Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] Olympic Destroyer

Security Newsletters, 2018 Mar 10th, Mikrotik 해킹 및 슬링샷 악성코드 外

Posted on 2018-03-10 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 카스퍼스키랩의 연구원들에 의해 복잡하고도 뛰어난 해킹 기법을 통해 최소 지난 2012년 이래로 비밀리에 해킹을 지속해온 APT 그룹이 드러났다. 이 해킹 그룹은 슬링샷(Slingshot)이라 명명된 고도화된 악성코드를 사용해 중동 및 아프리카의 라우터 해킹을 통해 수많은 피해자들을 감염시켰다. 카스퍼스키랩이 공개한 25페이지 분량의 보고서에 따르면, 이 그룹은 라트비아의 네트워크 하드웨어 제작사인 미크로틱(Mikrotik) 라우터의 알려지지 않은 취약점을 공격해 감염벡터의 첫번째 단계로 시용했으며, 이를 이용해 피해대상의 컴퓨터에 비밀리에 스파이웨어를 심었다.
  • 최근 패치된 Adobe Flash의 제로데이 취약점이 터키의 금융 서비스 기관들에 대한 해킹에 악용되고 있다고 맥아피(McAfee)가 경고했다. 맥아피는 추후 터키 금융기관에서의 절도를 목적으로 데이터를 수집하는 것으로 보이는 초기활동을 확인했다고 밝혔다. 이 캠페인에서 최근 Adobe Flash 제로데이 취약점을 사용한 것을 확인했다고 목요일 블로그포스트를 통해 밝혔다. 이 공격에서 사용된 악성코드는 뱅크샷(Bankshot)이라 불리는 트로이다. 이 악성코드는 이전의 히든코브라(Hidden Cobra)또는 라자러스(Lazarus Group), Reaper, Group 123 등 북한이 배후인 것으로 추정되는 해킹그룹과 관련되어있다.
  • 평창 동계 올림픽에 대한 사이버 공격의 배후가 북한이 아니었으며, 북한으로 보이도록 의도적으로 위장한 공격이었다는 리포트가 이어졌다. 2018 동계 올림픽 인프라에 장애를 가져왔던 악성코드에 대한 면밀한 조사결과, 그 배후가 북한으로 보이도록 만들기 위한 의도가 있었는 리포트가 공개되었다. 평창동계올림픽 첫날 Olympic Destroyer라는 악성코드에 의해 매인 웹사이트가 다운되고 행사장 주변 WiFi 네트워크가 중단되며, 서버의 데이터가 지워지는 사태가 발생했었다. 그리고 이어지는 몇주간 여러 공격들이 Lazarus Group이라고도 알려진 북한 배후의 해킹그룹의 소행이라는 분석이 계속되었다. 그러나 이번에 카스퍼스키랩 엔지니어들은 Lazarus Group이 코드를 작성하지 않았다고 주장한다. (9일에서 이어짐)

Detailed News list

  • Slingshot APT
    • [KasperskyLab]
      Slingshot APT: Riding on a hardware Trojan horse
    • [TheHackerNews]
      APT Hackers Infect Routers to Covertly Implant Slingshot Spying Malware
    • [DarkReading]
      ‘Slingshot’ Cyber Espionage Campaign Hacks Network Routers
    • [InfoSecurityMagazine]
      Slingshot APT Actor Shoots onto the Scene
    • [SecurityWeek]
      Sophisticated Cyberspies Target Middle East, Africa via Routers
    • [Securelist]
      The Slingshot APT FAQ
  • Turkey
    • [TheRegister]
      Citizen Lab says Sandvine network gear aids government spyware
    • [BankInfoSecurity]
      Bankshot Trojan Targets Turkish Financial Sector
    • [TheHackerNews]
      ISPs Caught Injecting Cryptocurrency Miners and Spyware In Some Countries
    • [SecurityWeek]
      New North Korea-linked Cyberattacks Target Financial Institutions
    • [CyberScoop]
      ISPs inside Turkey and Egypt spread FinFisher spyware in massive espionage campaign
    • [Forbes]
      Did This American Tech Help Turkey Spy In Syria?
  • Olympic Destroyer
    • [KasperskyLab]
      Olympic Destroyer: who hacked the Olympics?
    • [ITSecurityGuru]
      The Olympic False Flag: How infamous Olympic Destroyer malware was designed to confuse cybersecurity community
    • [SecurityAffairs]
      Olympic Destroyer, alleged artifacts and false flag make attribution impossible

