Keylogger Campaign Returns, Infecting 2,000 WordPress Sites
    • [GrahamCluley]
      Keylogger found on thousands of WordPress-based sites, stealing every keypress as you type

 

Malwares

Summaries

  • 최근 ESET의 조사결과에서 유명한 Dridex 뱅킹 트로이가 또다른 악성코드 종과 관련이 있음이 밝혀졌다. BitPaymer나 FriedEx로 알려진 정교하게 작성된 랜섬웨어다. Dridex 뱅킹 트로이는 2014년 처음에는 비교적 간단한 봇으로 등장했다. 그러나 제작자가 이 봇을 가장 정교한 뱅킹 트로이중 하나로 바꾸는데는 얼마 걸리지 않았다. 처음에는 BitPaymer라 명명된 FriedEx는 2017년 7월초에 탐지되었다. 그리고 8월에 스코틀랜드의 NHS 병원을 감염시키면서 유명해졌다.
  • CrossRAT이 윈도우즈, 맥OS, 리눅스 시스템을 노리고 있다. 전세계적인 해킹 캠페인을 Dark Caracal이라는 해킹 그룹이 모바일 기기를 사용해 벌이고 있다는 기사는 이미 공개된 바 있으나, 이번에는 CrossRAT이라는 윈도우즈, 맥OS, 리눅스를 대상으로 하는 악성코드에 대한 기사다. CrossRAT은 다중 플랫폼 트로이로, 유명한 네개의 운영체제(윈도우즈, 맥OS, 솔라리스, 리눅스)를 공격 대상으로 삼는다. 원격의 공격자가 파일 시스템을 조작하거나, 스크린샷을 찍고 임의의 파일을 실행하고, 감염된 시스템에 대한 지속적인 접근권한을 획득할 수 있다. (26일에서 이어짐)

Detailed News List

  • FriedEx
    • [WeLiveSecurity]
      FriedEx: BitPaymer ransomware the work of Dridex authors
  • CrossRAT
    • [SecurityAffairs]
      Stealth CrossRAT malware targets Windows, MacOS, and Linux systems

 

Vulnerability Patches/Software Updates

Summaries

  • 오라클이 버츄얼박스(VirtualBox)의 10개 가상머신 탈출취약점을 수정했다.
  • 레노보(Lenovo)가 ThnkPad의 지문인식기에 영향을 미치는 하드코딩된 비밀번호 취약점을 수정했다. 이 취약점은 Windows7, 8, 8.1을 사용하는 십여대의 레노보 노트북 모델에 영향을 미친다. Lonovo의 Fingerprint Manager Pro 8.01.76과 이전버젼에서 저장되는 데이터에는 윈도우즈 로그온 인증정보 및 지문정보가 포함되어있다. 그러나 이 데이터가 취약한 알고리즘으로 암호화되며, 하드코딩된 비밀번호가 사용된다. 이 취약점은 CVE-2017-3762다.

Detailed News List

  • Oracle VirtualBox
    • [CyberScoop]
      Oracle issues patches for 10 ‘virtual machine escape’ flaws in VirtualBox
  •  Lenovo
    • [ThreatPost]
      Lenovo Fixes Hardcoded Password Flaw Impacting ThinkPad Fingerprint Scanners
    • [TheRegister]
      Lenovo’s craptastic fingerprint scanner has a hardcoded password

 

Crypto Currencies/Crypto Mining

Summaries

  • 일본 기반의 암호화폐 교환소인 CoinCheck이 해킹당해 5억 3400만 달러 가량을 도둑맞았다. 거대 암호화폐 거래소중 하나인 Coincheck이 해킹당해 NEM 토큰 5억3400만 달러 가량을 도둑맞았다. 도쿄에 위치한 거래소인 Coincheck은 암호화폐 비즈니스 역사상 가장 큰 규모인 것으로 추정되는 해킹을 당했음을 시인했다. 기자회견에서 Coincheck 회장 Koichi Wada는 고객들에게 사과하며 당국이 사고에 한 조사를 진행중에 있다고 밝혔다.
  • 모네로(Monero) 암호화폐를 채굴하기 위한 대규모의 움직임이 4개월 이상 지속되어 온 것을 팔로알토네트웍스(Palo Alto Networks)의 Unit 42에서 탐지했다. 이 작전은 오픈소스 XMRig 유틸리티를 사용해 모네로를 채굴한다. Unit42에서 예측한 바에 따르면, 이 작전에 영향을 받은 사람은 전 세계 약 1500만명에 달할 것으로 보인다. (25일에서 이어짐)

