Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

• 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
• 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
• 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
• 번역된 한글 제목에 오역이 있을 수 있습니다.
• 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
• 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
• 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

• 카스퍼스키랩의 연구원들에 의해 복잡하고도 뛰어난 해킹 기법을 통해 최소 지난 2012년 이래로 비밀리에 해킹을 지속해온 APT 그룹이 드러났다. 이 해킹 그룹은 슬링샷^(Slingshot)이라 명명된 고도화된 악성코드를 사용해 중동 및 아프리카의 라우터 해킹을 통해 수많은 피해자들을 감염시켰다. 카스퍼스키랩이 공개한 25페이지 분량의 보고서에 따르면, 이 그룹은 라트비아의 네트워크 하드웨어 제작사인 미크로틱^(Mikrotik) 라우터의 알려지지 않은 취약점을 공격해 감염벡터의 첫번째 단계로 시용했으며, 이를 이용해 피해대상의 컴퓨터에 비밀리에 스파이웨어를 심었다.
• 최근 패치된 Adobe Flash의 제로데이 취약점이 터키의 금융 서비스 기관들에 대한 해킹에 악용되고 있다고 맥아피^(McAfee)가 경고했다. 맥아피는 추후 터키 금융기관에서의 절도를 목적으로 데이터를 수집하는 것으로 보이는 초기활동을 확인했다고 밝혔다. 이 캠페인에서 최근 Adobe Flash 제로데이 취약점을 사용한 것을 확인했다고 목요일 블로그포스트를 통해 밝혔다. 이 공격에서 사용된 악성코드는 뱅크샷^(Bankshot)이라 불리는 트로이다. 이 악성코드는 이전의 히든코브라^{(Hidden Cobra)}또는 라자러스^{(Lazarus Group)}, ^Reaper, ^{Group 123} 등 북한이 배후인 것으로 추정되는 해킹그룹과 관련되어있다.
• 평창 동계 올림픽에 대한 사이버 공격의 배후가 북한이 아니었으며, 북한으로 보이도록 의도적으로 위장한 공격이었다는 리포트가 이어졌다. 2018 동계 올림픽 인프라에 장애를 가져왔던 악성코드에 대한 면밀한 조사결과, 그 배후가 북한으로 보이도록 만들기 위한 의도가 있었는 리포트가 공개되었다. 평창동계올림픽 첫날 ^{Olympic Destroyer}라는 악성코드에 의해 매인 웹사이트가 다운되고 행사장 주변 WiFi 네트워크가 중단되며, 서버의 데이터가 지워지는 사태가 발생했었다. 그리고 이어지는 몇주간 여러 공격들이 ^{Lazarus Group}이라고도 알려진 북한 배후의 해킹그룹의 소행이라는 분석이 계속되었다. 그러나 이번에 카스퍼스키랩 엔지니어들은 ^{Lazarus Group}이 코드를 작성하지 않았다고 주장한다. (9일에서 이어짐)

Detailed News list

• Slingshot APT
  • _{[KasperskyLab]}
    Slingshot APT: Riding on a hardware Trojan horse
  • _{[TheHackerNews]}
    APT Hackers Infect Routers to Covertly Implant Slingshot Spying Malware
  • _{[DarkReading]}
    ‘Slingshot’ Cyber Espionage Campaign Hacks Network Routers
  • _{[InfoSecurityMagazine]}
    Slingshot APT Actor Shoots onto the Scene
  • _{[SecurityWeek]}
    Sophisticated Cyberspies Target Middle East, Africa via Routers
  • _[Securelist]
    The Slingshot APT FAQ
• Turkey
  • _{[TheRegister]}
    Citizen Lab says Sandvine network gear aids government spyware
  • _{[BankInfoSecurity]}
    Bankshot Trojan Targets Turkish Financial Sector
  • _{[TheHackerNews]}
    ISPs Caught Injecting Cryptocurrency Miners and Spyware In Some Countries
  • _{[SecurityWeek]}
    New North Korea-linked Cyberattacks Target Financial Institutions
  • _[CyberScoop]
    ISPs inside Turkey and Egypt spread FinFisher spyware in massive espionage campaign
  • _[Forbes]
    Did This American Tech Help Turkey Spy In Syria?
• Olympic Destroyer
  • _{[KasperskyLab]}
    Olympic Destroyer: who hacked the Olympics?
  • _{[ITSecurityGuru]}
    The Olympic False Flag: How infamous Olympic Destroyer malware was designed to confuse cybersecurity community
  • _{[SecurityAffairs]}
    Olympic Destroyer, alleged artifacts and false flag make attribution impossible