 

Exploits/Vulnerabilities

Summaries

  • 오라클 웹로직(WebLogic) 취약점을 공격하는 채굴 공격이후, 아파치 Solr 취약점을 공격하는 새로운 공격이 확인되었다. 2월의 마지막에 해커들이 1,400대의 아파치 Solr 서버들을 공격하여 랜섬웨어가 아닌 암호화폐 채굴기를 심는 일이 발생했다. 1월에 있었던 오라클 웹로직의 패치되지 않은 취약점을 공격해 암호화폐를 채굴했던 일과 유사한 사건이다. Morphus Labs에 따르면, Apache Solr 공격자들은 CVE-2017-12629 원격 코드 실행(RCE, Remote Code Execution) 취약점을 사용하고 있다. 이 취약점은 아파치 소프트웨어 재단이 지난 10월에 패치를 공개했다.

Detailed News List

  • Solr
    • [ZDNet]
      After Oracle WebLogic miner attack, critical Apache Solr bug is now targeted
    • [HelpNetSecurity]
      Vulnerable Apache Solr, Redis, Windows servers hit with cryptominers

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 중국의 취약점 데이터베이스가 중국정부의 영향력을 감추기 위해서 취약점 공개를 늦춰왔음이 밝혀졌다. 미 보스턴에 위치한 보안기업 Recorded Future에 따르면, 중국 국영 취약점 데이터베이스가 중국과 연관된 해킹그룹들이 취약점 사용에 있어 이익을 취할 수 있도록 조작되어왔다. 중국 취약점 데이터베이스인 CNNVD가 위치한 MSS에서 취약점을 공개하기에 앞서 첩보작전에 사용할 수 있을지를 평가하고 공개했다는 것이다.

Detailed News List

  • China’s Vulnerability Database
    • [DarkReading]
      China’s Vulnerability Database Altered to Hide Govt. Influence
    • [TheSecurityLedger]
      China caught pushing Vulnerability Reporting Delays down the Memory Hole
    • [InfoSecurityMagazine]
      China Backdated Bug Disclosures to Hide State Hacking: Report
    • [CyberScoop]
      China’s national vulnerability database is merely a tool for its intelligence agencies

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 브라질 카드 사기꾼들에 의한 카드 복제가 확인되었다. 최근 미국에서는 신용카드 및 직불카드의 안전하지 않은 마그네틱 띠(stripe)로부터, EMV 표쥰으로 규제되는 보다 더 안전한 칩 및 PIN카드로의 전환이 있었다. 이는 신용카드 사기를 줄이고 거래의 보안성을 향상시키는데 큰 진전이며, 카드 복제에 의존하는 카드사기를 종식시키는데 근접했다는 생각이 있었다. 그러나 카스퍼스키랩의 연구원들이 최근 밝혀낸 바에 따르면, 브라질의 사이버범죄자들이 chip-and-PIN 카드의 데이터를 훔쳐 성공적으로 복제할 수 있는 방법을 개발했다.

Detailed News List

  • Cloning Chip-and-PIN cards
    • [KasperskyLab]
      Cloning chip-and-PIN cards: Brazilian job
    • [Securelist]
      Goodfellas, the Brazilian carding scene is after you

 

Posted in Security, Security NewsTagged Apache Solr, Bankshot, Card fraud, CVE-2017-12629, Cyber Espionage, Group123, Hidden Cobra, Lazarus Group, National Vulnerability Database, Olympic Destroyer, Reaper, Slingshot, VulnerabilityLeave a comment