Detailed News List

  • Coincheck
    • [HackRead]
      Coincheck cryptocurrency exchange hacked; $534 Million stolen
    • [SecurityAffairs]
      Cryptocurrencies Black Friday – Japan-based digital exchange Coincheck hacked
    • [TheHackerNews]
      Someone Stole Almost Half a BILLION Dollars from Japanese Cryptocurrency Exchange
    • [CyberScoop]
      Thieves steal at least $533 million in largest cryptocurrency heist ever
    • [SecurityWeek]
      Cryptocurrencies Fall After Hack Hits Japan’s Coincheck
  • Monero Mining Operation
    • [SecurityAffairs]
      Monero Crypto-Currency Mining Operation impacted 30 Million users

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 세계 최대의 해운기업인 Maersk가 NotPetya 악성코드 감염으로 2017년에 심각한 피해를 본 것은 익히 잘 알려져 있다. 이번주 세계 경제 포럼에서 Maersk의 Jim Hagemann Snabe은 랜섬웨어 피해에 대해 자세히 설명했다. 그는 4,000대의 서버, 45,000대의 새로운 PC, 2,500개의 어플리케이션을 재설치했다고 설명했다. 그리고 이러한 작업이 열흘간의 엄청난 노력끝에 마무리될 수 있었다고 말했다. (26일에서 이어짐)

Detailed News List

  • Maersk
    • [HackRead]
      NotPetya attack: Maersk reinstalled 45,000 PCs, 2,500 apps & 4,000 servers
    • [ZDNet]
      NonPetya ransomware forced Maersk to reinstall 4000 servers, 45000 PCs
    • [SecurityWeek]
      Maersk Reinstalled 50,000 Computers After NotPetya Attack

 

Posted in Security, Security NewsTagged APT29, Cozy Bear, CrossRAT, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, Cyber Espionage, Dridex, Fancy Bear, FriedEx, Malware, OilRig, Patches, VulnerabilityLeave a comment

Security Newsletters, 2017 Dec 12th, 머니테이커 그룹 미 은행 절도 外

Posted on 2017-12-12 - 2017-12-12 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 머니테이커(MoneyTaker) 해킹그룹이 미 은행들로부터 수백만 달러를 훔친 것으로 드러났다. Group-IB에 따르면, 이 해킹그룹이 라틴 아메리카의 은행들을 다음 공격 대상으로 노리고 있다. 러시아어를 사용하는 해킹그룹인 MoneyTaker가 미국내 20개 이상의 은행들에서 2016년 5월 부터 수백만 달러를 훔쳤으며, 라틴 아메키라의 금융 기관들에 대한 공격태세를 취하고 있다고 모스크바 기반의 Group-IB가 경고했다. 이들에 따르면, MoneyTaker라 불리는 이 해킹그룹의 작업방식(modus operandi)은 공격대상 은행의 네트워크로 침입해 들어가 ATM 인출 사기(fraudulent ATM withdrawals)를 위해 카드 처리 시스템(card processing systems)을 조작한다. 이 해킹그룹의 피해기관에는 캘리포니아, 일리노이, 플로리다를 포함한 10개 주의 은행들이다. 이 은행들은 이 공격들로 평균 50만 달러의 피해를 입었다.
  • OilRig 해킹 그룹이 TwoFace 웹쉘(WebShell)을 테스트하고 있다. 팔로알토네트웍스(PaloAltoNetworks)의 보고서에 따르면, 팔로알토네트웍스의 Unit42에서 OilRig 그룹의 이러한 테스트 활동을 처음 탐지한 것은 2017년 4월이다. 2017년 11월 15일에 Unit42는 OilRig 개발자가 TwoFace 웹쉘을 테스트하는 것을 탐지했다. 이 테스트 활동은 2017년 11월 15일 8:51 AM (UTC)에 시작되어 9:07 AM (UTC)에 끝났다. 약 16분의 테스트에서, 개발자는 22종의 TwoFace 로더(loader) 스크립트를 만들어냈다. TwoFace의 구성은 두 부분으로 나뉘어 있는데, 그 첫번째인 로더(loader) 스크립트는 요청 데이터에서 복호화키를 입력받아, 내장된 웹쉘을 복호화하고 웹서버에 복호화된 웹쉘을 저장한다.

