Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] Operation Troy

Security Newsletters, 2017 Dec 16th, 라자러스Lazarus 스피어피싱 공격 外

Posted on 2017-12-16 - 2017-12-16 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 해킹당했던 보안전문기업 FOX-IT가 지난 9월에 겪었던 사건에 대한 상세 분석 보고서를 내놓았다. 영국의 NCC그룹 소유인 사이버보안 기업인 FOX-IT가 기업 기반시설(infrastructure)에 영향을 미쳤던 침해사고에 대한 정보를 공개했다. FOX-IT에 따르면, 지난 9월 19일에 신원이 알려지지 않은 공격자에 의해 중간자(MitM, Man-in-the-Middle) 공격이 일어났고, 일부(limited number)의 고객들을 염탐하는 일이 있었다. FOX-IT는 이 공격자가 회사 도메인 이름을 10시간 24분동안 하이재킹하고 FOX-IT의 이름으로 SSL 인증서를 획득했다고 밝혔다. 이 해커는 도메인을 MitM 공격을 위해 자신들의 관리하에 있는 사설 VPS 서버로 우회시켰다. 이렇게 해서 공격자들은 FOX-IT 도메인으로 향하는 트래픽을 자신들이 받아볼 수 있었으며, SSL 인증서를 사용해 HTTPS 연결 내용을 염탐하면서 트래픽은 실제 FOX-IT 서버로 포워딩 할 수 있었다. FOX-IT는 이 공격자들이 클라이언트포털(ClientPortal) 웹사이트만을 트래픽을 가로채는 공격 대상으로 삼았다고 밝혔다. FOX-IT에 따르면, 해커들은 클라이언트 포탈로 전송되는 로그인 시도 및 인증정보, 파일 등 모든 데이터에 접근했다.
  • 북한이 배후에 있는 것으로 추정되는 라자러스(Lazarus) 그룹이 런던의 암호화폐 기업을 공격했다. 악명높은 APT 그룹중 하나인 라자러스(Lazarus) 그룹이 복귀하며 런던의 암호화폐 기업의 직원 인증정보(credentials)를 훔치기 위한 스피어피싱(spearphishing) 캠페인을 진행하고 있다. 라자러스 그룹의 활동은 2014년과 2015년에 급등했는데, 이 그룹의 일원이 맞춤형 악성코드를 공격에 사용했으며, 이들에 대해 조사했던 보안전문가들은 이를 아주 정교한 악성코드로 평가하고 있다. 이들은 최소 2009년 부터 활동해 왔으며, 이르면 2007년까지도 생각할 수 있다. 그리고 사이버 스파이 행위와 데이터 및 시스템 장애를 목적으로 한 파괴행위까지 모두 연관되어 있다. 보안연구가들은 복한의 라자러스 APT 그룹이 최근 방글라데시 사이버 절도사건을 포함한 은행공격의 배후임을 밝혀냈다. 이들에 따르면, 이 라자러스 그룹이 전세계를 대상으로 하는 기타 다른 대규모의 사이버 스파이 작전들의 배후이기도 하다. 여기에는 Troy Operation, DarkSeoul Operation, Sony Pictures 해킹도 포함된다.
  • 머니테이커(MoneyTaker) 해킹그룹이 미 은행들로부터 수백만 달러를 훔친 것으로 드러났다. Group-IB에 따르면, 이 해킹그룹이 라틴 아메리카의 은행들을 다음 공격 대상으로 노리고 있다. 러시아어를 사용하는 해킹그룹인 MoneyTaker가 미국내 20개 이상의 은행들에서 2016년 5월 부터 수백만 달러를 훔쳤으며, 라틴 아메키라의 금융 기관들에 대한 공격태세를 취하고 있다고 모스크바 기반의 Group-IB가 경고했다. 이들에 따르면, MoneyTaker라 불리는 이 해킹그룹의 작업방식(modus operandi)은 공격대상 은행의 네트워크로 침입해 들어가 ATM 인출 사기(fraudulent ATM withdrawals)를 위해 카드 처리 시스템(card processing systems)을 조작한다. 이 해킹그룹의 피해기관에는 캘리포니아, 일리노이, 플로리다를 포함한 10개 주의 은행들이다. 이 은행들은 이 공격들로 평균 50만 달러의 피해를 입었다. (12일에서 이어짐)