Security Newsletters, 2018 Mar 9th, Memcached 증폭공격 킬 스위치 外

Posted on 2018-03-09 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 북한의 사이버 스파이 그룹이 터키 금융 기관들을 대상으로 사이버 공격을 진행중이라는 리포트가 나왔다. 히든코브라(Hidden Corba)라고도 불리는 북한과 관련된 것으로 추정되는 해킹그룹이 터키의 금융 기관으로 눈을 돌린 것으로 보인다. McAfee는 목요일 리포트를 통해 이와같이 밝혔다. 맥아피가 발견한 악성코드는 Bankshot이라 명명되었으며 2017년에 발견되었고, 장악한 침해 시스템에서의 추후 공격을 위한 영속성 확보를 위해 설계되었다.
  • 평창 동계 올림픽에 대한 사이버 공격의 배후가 북한이 아니었으며, 북한으로 보이도록 의도적으로 위장한 공격이었다는 리포트가 이어졌다. 2018 동계 올림픽 인프라에 장애를 가져왔던 악성코드에 대한 면밀한 조사결과, 그 배후가 북한으로 보이도록 만들기 위한 의도가 있었는 리포트가 공개되었다. 평창동계올림픽 첫날 Olympic Destroyer라는 악성코드에 의해 매인 웹사이트가 다운되고 행사장 주변 WiFi 네트워크가 중단되며, 서버의 데이터가 지워지는 사태가 발생했었다. 그리고 이어지는 몇주간 여러 공격들이 Lazarus Group이라고도 알려진 북한 배후의 해킹그룹의 소행이라는 분석이 계속되었다. 그러나 이번에 카스퍼스키랩 엔지니어들은 Lazarus Group이 코드를 작성하지 않았다고 주장한다.

Detailed News list

  • NK Targeting Turkish Financial Orgs
    • [DarkReading]
      North Korea Threat Group Targeting Turkish Financial Orgs
    • [InfoSecurityMagazine]
      Hidden Cobra Coils and Strikes at Turkish Banks
    • [McAfee]
      Hidden Cobra Targets Turkish Financial Sector With New Bankshot Implant
  • False Flag
    • [DarkReading]
      Olympic Destroyer’s ‘False Flag’ Changes the Game
    • [TheRegister]
      Analysis suggests North Korea not behind Olympic Destroyer malware attack
    • [SecurityWeek]
      Sophisticated False Flags Planted in Olympic Destroyer Malware
    • [ThreatPost]
      Olympic Destroyer: A False Flag Confusion Bomb
    • [Securelist]
      OlympicDestroyer is here to trick the industry

 

Exploits/Vulnerabilities

Summaries

  • Memcached 취약점을 이용한 DDoS 증폭 공격에 관련된 기사가 이어지는 가운데, 이 공격을 중단시킬 수 있는 킬스위치(Killswitch)가 발견되었다는 기사가 공개되었다. Memcached의 취약점을 이용한 DDoS 공격이 나날이 신기록을 갱신하는 가운데, 누군가 증폭공격(amplification attack)의 개념증명(PoC, Proof-of-Concept)코드를 공개해 상황이 더 악화되는 것으로 보였다. GitHub은 최초 공격대상으로 1.35Tbps의 DDoS를 겪었으며, 알려지지 않은 미국의 회사는 1.7Tbps라는 사상최고치의 DDoS 공격을 당했다. 그러나 이번에는 Coreno Network Security에서 Kill Switch를 발견했으며, 이 DDoS 공격을 예방할 수 있다고 밝혔다. 연구자들에 따르면, 이번에 확인된 킬 스위치는 악성 페이로드를 포함한 취약한 서버의 캐시를 무효화해서, DDoS 공격을 제어하기 위한 명령을 공격자의 서버로 되돌려보낸다. Corero의 연구자들은 이미 공격 서버에 대해 테스트를 진행하고 100% 효과적임을 확인했다고 밝혔다.