Detailed News list

  • MoneyTaker Group
    • [DarkReading]
      Russian-Speaking ‘MoneyTaker’ Group Helps Itself to Millions from US Banks
    • [SecurityWeek]
      ‘MoneyTaker’ Hackers Stole Millions from Banks: Report
    • [TheRegister]
      New Ruski hacker clan exposed: They’re called MoneyTaker, and they’re gonna take your money
    • [TheHackerNews]
      Newly Uncovered ‘MoneyTaker’ Hacker Group Stole Millions from U.S. & Russian Banks
    • [HelpNetSecurity]
      MoneyTaker’s stealthy hacking spree spread from US to Russia
    • [SecurityAffairs]
      MoneyTaker group: Group-IB uncovered a cyber gang attacking banks in the USA and Russia
  • OilRig
    • [PaloAltoNetworks]
      OilRig Performs Tests on the TwoFace Webshell

 

Malwares

Summaries

  • Necurs 봇넷(botnet)이 다시 상위 10위 목록안에 들었다. 체크포인트(Check Point)의 최근 리포트에 따르면, Necurs 봇넷이 미국의 추수감사절(Thanksgiving holiday) 이후로 사이버범죄자들이 새로운 랜섬웨어를 배포하는데 사용하면서 그 세력이 증가했다. 추수감사절을 지나면서, 해커들이 세계에서 가장 큰 스팸 봇넷으로 추정되는 Necurs를 새로운 Scarab 랜섬웨어를 배포하는데 사용하는 것이 확인되었다. Necurs 봇넷은 이 휴일 아침에만 1,200만 건의 이메일을 보내면서 Scarab 랜섬웨어의 대량 살포를 시작했다.
  • 폴란드의 은행을 노리는 안드로이드 악성코드가 또 구글 플레이(Google Play)에서 발견되었다. 이 악성코드들은 구글 플레이에 “Crypto Monitor”와 같은 암호화폐 가격을 추척해주는 앱이나, “StorySaver”라는 인스타그램 내용을 다운로드 해주는 정상적인 앱으로 위장하여 등록되었다. 이 악성 앱들은 가짜 알림(fake notifications)을 화면에 표시할 수 있고, 정상 은행 어플리케이션에로 온 것으로 보이는 로그인 폼을 보여줄 수 있다. 악성 앱들은 이 폼에 입력된 인증정보를 수집하고, SMS기반의 2팩터 인증(2-factor authentication)을 우회하기 위해 문자메시지도 가로챈다.

Detailed News List

  • Necurs Botnet’s Returned
    • [InfoSecurityMagazine]
      Necurs Botnet Returns to Top 10 Malware List
  • Banking Malware on Google Play
    • [WeLiveSecurity]
      Banking malware on Google Play targets Polish banks

 