Detailed News list

  • FOX-IT
    • [SecurityAffairs]
      The cybersecurity firm Fox-IT disclosed a security breach that affected its infrastructure
    • [HelpNetSecurity]
      Security company Fox-IT reveals, details MitM attack they suffered in September
    • [SecurityWeek]
      Hackers Target Security Firm Fox-IT
  • Lazarus group
    • [SecurityAffairs]
      Lazarus APT Group targets a London cryptocurrency company
    • [InfoSecurityMagazine]
      North Korea Attacks London Cryptocurrency Firm
    • [ZDNet]
      North Korean Trojans Are Attempting To Steal Bitcoin
  • MoneyTaker Group
    • [BankInfoSecurity]
      Report: Russian Hackers Target Banks in US, Britain, Russia

 

Malwares

Summaries

  • 맥 장치들을 공격하는 OSX.Pirrit 악성코드가 탐지되었다. 보안전문기업 Cybereason의 보안연구가 Amit Serper가 OSX.Pirrit 애드웨어(adware) 변종을 탐지했다. 이 악성코드 변종은 macOS를 대상으로 하며, 공격자는 mac 컴퓨터에 침입 및 장악 할 수 있다. 전세계 수천대의 맥 장치들이 이 애드웨어에 감염된 것으로 보인다. 이 캠페인은 일반적인 애드웨어 캠페인과는 조금 다른 양상을 보이는데, Serper가 밝힌 바에 따르면 다른 애드웨어 캠페인들은 컴퓨터를 광고로 도배 하는것에 그치지만, 이 악성코드는 거기에 더해 사용자에 대한 스파이 행위까지 수행한다. 그리고 공격자가 사용자의 개인정보를 캡쳐 할 수 있게도 한다. 이 악성코드는 은행계좌 로그인 및 금융, 비즈니스 데이터 등 민감 개인정보를 훔친다.
  • 트렌드 마이크로(Trend Micro) 보안 연구가들이 최근 ATM에서 정보를 훔치는 목적으로 특화된 악성코드를 발견했다. PRILEX라고 명명된 이 악성코드는 비쥬얼베이직(Visual Basic) 6.0으로 작성되었다. 이 악성코드는 뱅킹 어플리케이션을 하이재킹하고 ATM 사용자들의 정보를 훔치도록 설계되었다. 이 악성코드는 브라질에서 발견되었다. 처음 보고 된 것은 2017년 10월 이었으며, PRILEX는 특정 동적 링크 라이브러리(DLLs, Dynamic Link Libraries)를 후킹해 자체 응용프로그램 화면으로 대체(replace)하도록 만들어졌다. 공격 대상이 되는 DLL들은 브라질 은행에서 사용하는 ATM 어플리케이션에 속한 P32disp0.dll, P32mmd.dll, P32afd.dll 이다.

Detailed News List

  • OXS.Pirrit
    • [HackRead]
      New OSX.Pirrit Malware floods Mac devices with ads; spies on users
  • PRILEX ATM Malware
    • [SecurityWeek]
      New “PRILEX” ATM Malware Used in Targeted Attacks
    • [InformationSecurityBuzz]
      Hackers Steal £7.5m Through Targeted ATM Attacks