Detailed News List

  • Killswitch for Memcached DDoS Attack
    • [InformationSecurityBuzz]
      On Discovery Of Memcached DDoS Attack Kill Switch
    • [InfoSecResources]
      Memcrashed – the dangerous trend behind the biggest-ever DDoS attack
    • [HackRead]
      Kill Switch Can Mitigate Massive DDoS Attacks Via Memcached Servers
    • [SecurityAffairs]
      Corero Network discovered a Kill Switch for Memcached DDoS attacks
    • [SecurityAffairs]
      Two PoC exploits for Memcached DDoS attacks have been released online
    • [WeLiveSecurity]
      New DDoS attack method breaks record again, adds extortion
    • [BankInfoSecurity]
      Memcached DDoS Attacks: 95,000 Servers Vulnerable to Abuse
    • [ZDNet]
      Memcached DDoS: This ‘kill switch’ can stop attacks dead in their tracks
    • [InfoSecurityMagazine]
      Memcached Flaw Kill Switch Could Foil DDoS-ers
    • [TheHackerNews]
      ‘Kill Switch’ to Mitigate Memcached DDoS Attacks — Flush ‘Em All

 

Vulnerability Patches/Software Updates

Summaries

  • Cisco에서 Cisco 제품 소프트웨어의 하드코딩된 비밀번호를 포함해 치명적인 취약점들을 수정했다. 최근 시스코에서 릴리즈한 보안 업데이트에 두가지 치명적인 취약점에 대한 권고문이 포함되었다. 첫번째는 하드코딩된 비밀번호로, CVE-2018-0141이다. 로컬의 공격자가 대상 장치를 완전하게 제어할 수 있는 취약점이다. 두번째 취약점은 CVE-2018-0147로, 자바 deserialization 취약점이다. Cisco Access Control System(ACS)에 영향을 미치며, 인증받지않은(unauthenticated) 원격의 공격자가 취약한 장비에서 임의의 명령을 root 권한으로 실행시킬 수 있다.

Detailed News List

  • Cisco
    • [TheHackerNews]
      Hard-Coded Password in Cisco Software Lets Attackers Take Over Linux Servers
    • [SecurityAffairs]
      Hardcoded password and Java deserialization flaws found in Cisco products
    • [ZDNet]
      Cisco: Update now to fix critical hardcoded password bug, remote code execution flaw
    • [HelpNetSecurity]
      Cisco fixes critical flaw in its Secure Access Control System
    • [TheRegister]
      Sigh. Cisco security kit has Java deserialisation bug and a default password SNAFU

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • 독일 경찰이 다크웹 마켓 Hansa를 수사하는 과정에서 어떻게 관리자 권한을 획득할 수 있었는지에 대해서 자세한 내용을 공개했다. Hansa 다크웹 마켓에 대한 체포는 독일 경찰에 의해 국영방송으로 생중계 되었다. 이는 수사관들이 사이트를 운영하고 있었기에 가능했다. 그리고 지난 목요일 어떻게 이런일이 가능했는지에 대해 공개했다. 2016년 비트디펜더(Bitdefender)는 독일경찰에게 Hansa가 네덜란드에서 호스팅되고 있음을 귀띔해줬다. 이 소식을 들은 독일은, 여러 단계로 나누어 Hansa의 명성을 무너뜨리고, 모든 공급업자를 확인하며, 그들의 BitCoin을 압수할 계획을 세웠다. 2016년 10월, 경찰은 Hansa의 private 서버의 복사본을 만들어 그들 자체 네트워크내에 재구성했다. 그리고 관리자 페이지와 독일국적의 사이트 운영자 두명의 채팅로그를 확보했다.

Detailed News List

  • Dutch police and Hansa
    • [TheRegister]
      Dutch police detail how they became the admins for Hansa dark web market

 

Crypto Currencies/Crypto Mining

Summaries

  • 새로운 채굴 악성코드가 발견되었다. 이 악성코드는 단 몇시간만에 50만대 이상의 컴퓨터를 감염시키는 확산 속도를 보여줬다. Dofoil 또는 Smoke Loader라 명명된 이 악성코드는 감염된 윈도우즈 컴퓨터에서 일렉트로니움 코인을 채굴하는 암호화폐 채굴기를 드랍한다. 3월 6일 윈도우즈 디펜더에서 갑작스레 8만대의 Dofoil 변종이 탐지되어 Microsoft Defender research department에 경고가 발령되었다. 이후 12시간동안 40만대 이상의 감염이 기록되었다. 연구팀에서는 러시아, 터키, 우크라이나에 걸쳐 진행된 이 확산이 암호화폐 채굴 페이로드를 운반하며, 탐지 회피를 위해 적법한 윈도우즈 바이너리로 위장한 것을 확인했다.