Exploits/Vulnerabilities

Summaries

  • 두개의 출입문 잠금장치(keyless entry product)에서 취약점이 발견되었다. 델 시큐어웍스(Dell Secureworks)의 보안연구가들이 두가지 출입문 잠금장치 제품이 공격자에 의해 잠금 또는 잠금 해제 될 수 있고, 영향을 받는 장치에 인증되지 않은(unauthenticated) 요청을 보내 RFID 뱃지(badges)를 만들어낼 수 있는 취약점이 있다고 경고했다. 영향을 받는 제품은 EN-1DBC, EN2DBC에 사용되는 AMAG Technology의 Symmetry IP-based access door controllers다. 보안연구가들은 만약 이 장치가 기본 설정으로 설치되어 있는 경우, 공격자가 시리얼 통신으로 컨트롤러에 인증되지(unauthenticated) 않은 요청을 보내 시스템을 공격할 수 있다.
  • 유명 프로그래밍 언어들에 존재하는 취약점이 공개되었다. 지난 주 IOActive의 Fernando Arnaboldi가 블랙햇 유럽(Black Hat Europe) 2017 보안 컨퍼런스에서 유명 프로그래밍 언어 인터프리터(interpreter)에 대한 흥미로운 연구 결과를 발표했다. Arnaboldi는 유명한 프로그래밍 언어들(JavaScript, Perl, PHP, Python, Ruby)을 퍼징(Fuzzing) 방식을 통해 분석했다. 이 연구의 배경이 되는 아이디어는 안전하게 개발된 어플리케이션들이 공격자가 프로그래밍 언어 기저에 존재하는(underlying) 확인되지 않은(unidentified) 취약점을 건드리는 공격에 의해 영향받을 수 있을지 모른다는 것이었다. Arnaboldi는 침각한 취약점들을 퍼징을 통해 분석한 모든 프로그래밍 언어들에서 찾아냈는데, 그 취약점들은 다음과 같다. 파이썬(Python)은 문서화되지 않은 메서드를 가지고 있고, 운영체제 명령을 실행하는데 사용되는 환경변수들이 있다. 펄(Perl)은 eval과 같은 코드를 실행시킬 수 있는 typemaps를 가지고 있다. NodeJS는 파일 내용을 노출시킬 수 있는 에러메시지를 출력한다. JRuby는 원격코드실행(remote code execution)용으로 설계되지 않은 함수에서 원격 코드를 로드 및 실행한다. PHP 상수(constants) 의 이름은 원격 코드 실행에 이용될 수 있다. (11일에서 이어짐)
  • HP 노트북의 키보드 드라이버에서 키로거(Keylogger)로 쓰일 수 있는 컴포넌트가 발견되었다. HP의 수백개의 노트북 모델이 공격자가 키로거 컴포넌트로 악용할 수 있는 디버깅 코드를 포함하고 있는 것으로 드러났다. 이 코드는 ZwClose라는 보안연구가에 의해 온라인 상에 공개되었다. HP에서는 영향을 받는 모델과 보안 패치를 공개했다. 영향을 받는 노트북은 475개 모델이다. HP는 Synaptics Touchpad 드라이버의 일부인 SynTP.sys 파일에 존재하는 디버깅 코드를 제거하기 위한 보안 업데이트를 릴리즈 했다. (10일에서 이어짐)
  • 이번주 구글이 공격자가 대상 앱의 서명 검증 인증서(signature verification certificates)에 영향을 미치지 않으면서도 앱에 악의적인 코드를 주입할 수 있는 취약점을 수정했다. 이 방법은 공격자가 신뢰하는 제작사에서 만든 것처럼 보이는 서명된 어플리케이션을 사용해 장비의 악성코드방지 기능을 우회하고 권한을 상승시킬 수 있는 취약점이다. 이 취약점은 야누스(Janus)라고 이름이 붙었으며, GuardSqure의 CTO인 Eric Lafortune에 의해 발견되었다. 이 취약점은 7월에 CVE-2017-13156 번호가 부여되었다. 구글은 이 취약점을 12월자 안드로이드 보안 패치의 일부로 수정했다. (9일에서 이어짐)
  • 30개 이상의 유명 이메일 클라이언트에 영향을 미치는 Email 스푸핑 취약점이 발견되었다. 다른 사람이 보낸 메일인 것처럼 위장할 수 있는 취약점이 발견되었다. MailSploit이라는 이름이 붙은 이 취약점은 Apple Mail(macOS, iOS, watchOS), Mozilla Thunderbird, Microsoft email clients, Yahoo Mail, ProtonMail 및 기타 메일클라이언트들에 영향을 미친다. 이 클라이언트들에 DKIM이나 DMARC와 같은 스푸핑 방지 메커니즘이 구현되어 있지만, MailSploit은 이메일 클라이언트와 웹 인터페이스가 From 헤더를 파싱하는 것을 이용한다. (6일에서 이어짐)