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 기업 메일을 해킹해 돈을 가로채는 사기(BEC, Business Email Compromise)를 벌였던 나이지리아인이 결국 미국 감옥에 가게 되었다. 나이지리아 국적의 남성이 미국 법원에서 BEC 사기사건에 대하여 유죄 판결을 받아 41개월의 징역을 살게 되었다고 미 사법부가 목요일 발표했다. 범인은 David Chukwuneke Adindu로 2016년 11월에 미국 당국에 의해 체포되었다. 그는 6월에 유죄를 인정했고 그의 범죄로 최소 15년형에 처해있었다. 거기에 더해, 그는 140만 달러의 배상금을 지불하라고 판결 받았다. 검찰에 따르면 Adindu는 나이지리아와 중국에서 거주한 적이 있으며, 조작된 이메일을 보내 그와 공모자들이 관리하던 은행 계좌로 돈을 보내도록 만들었던 사기사건에 일부로 연관되어 있다. 그는 2014년과 2016년 사이에 이 사기사건에 가담했다.
  • 미라이(Mirai) 봇넷을 운영한 혐의로 세명의 해커가 유죄를 인정했다. 이 세명은 수많은 인터넷에 연결된 장치들을 감염시켜 만든 미라이 봇넷(Mirai Botnet)을 생성, 운영, 판매한 것에 대하여 유죄를 인정했다. 이 봇넷은 작년에 호스팅 회사, 소셜미디어 플랫폼, 기타 온라인 기업들에 대하여 수많은 분산서비스거부(DDoS, Distributed Denial of Service) 공격을 실행했다. (14일에서 이어짐)
  • Dridex 악성코드를 사용해 수백만 달러를 훔친 범인을 도운 혐으로 한 남성이 감옥에 가게되었다. 2017년 12월 12일 화요일, 바클레이즈(Barclays)은행에서 일하던 29세의  Jinal Pethad가 두명의 몰도바인(Moldovan) 사이버 범죄자들의 3백만 달러(£2.5 million) 이상의 자금을 그가 일했던 Barclays Ealing 런던 지점에서 돈세탁하는 것을 도운 죄로 6년 4개월 형에 처해졌다. 두명의 사이버 범죄자는 Ion Turcan과 Pavel Gincota로 밝혀졌으며, Dridex 뱅킹 악성코드를 사용한 것과 Pethad에게 도움을 댓가로 보수를 지불한 점으로 각각 5년 8개월과 7년형에 처해졌다. (14일에서 이어짐)

Detailed News List

  • BEC Scams
    • [SecurityWeek]
      Nigerian Sentenced to Prison in U.S. for BEC Scams
    • [WeLiveSecurity]
      Business Email Compromise scammer sentenced to 41 months in prison
  • Mirai
    • [InfoSecurityMagazine]
      Mirai Masterminds Plead Guilty
  • Barclays
    • [InfoSecurityMagazine]
      Barclays Bank Insider Sentenced for Role in Dridex Plot

 

Vulnerability Patches/Software Updates

Summaries

  • HP 노트북에 키로거(Keylogger)로 사용될 수 있는 디버그 코드가 포함된 드라이버가 설치되어 판매되었다는 기사가 발표되었었다. 이에 대한 반대 기사가 다시 나왔다. Synaptics는 수백개 HP 노트북에 키로거가 설치되어 있다는 기사는 정확하지 않다고 말했다. 수요일에 발표된 내용에서, Synaptics는 자사의 소프트웨어가 키로거로 잘못 보도되었다고 밝혔다. 그리고 디버깅 컴포넌트를 자사의 Synaptics Touchpad Driver 제품에서 제거할 것이라 밝혔다. (15일에서 이어짐)

Detailed News List

  • HP Keylogger
    • [SecurityWeek]
      Synaptics to Remove “Keylogger” Functionality From Drivers

 

Data Breaches/Info Leakages

Summaries

  • 캘리포니아 투표자 1,900만명의 기록이 몽고(Mongo)DB 공격에 의해 몸값 지급을 요구당하고 있다. 이 기록은 보안설정이 되어있지 않은 MongoDB 데이터베이스에서 유출되었다. 이 사건을 발견한 Kromtech의 보안연구가에 따르면, 1,920만명이 넘는 캘리포니아 거주자 투표 등록 데이터가 보안이 되어있지 않은 MongoDB 데이터베이스에 존재하다가 삭제당하는 사건이 벌어졌고 공격자는 이 데이터를 가지고 몸값을 요구하고 있다.