Detailed News List

  • Mining Malware
    • [InfoSecurityMagazine]
      Massive Coin-Mining Attempt Targets Nearly Half a Million PCs
    • [TheHackerNews]
      New Cryptocurrency Mining Malware Infected Over 500,000 PCs in Just Few Hours

 

Posted in Security, Security NewsTagged Amplification attack, Bankshot, Crypto Currency, Cryptocurrency Mining, CVE-2018-0141, CVE-2018-0147, Cyber Espionage, Dark Web, DDoS, Distributed Denial of Service, Dofoil, False Flag, Lazarus Group, Olympic Destroyer, Patches, Smoke Loader, VulnerabilityLeave a comment

Security Newsletters, 2018 Feb 16th, 카우치 DB 노리는 채굴 악성코드 外

Posted on 2018-02-16 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 평창 동계 올림픽의 개회식의 서비스 다운과 클라우드 서비스 제공사인 Atos의 해킹 등 동계 올림픽 관련 기사가 계속해서 이어지고 있다. 평창 동계 올림픽의 IT 서비스 제공 업체인 ATOS가 몇 달 전에 이미 해킹당한 것으로 드러났다. Olympic Destroyer 악성코드를 2월 9일에 배포한 공격자가 평창 동계 올림픽에 클라우드 인프라를 제공하는 다국적 정보 기술 서비스 제공업체 Atos의 여러 컴퓨터들에 지난 12월에 이미 침투한 것으로 보인다. 바이러스토탈(VirusTotal)에 업로드된 악성코드 중 초기 샘플들은 Atos의 보안팀 일부가 근무하는 곳인 프랑스에서 업로드 되었다. (15일에서 이어짐)

Detailed News list

  • Winter Olympic
    • [InformationSecurityBuzz]
      Winter Olympics Hit By ‘Olympic Destroyer’ Malware
    • [VirusBullentin]
      Olympic Games target of malware, again
    • [PandaSecurity]
      Cyber Sabotage at the Winter Olympics
    • [SecurityWeek]
      Researchers Warn Against Knee-Jerk Attribution of ‘Olympic Destroyer’ Attack

 

Malwares

Summaries

  • 감염을 극대화 시키기 위해 네트워크에서 몰래 취약점을 찾는 랜섬웨어 캠페인이 탐지되었다. SamSam이라 명명된 랜섬웨어가 말 그대로 네트워크를 휘저으며 인터넷에 연결된 시스템들을 장악한 후, 해당 서버들을 발판으로 삼아 확산중이다. 이 랜섬웨어 캠페인은 취약한 시스템을 적극적으로 검색해, 다른 네트워크로의 확산을 위한 게이트웨이로 이용하면서 교통 네트워크, 병원, 교육시설 등을 감염시키고 있다. 이 랜섬웨어 캠페인에서는 피싱 이메일을 사용한 유포가 아닌, 인터넷에 연결된 취약한 시스템을 탐색하며 이러한 시스템들을 해당 네트워크에 SamSam 랜섬웨어를 유포하기 위한 발판으로 사용한다.
  • DoubleDoor라 명명된 IoT(Internet of Things) 봇넷이 방화벽을 우회하는 두가지 취약점을 이용해 확산중이다. DoubleDoor는 CVE-2015-7755를 공격하는 것으로 시작한다. 이 취약점은 원격의 공격자가 Juniper Networks의 하드웨어 방화벽 장치에 사용되는 ScreenOS에 관리자 권한으로 접근할 수 있게 만들어준다. 이렇게 방화벽 보호기능을 우회한 후에는 ZyXEL PK5001Z 모뎀의 보안 기능을 CVE-2016-10401 취약점으로 회피한다. 비 관리자 계정의 비밀번호를 알고있는 경우, 공격자는 이 취약점으로 루트계정에 대한 접근 권한을 얻을 수 있다. DoubleDoor는 관리자 권한을 얻기 위해 필요한 일반 계정에 대해 비밀번호 공격을 수행한다. (15일에서 이어짐)