Detailed News List

  • Vulnerability in Entry Locks
    • [ThreatPost]
      Vulnerability Found in Two Keyless Entry Locks
  • Flaws in programming languages
    • [ZDNet]
      These five programming languages have flaws that expose apps to attack
    • [TheRegister]
      Language bugs infest downstream software, fuzzer finds
  • HP Notebook Keylogger
    • [NakedSecurity]
      HP leaves accidental keylogger in laptop keyboard driver
    • [ThreatPost]
      Leftover Debugger Doubles as a Keylogger on Hundreds of HP Laptop Models
    • [GrahamCluley]
      HP’s second laptop keylogger in less than a year
    • [HelpNetSecurity]
      Keylogger found in Synaptics driver on HP laptops
    • [ZDNet]
      Keylogger uncovered on hundreds of HP PCs
    • [SecurityWeek]
      Dormant Keylogger Functionality Found in HP Laptops
    • [TheRegister]
      Leftover Synaptics debugger puts a keylogger on laptops
  • Android Janus vulnerability
    • [InfoSecurityMagazine]
      Janus Vulnerability Allows Android App Takeover
    • [SecurityWeek]
      Vulnerability Allows Modification of Signed Android Apps
    • [HelpNetSecurity]
      Android vulnerability allows attackers to modify apps without affecting their signatures
  • MailSploit
    • [NakedSecurity]
      Mailsploit: using emails to attack mail software

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 독일 첩보기관 BfV가 중국의 LinkedIn 스파이 행위(espionage)에 대해 경고했다. 독일의 첩보기관에 따르면, 중국이 링크드인(LinkedIn)에서 최소 만명의 사람들을 대상으로 스파이 행위를 벌이고 있다. 중국은 가짜 LinkedIn 계정을 만들어 독일 공무원 및 정치인들의 정보를 모으고 있다고 독일 첩보기관인 BfV가 말했다. 중국 첩보기관이 링크드인을 사용해 최소 만명의 독일인들을 노리고 있으며, 이들을 정보원(informants)으로 사용하려 할 수 있다고 주장했다. 그리고 이들은 이러한 목적으로 사용된 일부 가짜 프로필들을 공개했다.
  • 러시아의 사이버보안 기업인 카스퍼스키랩(Kaspersky Lab)이 스캔들로 힘든 시기를 보낸 끝에 결국 워싱턴DC(Washington DC)의 사무실 문을 닫는다. D.C.의 사무실은 카스퍼스키와 미 정부와의 관계를 구축하는 일과 카스퍼스키의 소프트웨어를 연방정부와의 계약에 제공하는 일에 특화되어 있었다. 그러나 공공 업무가 어려울 것으로 판단됨에 따라, 카스퍼스키는 나머지 비정부(non-governmental) 사업을 위해 내년에 시카고(Chicago)와 로스엔젤레스(Los Angeles)에 사무실을 열 계획이다.

Detailed News List

  • fake Chinese LinkedIn profiles
    • [CSOOnline]
      Espionage: Germany unmasks fake Chinese LinkedIn profiles
    • [BBC]
      German Spy Agency Warns Of Chinese LinkedIn Espionage
  • Kaspersky is closing Washington DC office
    • [EHackingNews]
      Kaspersky Lab is closing its Washington DC office

 

Data Breaches/Info Leakages

Summaries

  • 마이크로소프트(Microsoft)가 실수로 Dynamic 365의 TLS 인증서(certificate) 및 개인키(Private key)를 sandbox 환경에서 약 100여일간 MiTM 공격에 노출시킨 것이 확인되었다. 소프트웨어 개발자인 Matthias Gliwka는 클라우드 버젼의 Microsoft ERP 시스템을 사용하는 과정에서 문제점을 발견했다. 마이크로소프트는 ERP 제품을 작년부터 제공하기 시작했다. SaaS 솔루션은 Azure에서 호스팅되며, 제어판(Life Cycle Services)을 통해 접근할 수 있다. Gliwka에 따르면 TLS 인증서가 Dynamics 365 샌드박스 환경(sandbox environments)에  노출되어 있었다. Gliwka는 8월 17일에 이 문제를 제보했고, 마이크로소프트는 이 문제를 12월 5일에 해결했다.