Exploits/Vulnerabilities

Summaries

• 오라클 웹로직^(WebLogic) 취약점을 공격하는 채굴 공격이후, 아파치 Solr 취약점을 공격하는 새로운 공격이 확인되었다. 2월의 마지막에 해커들이 1,400대의 아파치 Solr 서버들을 공격하여 랜섬웨어가 아닌 암호화폐 채굴기를 심는 일이 발생했다. 1월에 있었던 오라클 웹로직의 패치되지 않은 취약점을 공격해 암호화폐를 채굴했던 일과 유사한 사건이다. Morphus Labs에 따르면, Apache Solr 공격자들은 ^{CVE-2017-12629} 원격 코드 실행^{(RCE, Remote Code Execution)} 취약점을 사용하고 있다. 이 취약점은 아파치 소프트웨어 재단이 지난 10월에 패치를 공개했다.

Detailed News List

• Solr
  • _[ZDNet]
    After Oracle WebLogic miner attack, critical Apache Solr bug is now targeted
  • _{[HelpNetSecurity]}
    Vulnerable Apache Solr, Redis, Windows servers hit with cryptominers

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

• 중국의 취약점 데이터베이스가 중국정부의 영향력을 감추기 위해서 취약점 공개를 늦춰왔음이 밝혀졌다. 미 보스턴에 위치한 보안기업 Recorded Future에 따르면, 중국 국영 취약점 데이터베이스가 중국과 연관된 해킹그룹들이 취약점 사용에 있어 이익을 취할 수 있도록 조작되어왔다. 중국 취약점 데이터베이스인 CNNVD가 위치한 MSS에서 취약점을 공개하기에 앞서 첩보작전에 사용할 수 있을지를 평가하고 공개했다는 것이다.

Detailed News List

• China’s Vulnerability Database
  • _{[DarkReading]}
    China’s Vulnerability Database Altered to Hide Govt. Influence
  • _{[TheSecurityLedger]}
    China caught pushing Vulnerability Reporting Delays down the Memory Hole
  • _{[InfoSecurityMagazine]}
    China Backdated Bug Disclosures to Hide State Hacking: Report
  • _[CyberScoop]
    China’s national vulnerability database is merely a tool for its intelligence agencies

Social Engineering/Phishing/Con/Scam

Summaries

• 브라질 카드 사기꾼들에 의한 카드 복제가 확인되었다. 최근 미국에서는 신용카드 및 직불카드의 안전하지 않은 마그네틱 띠^(stripe)로부터, EMV 표쥰으로 규제되는 보다 더 안전한 칩 및 PIN카드로의 전환이 있었다. 이는 신용카드 사기를 줄이고 거래의 보안성을 향상시키는데 큰 진전이며, 카드 복제에 의존하는 카드사기를 종식시키는데 근접했다는 생각이 있었다. 그러나 카스퍼스키랩의 연구원들이 최근 밝혀낸 바에 따르면, 브라질의 사이버범죄자들이 chip-and-PIN 카드의 데이터를 훔쳐 성공적으로 복제할 수 있는 방법을 개발했다.

Detailed News List

• Cloning Chip-and-PIN cards
  • _{[KasperskyLab]}
    Cloning chip-and-PIN cards: Brazilian job
  • _[Securelist]
    Goodfellas, the Brazilian carding scene is after you