Detailed News List

  • Ransomware campaign
    • [ZDNet]
      This lucrative ransomware campaign secretly surveys vulnerable networks to maximise infections
  • DoubleDoor
    • [SecurityWeek]
      ‘DoubleDoor’ IoT Botnet Uses Two Backdoor Exploits
    • [HelpNetSecurity]
      IoT botnet bypasses firewalls to get to ZyXEL modems

 

Exploits/Vulnerabilities

Summaries

  • 아파치 카우치DB 취약점이 Monero Miners 공격에 사용되고 있다. 트렌드마이크로에 따르면, 유명 데이터베이스 시스템인 아파치 카우치DB(Apache Couch DB)의 취약점을 이용하여 모네로(Monero) 암호화폐 채굴기를 유포하는 새로운 공격이 확인되었다. 아파치 카우치DB는 오슨소스 데이터베이스 관리 시스템이다. 공격에 사용되는 두가치 취약점은 CVE-2017-12635와 CVE-2017-12636이다. 이 취약점들을 2017년 11월에 패치되었다.

Detailed News List

  • Apache CouchDB
    • [TrendMicro]
      Vulnerabilities in Apache CouchDB Open the Door to Monero Miners

 

Posted in Security, Security NewsTagged CVE-2017-12635, CVE-2017-12636, Cyber Espionage, DoubleDoor, Exploit, Malware, Olympic Destroyer, SamSam Ransomware, VulnerabilityLeave a comment

Security Newsletters, 2018 Feb 15th, Bitmessage 원격 코드 실행 취약점 外

Posted on 2018-02-15 - 2018-02-15 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 평창 동계 올림픽의 IT 서비스 제공 업체인 ATOS가 몇 달 전에 이미 해킹당한 것으로 드러났다. Olympic Destroyer 악성코드를 2월 9일에 배포한 공격자가 평창 동계 올림픽에 클라우드 인프라를 제공하는 다국적 정보 기술 서비스 제공업체 Atos의 여러 컴퓨터들에 지난 12월에 이미 침투한 것으로 보인다. 바이러스토탈(VirusTotal)에 업로드된 악성코드 중 초기 샘플들은 Atos의 보안팀 일부가 근무하는 곳인 프랑스에서 업로드 되었다.

Detailed News list

  • Olympic
    • [CyberScoop]
      Atos, IT provider for Winter Olympics, hacked months before Opening Ceremony cyberattack

 

Malwares

Summaries

  • DoubleDoor라 명명된 IoT(Internet of Things) 봇넷이 방화벽을 우회하는 두가지 취약점을 이용해 확산중이다. DoubleDoor는 CVE-2015-7755를 공격하는 것으로 시작한다. 이 취약점은 원격의 공격자가 Juniper Networks의 하드웨어 방화벽 장치에 사용되는 ScreenOS에 관리자 권한으로 접근할 수 있게 만들어준다. 이렇게 방화벽 보호기능을 우회한 후에는 ZyXEL PK5001Z 모뎀의 보안 기능을 CVE-2016-10401 취약점으로 회피한다. 비 관리자 계정의 비밀번호를 알고있는 경우, 공격자는 이 취약점으로 루트계정에 대한 접근 권한을 얻을 수 있다. DoubleDoor는 관리자 권한을 얻기 위해 필요한 일반 계정에 대해 비밀번호 공격을 수행한다.
  • Olympic Destroyer 악성코드의 변종이 탐지되었다. 시스코 탈로스(Cisco Talos)의 연구가들은 이 악성코드가 공유 네트워크 드라이브 상의 파일또한 삭제한다고 밝혔다. 이전의 악성코드에서는 단일 지점만 공격 대상으로 삼았다.
  • 안드로이드 악성코드인 AndroRAT의 변종이 확인되었다. 이 악성코드는 2012년에 처음 한 대학교의 프로젝트로 만들어졌다. 오픈소스 클라이언트/서버 구조의 응용프로그램으로 장치에 대한 원격제어 기능을 가지고 있었다. 그리고 해커들이 이 프로젝트를 악용하기 시작했다. 새로운 버젼의 악성코드는 CVE-2015-1805 취약점을 공격하는 코드를 포함하고 있으며, 이는 로컬 권한상승 취약점으로 안드로이드 OS의 커널에 영향을 미친다. 커널 3.4, 3.4.10, 3.14 버젼기반의 OS를 사용하는 모든 패치되지 않은 안드로이드 장치들은 이 CVE-2015-1805에 취약하다. (14일에서 이어짐)