Detailed News List

  • Dynamics 365 sandbox leaked TLS certificates
    • [SecurityAffairs]
      Microsoft accidentally exposed Dynamics 365 TLS certificates exposing sandbox environments to MiTM attacks
    • [SecurityWeek]
      Microsoft Says ERP Product Private Key Leak Posed Little Risk
    • [TheRegister]
      Dynamics 365 sandbox leaked TLS certificates

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 호주 퍼스(Perth)의 공항이 베트남 해커에 의해 해킹당해 보안 데이터가 도난당했다. 31세의 베트남 해커 Le Duc Hoang Hai가 Perth 공항의 컴퓨터 시스템에 침입해, 건물과 보안 인프라에 관련된 고도의 민감정보를 훔쳤다. 이 사건은 2016년 3월에 Hai가 공항 시스템에 접근할 수 있는 제3 하청업체(third-party contractor)의 로그인 인증정보(Login credentials)를 취득하며 일어났다. West Australian 리포트에 따르면, Hai는 건물 구조 및 공항 건물의 물리 보안 상세정보가 포함된 대량의 데이터를 훔쳤다. 그러나 이 해커는 공항의 레이더 시스템에는 접근할 수 없었고 항공기 운영도 영향을 받지 않았다. 호주 및 베트남 당국은 합동 수사를 진행하여 해커를 체포했다. Hai는 은행, 온라인 군사 뉴스, 금융 영역을 포함하는 베트남의 주요 사회기반시설(critical cyber infrastructure) 또한 공격대상으로 삼은 것으로 드러났다. Hai는 Perth 공항의 네트워크에 대한 해킹과 데이터 절도로 4년의 징역형에 처해졌다.

Detailed News List

  • Perth Airport got Hacked
    • [HackRead]
      Vietnamese man hacked Australian airport computers; stole security data
    • [SecurityAffairs]
      Vietnamese hacker stole security details and building plans from an Australian airport
    • [TripWire]
      Criminal Stole “a Significant Amount of Data” in Airport Hacking Attack
    • [EHackingNews]
      Security breach encountered in Perth international airport

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • 다크웹에서 14억개의 평문 인증정보(credentials)를 담고있는 파일이 발견되었다. 최근 다크웹을 모니터링하는 4iQ에서 41기가바이트의 거대한 파일을 발견했다. 이 파일은 14억개의 로그인 인증정보를 담고 있는데, 그 내용은 이메일과 비밀번호가 평문(cleartext)으로 기록되어있다. 연구자들은 이 파일이 지금까지 다크 웹에서 발견된 것들 중 가장 큰 종합 데이터베이스라 보고있다. 4iQ의 블로그 포스트에서 밝힌 바에 따르면, 이 덤프는 이전의 252개의 침해사고를 하나로 모은 것으로 보인다. 이 파일은 다크웹에서 2017년 12월 5일에 발견되었고, 총 데이터 량은 1,400,553,869개의 사용자이름, 이메일, 평문 비밀번호다.
  • 안드로이드 랜섬웨어 킷(Android Ransomware Kits)이 다크넷에서 붐이 일고 있다. 이번해에 지금까지 5,000개 이상의 안드로이드 랜섬웨어 킷이 존재하는 것이 확인되었으며, 평균 가격은 $200이다. 대다수의 랜섬웨어 키트는 여전히 윈도우즈 시스템을 대상으로 하고있다. 그러나 새로나온 리포트에 따르면, 안드로이드 랜섬웨어 키트가 비싼 값에 거래되고 있으며, 그 판매량과 가격이 증가할 것으로 예상된다. 안드로이드 랜섬웨어 키트는 윈도우즈 랜섬웨어 키트가 평균 $10라는 가격에 판매되는 것에 비해 평균 $200라는 20배 높은 가격으로 판매되고 있다고 카본블랙(Carbon Black)이 발표했다. 이 랜섬웨어 키트의 가격은 $250에서 $850선이다. (8일에서 이어짐)

Detailed News List

  • 1,400,000,000 Clear Text Credentials File
    • [TheRegister]
      Archive of 1.4 BEEELION credentials in clear text found in dark web archive
    • [SecurityWeek]
      Database of 1.4 Billion Credentials Found on Dark Web
  • Android Ransomware Kit
    • [SecurityAffairs]
      Dark Web – The median price range for Android ransomware kits hits $200

 