Detailed News List

  • MongoDB Attack
    • [DarkReading]
      19 M California Voter Records Held for Ransom in MongoDB Attack

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 새로운 트라이톤(Triton) 악성코드가 주요 사회기반시설(critical infrastructure)에 대한 공격을 준비하고 있는 것이 탐지되었다. 산업 제어 시스템(ICS, Industrial Control Systems)을 노리는 새로운 Triton 악성코드가 파이어아이(FireEye) 연구자들에 의해 발견되었다. 트라이톤(Triton)이라 명명된 이 악성코드는 이름이 알려지지 않은 주요 사회기반시설 기관(critical infrastructure organization)을 노린 공격에 사용되어왔다. 보안전문가들은 금전적인 동기가 부족한 점과 공격의 정교한 수준으로 보았을때, 국가가 배후에 있는(state-sponsored) 공격자가 사보타주를 목적으로 한 것으로 보고있다. 파이어아이는 아직까지 Triton 공격을 어떠한 APT 그룹과도 연관짓지 않았다. 보안 전문가들은, 그들이 탐지한 행위들이 작전의 정찰단계 일부(part of the reconnaissance phase)였을 것이라 추정하고 있다. Triton 악성코드는 Schneider Electric의 Triconex Safety Instrumented System(SIS) 컨트롤러를 공격 대상으로 만들어졌다. 이 제품들은 산업 환경에서 프로세스 상태를 모니터하고 잠재적으로 위험한 상황에서 안전하게 복구하거나 차단하기 위한 제품이다. (15일에서 이어짐)
  • Pen Test Partners의 보안연구가들이 많은 학교들의 난방 제어기의 웹 인터페이스가 공공 인터넷에서 접근가능하며, 안전하지 않다는 사실을 발견했다. 이러한 취약한 시스템과 설정들이 비단 학교뿐만 아니라, 정부 사무실, 대학교, 소방서, 레스토랑에도 존재한다. 조사를 진행했던 Pen Test Partners에서는 이미 몇몇시스템들이 해킹당했다는 사실을 발견했다. 이러한 문제의 대부분은 HVAC(Heating, Ventilation and Air Conditioning)과 빌딩 관리 시스템(Building management system) 설치업자들에 의해 일어난다. 장치들이 고립 네트워크에 존재하며 외부로 노출되지 않아야 하는데 지켜지지 않는것이다. (13일에서 이어짐)

Detailed News List

  • Triton Malware
    • [Computing]
      Cyber security firm responds to ICS Attack framework dubbed Triton
    • [ThreatPost]
      Triton Malware Targets Industrial Control Systems in Middle East
    • [HackRead]
      Hackers Deploy Triton Malware to Shut Down Power Station
    • [SecurityWeek]
      Iran Used “Triton” Malware to Target Saudi Arabia: Researchers
    • [BankInfoSecurity]
      How Malware Known as Triton Threatens Public Safety
    • [HelpNetSecurity]
      Attackers disrupt plant operations with ICS-tailored malware
    • [ZDNet]
      Hackers Use Triton Malware To Shut Down Plant, Industrial Systems
    • [TripWire]
      New “Triton” Attack Framework Targeting ICS Systems
    • [TheHackerNews]
      TRITON Malware Targeting Critical Infrastructure Could Cause Physical Damage
  • Schools
    • [BBC]
      Schools Warned Over Hackable Heating Systems

 

Crypto Currencies/Crypto Mining

Summaries

  • 비트피넥스(Bitfinex)가 분산서비스거부(DDoS, Distributed Denial of Service) 공격으로 잠시 운영을 중단한 이후, 다시 서비스를 복구했다. 비트피넥스(Bitfinex)는 세계 최대의 암호화폐 거래소 중 하나다. 비트피넥스는 지난 화요일인 12월 12일에 끊임없는 DDoS 공격을 받은 끝에 운영을 중단해야 했다. 홍콩에 위치한 비트피넥스는 트워터를 통해 고객들에게 상황을 공지했다. 다행이 DDoS 공격이 사용자들의 자금에는 영향을 미치지 못했다. (15일에서 이어짐)

Detailed News List

  • Bitfinex
    • [InformationSecurityBuzz]
      Worlds Largest Bitcoin Exchange Bitfinex Hit By Cyberattack