Detailed News List

  • DoubleDoor
    • [TripWire]
      DoubleDoor IoT Botnet Abuses Two Vulnerabilities to Circumvent Firewalls, Modems
    • [SecurityAffairs]
      DoubleDoor, a new IoT Botnet bypasses firewall using two backdoor exploits
  • Olympic Destroyer
    • [ThreatPost]
      Researchers Find New Twists In ‘Olympic Destroyer’ Malware
  • AndroiRAT
    • [ZDNet]
      AndroRAT: New Android malware strain can hijack older phones

 

Exploits/Vulnerabilities

Summaries

  • 텔레그램(Telegram)에서 새로운 제로데이 취약점이 발견되었다. 텔레그램의 윈도우즈 데스크탑용 클라인트에서 취약점이 발견되었고, 해커들이 이를 공격에 사용하고 있음이 확인되었다. KasperskyLab의 Alexey Firsh가 발견한 이 취약점은, 이미 해커들에 의해 모네로(Monero) 및 ZCash 암호화폐 채굴기 유포에 사용되고 있는 것으로 확인되었다. 전문가에 따르면 해커들이 이 취약점을 최소한 작년 3월부터 공격에 사용해온 것으로 보인다. 공격자들은 이 취약점으로 피해자를 속여 채굴기를 다운로드 하게 하거나, 백도어를 심는데 사용했다. 이 취약점은 텔레그램 윈도우즈 클라이언트가 RLO(Right-to-left Override) 유니코드 문자(U+202E)를 취급하는 방식과 관련되어있다. 공격자들은 이 RLO 유니코드 문자를 파일명에 포함시켜, 이 파일을 공격 대상에게 보낸다. RLO 문자가 포함된 gnp.js과 같은 이름의 파일을 보내면, 윈도우즈 클라이언트에서는 sj.png로 파일명이 표시되는 것을 이용해 무해한 png 파일인 것 처럼 속여, 공격대상이 의심없이 스크립트 파일을 실행시키도록 하는 방식이다. (14일에서 이어짐)

Detailed News List

  • Telegram
    • [HackRead]
      Flaw in Telegram Windows App Used for Cryptomining & Backdoor
    • [HelpNetSecurity]
      How cybercriminals exploited Telegram flaw to deliver malware
    • [InfoSecurityMagazine]
      Telegram Zero-Day Exploited by Crypto-Miners

 