Crypto Currencies/Crypto Mining

Summaries

  • 매장내(In-store) 와이파이인터넷 업체(Provider)가 스타벅스 웹사이트를 이용해 모네로(Monero) 암호화폐 코인을 채굴하려 했다는 주장이 나왔다. 12월 2일에 트위터 사용자 Noah Dinkin은 거대 커피체인인 스타벅스의 아르헨티나 리워드 사이트가 모네로(Monero) 암호화폐를 채굴하기 위한 코인하이브(CoinHive) 스크립트를 사용하는 것을 공개했다. Dinkin은 이 사건의 배후에 있는 범인이 스타벅스의 매장내 WiFi 제공업체일 수 있다고 말했다. 그러나, 지난 몇 달 동안 사이버 범죄자들은 웹사이트들을 해킹해 몰래 코인하이브의 스크립트들을 삽입해왔다. 며칠 전에는 보안연구가들이 5,000개 이상의 사이트들이 코인하이브 코드를 삽입하는 해킹을 당했다는 사실을 밝혀내기도 했다.
  • 2017년 5월, 불가리아 당국은 국제 배송과 관련하여 세관의 세금 부과를 피하려 한 혐의로 23명을 체포했다. 이 체포는 PRATKA/VIRUS라 알려진, 세관의 컴퓨터 네트워크에 악성코드를 심은 사건에 대한 수사로 이어졌고 부동산 및 차량에 대한 수색이 이루어졌고 컴퓨터와 스마트폰이 압수되고 금융 기록에 대한 조사가 이루어졌다. 남동 유럽 법 집행 센터(Southeast European Law Enforcement Center, SELEC)의 리포트에 따르면, 일반적인 이러한 증거물에 더해, 불가리아 당국이 213,519 비트코인을 수사과정에서 맞딱뜨린 것으로 알려졌다. 당시 이 비트코인의 가격은 1코인에 2,354달러 였고, 전체 5억 달러 규모다.

Detailed News List

  • Monero Coins Generator on Starbucks Website
    • [HackRead]
      In-Store WiFi Provider Used Starbucks Website to Generate Monero Coins
  • Bulgaria’s seized Bitcon
    • [GrahamCluley]
      Is Bulgaria sitting on $3.5 BILLION worth of Bitcoin seized from criminals?

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 미 국립 표준 기술 연구소(NIST, National Institute of Standard and Technology)가 NIST 사이버보안 프레임워크(Cybersecurity Framework)의 두 번째 초안(Draft)을 공개했다. 12월 5일 NIST는 주요 사회 기반시설 사이버보안(Critical Infrastructure Cybersecurity)에 대한 내용이 개선된 사이버보안 프레임워크 버젼 1.1의 두 번째 초안을 발표했다. 그리고 두 번째 수정 작업은 사이버 보안 프레임워크를 명확하게 하고, 정제하고, 향상시키는 것과, 프레임워크 자체의 가치를 증폭시키고, 이 프레임워크의 적용이 쉽게 만드는 것을 목표로 한다고 밝혔다. 새로운 수정판은 2017년 1월에 있었던 공개 검토 절차와 2017년 5월의 워크샵 까지 접수된 의견을 포함해 반영된 내용이라 밝혔다. NIST 사이버보안 프레임워크는 2014년에 처음 발행되었고, 특히 주요 산업기반시설 분야(critical infrastructure sector)의 기관들의 사이버보안 리스크 관리를 돕는 것을 목적으로 한다. (11일에서 이어짐)

Detailed News List

  • NIST Cybersecurity Framework
    • [CyberScoop]
      NIST’s Proposed Revisions to CybersecurityFramework Refine Risk-Management, Self-Assessment
    • [HealthITSecurity]
      Revised NIST Infrastructure CybersecurityFramework Released

 

Posted in Security, Security NewsTagged Android Janus, Android Ransomware Kits, Banking Malware, Crypto Currency, Cryptocurrency Mining, Cyber Espionage, Data Breach, Drive-by Cryptocurrency Mining, Information Leakage, Infrastructure, Keylogger, MailSploit, Malware, MoneyTaker, Necurs Botnet, NIST Cybersecurity Framework, OilRig, Private Key Leakage, Scarab Ransomware, TwoFace WebShell, VulnerabilityLeave a comment

글 내비게이션

이전 글

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org

Biohacking

  • Nootropics Reddit
  • A Beginner's Guide to Nootropics
  • Psychonaut WIKI
  • Supplements Reddit
  • StackAdvice Reddit
Proudly powered by WordPress | Theme: micro, developed by DevriX.