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 크렙스온시큐리티의(KrebsOnSecurity) 브라이언 크렙스(Brian Krebs)가 얼마전 해킹당했던 나이스해시(NiceHash)의 기술책임자(CTO)가 Darkode 사건 및 봇 운영으로 유죄판결을 받았었다고 밝혔다. 2017년 12월 6일, 약 5,200만 달러 가량의 비트코인이 나이스해시(NiceHash)로 부터 사라졌다. 나이스해시는 슬로베니아 기업으로, 사용자들이 컴퓨팅 파워를 팔아서 가상화폐를 벌 수 있게 해주는 플랫폼이다. 이 절도사건의 수사가 끝나가는 와중에, 많은 나이스해시 사용자들은 회사의 기술 총책임자(CTO, Chief technology office)가 최근 거대 봇넷을 운영하고 판매했던 사건과 최근까지 세계 최대의 영어기반 사이버범죄 포럼인 ‘Darkode’를 만들고 운영했던 일로 수년간 감옥에 있었다는 사실을 알고 놀라움을 감추지 못했다. 2013년 12월에 나이스해시 CTO인 Matjaž Škorjanc는 마리포사(Mariposa) 봇넷을 만든 악성코드 제작으로 4년 10개월 징역형을 선고받았다. 마리포사는 전세계 100만대가 넘는 컴퓨터를 감염시키며 가장 큰 봇넷 중 하나가 되었다.
  • 웹사이트의 데이터 침해여부를 탐지하는 새로운 툴이 소개되었다. 캘리포니아 샌디애이고 대학교의 IT 보안 연구자들이 웹사이트가 침해당한적 있는지를 판별해주는 툴의 프로토타입을 개발했다. TripWire라는 이름의 이 툴은 2015년 1월부터 2017년 2월까지 2,300 여개의 웹사이트를 대상으로 테스트 되었다.
  • 페이스북이 인증서 투명성 점검을 위한 툴을 소개했다. 2016년 12월에 공개한 Certificate Transparency Monitoring utility에 이어서, 페이스북이 개발자를 위한 Certificate Transparency framework을 공개했다. 작년의 툴은 페이스북 자체의 TLS 인증서 발급 모니터 서비스를 통해 수집한 데이터에 접근기능을 제공하는 것이 목적이었다. 이 툴은 구글의 인증서 투명성 프레임워크(Certificate Transparency framework)를 사용했는데, 오발급된(mis-issued) TLS 인증서들을 탐지하고, 이것들을 사용해 HTTPS 트래픽을 가로채는 시도를 막을 수 있었다. 페이스북은 자사 시스템과의 푸시기반 통합(push-based integrations)기능을 제공하기 위해서, 새로운 웹훅(Webhooks) API를 제공한다. 이 API는 개발자들이 지속적으로 외부로부터 인증서 목록을 내려받거나(pulling) 알림을 기다릴(waiting for notifications) 필요 없이, 모니터링할 도메인을 지정하고 웹훅(webhook)을 등록할 수 있다. 이 도메인들에 대해 새로운 인증서가 발급될 때 마다, 그 인증서에 대한 정보가 개발자가 지정한(developer-specified) 엔드포인트(endpoint)로 전송된다.
  • 어배스트(Avast)가 악성코드 분석을 위한 디컴파일러를 오픈소스로 공개했다. Retargetable Decompiler의 줄임말인 RetDec으로 알려진 이 디컴파일러는 체코 공화국(Czech Republic)의 브르노 기술 대학(Brno University of Technology) 정보기술 학부(Faculty of Information Technology)와 AVG Technologies의 공동 프로젝트로 시작되어 개발된 7년간의 노력의 산물이다. AVG Technologies는 2016년에 어배스트(Avast)가 인수헀다. 이 툴은 실행파일을 플랫폼에 구애받지 않으며 분석할 수 있게(platform-independent analysis ) 해준다. 이 소스코드는 GitHub에 MIT 라이선스로 공개되어 있으며, RetDec은 누구나 무료로 사용할 수 있고, 소스코드를 연구하거나 수정, 재배포 할 수 있다. (15일에서 이어짐)

Detailed News List

  • Botmaster
    • [KrebsOnSecurity]
      Former Botmaster, ‘Darkode’ Founder is CTO of Hacked Bitcoin Mining Firm ‘NiceHash’
  • TripWire Tool
    • [HackRead]
      New tool exposes websites that have suffered data breaches
    • [NakedSecurity]
      Simple research tool detects 19 unknown data breaches
  • Facebook Certificate Transparency Tools
    • [SecurityWeek]
      Facebook Releases New Certificate Transparency Tools
  • Avast Decompiler
    • [TheRegister]
      Merry Xmas, fellow code nerds: Avast open-sources decompiler