Vulnerability Patches/Software Updates

Summaries

  • 비트메시지(Bitmessage)의 제로데이 취약점을 노리는 공격이 확인되어 긴급 패치가 릴리즈 되었다. 비트메시지는 암호화된 메시지를 1인이나 다수에게 보낼 수 있는 decentralized and trustless 통신 프로토콜이다. PyBitmessage는 이 Bitmessage의 공식 클라이언트이다. 비트메시지의 개발자들은 PyBitmessage 0.6.2를 사용하는 사용자들이 공격받을 수 있는 취약점이 존재한다는 경고를 발표했다. 취약점은 메시지 인코딩 버그로, 0.6.3.2 버젼에서 패치되었다. 그러나 PyBitmessage 0.6.1 역시 취약점에 영향을 받지 않기 때문에 다운그레이딩 또한 공격을 예방하는 한가지 방법이 될 수 있다.
  • 델(DELL)의 VMAX 엔터프라이즈 스토리지 시스템에서 다수의 취약점이 발견되었으며, 이에 대한 패치가 릴리즈 되었다. 델이 VMAX enterprise storage systems의 두 가지 치명적인 취약점을 수정했다. 취약점 중 하나는 원격 공격자가 하드코딩된 비밀번호를 이용해 시스템의 기본계정 접근 권한을 획득할 수 있는 취약점이다. 수정된 취약점들은 CVE-2018-1215와 CVE-2018-1216이다.
  • 구글이 안드로이드 운영체제의 코드 실행 취약점을 패치했다. 2018년 2월 Android Security Bulletin에서는 26개의 취약점이 수정되었다. 수정된 취약점 중 대다수는 권한상승(elevation of privilege, EoP) 취약점이었다.2018-02-01 보안 패치 레벨에서는 Media Framework에서 6개의 취약점과 System component에서 1개의 취약점이 수정되었다.
  • 마이크로소프트의 정기 업데이트가 릴리즈 되었다. 이번 패치에서는 아웃룩의 버그 두가지와 오피스, 브라우저의 취약점들이 수정되었다. 이번 패치에서는 윈도우즈, 오피스, 익스플로러, 엣지(Edge), 자바스크립트 엔진(ChakraCore)의 취약점이 수정되었다. (14일에서 이어짐)
  • 마이크로소프트에서 멜트다운/스펙터 점검을 위한 무료 툴을 공개했다. 마이크로소프트가 이번에 공개한 Windows Analytics Service에서는, 윈도우즈에 내장되어있는 원격 측정 서비스(telemetry service)를 사용하여 기관에 등록되어있는 장치들로부터 데이터를 수집하고 집계된 보호상태 정보를 대시보드를 통해 알려준다. 이 Windows Analytics 기능은 Pro, Enterprise, Education editions에서 사용가능하다. (14일에서 이어짐)
  • 어도비에서 아크로뱃 및 리더, Experience manager에 대한 보안 업데이트를 릴리즈했다. (14일에서 이어짐)

Detailed News List

  • Bitmessage
    • [TheHackerNews]
      Hackers Exploiting ‘Bitmessage’ Zero-Day to Steal Bitcoin Wallet Keys
    • [SecurityWeek]
      Zero-Day Attack Prompts Emergency Patch for Bitmessage Client
  • DELL
    • [ThreatPost]
      Dell EMC Patches Critical Flaws in VMAX Enterprise Storage Systems
    • [SecurityWeek]
      Nine Remotely Exploitable Vulnerabilities Found in Dell EMC Storage Platform
  • Android
    • [SecurityWeek]
      Critical Code Execution Flaws Patched in Android
  • Windows Patch Tuesday
    • [GrahamCluley]
      Patch now! Microsoft fixes over 50 serious security flaws
    • [WeLiveSecurity]
      Patch now! Microsoft fixes over 50 serious security flaws
    • [SecurityAffairs]
      Microsoft Patch Tuesday for February 2018 addresses 14 critical flaws
    • [ZDNet]
      Use Microsoft Outlook? Update now to fix these two dangerous bugs
    • [TrendMicro]
      February Patch Tuesday Is a Bouquet of Fixes for Privilege Escalation Vulnerabilities
    • [TheHackerNews]
      Microsoft Issues Security Patch Update for 14 New Critical Vulnerabilities
    • [HelpNetSecurity]
      Microsoft, Adobe February 2018 security updates: An overview
  • Windows Analytics
    • [SecurityAffairs]
      Windows Analytics now includes Meltdown and Spectre detector
    • [SecurityWeek]
      Windows Analytics Helps Assess Risk of Meltdown, Spectre Attacks
    • [HelpNetSecurity]
      Microsoft boosts Windows Analytics to help squash Meltdown and Spectre bugs
    • [TheRegister]
      Meltdown-and-Spectre-detector comes to Windows Analytics
  • Adobe
    • [ZDNet]
      Adobe addresses critical vulnerabilities in Acrobat, Reader

 

Posted in Security, Security NewsTagged AndroRAT, Bitmessage, CVE-2018-1215, CVE-2018-1216, Cyber Espionage, DoubleDoor, IoT, Malware, Olympic Destroyer, Patches, VulnerabilityLeave a comment

Search

Recent Posts

  • Exploit PoC for CVE-2023-20887 VMWare Aria Operations for Networks
  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外

Categories

  • Diet (7)
  • Exploit (1)
  • Flaw (2)
  • Hacking (1)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2023년 6월 (1)
  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.