 

Posted in Security, Security NewsTagged BEC Scammers, Certificate, Certificate Transparency, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, Cyber Espionage, Dark Seoul, Darkode, Dridex, HVAC, ICS, Industrial Control System, Infrastructure, Keylogger, Lazarus, Malware, Man-in-the-Middle Attack, Mirai, MITM, MoneyTaker, Operation Troy, OSX.Pirrit, PRILEX, Retargetable Decompiler, RetDec, Spearphishing, Triton Malware, VulnerabilityLeave a comment

Security Newsletters, Nov 22nd, 2017

Posted on 2017-11-22 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats

Summaries

  • 악명높은 라자러스(Lazarus) 해킹 그룹이 대한민국을 노리고 있다는 기사가 나왔다. 북한과 관련된 것으로 믿어지는 라자러스(Lazarus) 해킹 그룹이 새로운 안드로이드 악성코드를 사용해 대한민국 스마트폰 사용자를 노리고 있다. 맥아피(McAfee)와 팔로알토(Palo Alto Networks)가 월요일에 자사 블로그에 Hidden Cobra로 알려진 해킹 그룹의 최근 활동에 대한 기사를 올렸다. 이 그룹은 소니와 금융기관들을 공격했던 정교한 몇몇 공격에 책임이 있는 것으로 보여진다. 그리고 최근의 WannaCry 공격과도 연관된 것으로 추정된다. 이 그룹과 관련되어 있다고 믿어지는 몇몇 작전들은 Operation Blockbuster, Dark Seoul, Operation Troy가 있다. 맥아피에 의해 분석된 악성코드 샘플은 APK 파일 형태로 배포되고, 구글 플레이에 존재하는 GODPeople이라는 개발자에 의해 개발된 한국 성경 앱인 것처럼 만들어졌다. 그러나 악성 앱은 공식 앱 스토어에 올라가 있지 않아 어떤 유포 방식이 사용되었는지는 불명확하다.
  • 중국 해커들이 러시아, 인도, 기타 아시아 국가들을 대상으로 공격을 진행중이다. 카스퍼스키 랩(Kaspersky Lab)의 3분기 리포트에 따르면, 24개의 사이버 공격중 10건이 중국 해커그룹에 의해 실행되었다. 카스퍼스키의 보안전문가는 이 사이버 범죄자들의 주 공격 대상중 하나는 러시아 였다고 말했다. 그리고 인도나 몽골와 같은 기타 아시아 국가도 대상으로 삼았다. 7월에 카스퍼스키는 IronHusky라 불리는 사이버 스파이 작전을 탐지했다. 이 공격은 러시아와 몽골 정부, 항공 기업(Aviation companies), 연구소(Research institutes)들을 공격 대상으로 삼았다. 그리고 양국이 몽골 방공에 관련된 여러 프로젝트에서 협력하는 것에 대해 협상을 한 직후 사고가 일어났다. 카스퍼스키는 또한 넷사랑(NetSarang)과 CCleaner 역시 이 중국 해커들에 의해 공격대상이 되었다고 밝혔다. 넷사랑 사이트에서 유포된 설치 패키지를 감염시켜 악성코드를 함께 배포했다.

Detailed News list

  • Lazarus group
    • [SecurityWeek] North Korean Hackers Target Android Users in South
    • [CyberScoop] Hackers tied to North Korea target South Korea through Google Play Store, researchers say
    • [DarkReading] North Korea’s Lazarus Group Evolves Tactics, Goes Mobile
    • [McAfee] Lazarus Cybercrime Group Moves to Mobile Platform
    • [McAfee] Android Malware Appears Linked to Lazarus Cybercrime Group
  • Chinese Hackers
    • [EHackingNews] Russia, India and other Asian countries targeted by Chinese Hackers

 

Malwares/Exploits/Vulnerabilities

Summaries

  • US-CERT가 윈도우즈의 ASLR 구현에 취약점이 존재한다고 경고했다. US-CERT(U.S. Computer Emergency Readiness Team)은 마이크로소프트(Microsoft)의 Windows 8, Windows 8.1, Windows 10에 영향을 주는 ASLR(Address Space Layout Randomization)의 구현상의 취약점이 있다고 밝혔다. 이 취약점은 원격의 공격자가 영향받는 시스템을 장악할 수 있게 한다. 마이크로소프트는 문제를 조사중이라고 밝혔다. ASLR은 다수 데스크탑과 모바일 운영체제에서 사용하는 시스템 보안 기술이다. ASLR은 메모리 기반의 코드 실행 공격을 방지하는데 사용되어 왔으며 iOS, Android, Windows, MacOS, Linux 각각 ASLR을 시스템 보안을 위해 사용하고 있다.
  • HP 프린터(HP Enterprise Printers)에서 코드실행 취약점(Code execution flaw)이 발견되었다. HP의 일부 기업용 프린터(enterprise printers)에서 심각한 원격 코드 실행 취약점이 발견되었다. HP는 이에 대해서 이미 패치를 개발 했으며, 이번주 중에 고객들이 사용 할 수 있게 한다고 발표했다.
  • 새로운 버젼의 BankBot 안드로이드 뱅킹 악성코드가 구글 플레이 스토어에 숨어들어 웰스파고(WellsFargo), 체이스(Chase), DiBa, Citibank와 같은 대형은행 앱들을 노리고 있다. Avast, ESET, SfyLabs가 함께 찾아낸 바에 따르면, 미국, 호주, 독일, 네덜란드, 프랑스, 폴란드, 스페인, 포르투갈, 터키, 그리스, 러시아, 도미니카 공화국, 싱가폴, 필리핀의 사용자들을 노리는 앱이 사용자들을 감시하고 은행 로그인 정보를 수집하며, 돈을 훔치고 있다. 새로운 버젼의 BankBot은 믿을만한 플래시라이트 앱들로 가장하고 숨어서 사용자들이 다운로드 하도록 속인다. 그리고 두번째 단계에서 BankBot, Mazar, Red Alert과 같은 추가적인 악성코드를 다운로드한다.

Detailed News List

  • ASLR Implementation flaw
    • [ThreatPost] US-CERT WARNS OF ASLR IMPLEMENTATION FLAW IN WINDOWS
    • [BankInfoSecurity] Windows 10 Security Feature Broken, CERT/CC Warns
    • [SecurityAffairs] Windows 8 and newer versions fail to properly implement ASLR
    • [TheRegister] Windows 8 broke Microsoft’s memory randomisation
    • [DarkReading] Researcher Finds Hole in Windows ASLR Security Defense
    • [SecurityWeek] Windows 8 and Later Fail to Properly Apply ASLR
  • HP Printer
    • [SecurityWeek] Using Unsecured IoT Devices, DDoS Attacks Doubled in the First Half of 2017
  • BankBot
    • [InfoSecurityMagazine] BankBot Android Trojan Re-emerges Globally

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 이란인 남성이 유명 드라마인 게임 오브 스론(Game of Thrones)의 해킹 혐의를 받고 있다. 미 법무부(the department of justice)는 이란인 남성이 HBO케이블 방송국을 해킹해 게임오브스론(Game of Thrones)의 스크립트를 훔치고 600만 달러의 몸값을 요구한 혐의로 기소했다. Behzad Mesri는 금전적인 목적으로 컴퓨터에 허가되지 않은 접근을 한 혐의를 받고 있다. 법원 문서에 따르면 그는 이란의 군대에서 일했고, 미국 웹사이트들을 디페이싱(Defacing)하는 일들에 연관되었다. 그리고 HBO의 컴퓨터 네트워크와 직원들에 대한 온라인 정찰(online reconnaissance) 작업을 2017년 5월에 수행한 혐의를 두고있다.
  • 미국 상원이 “영장없는 감시”를 목표로 하고 있다. 미 의회는 아직 비평가들이 다수의 국가 첩보기관에 의한 미국 시민들의 “영장없는 감시”라고 부르는 법안을 통과시키고 있지 않지만, 이미 그 방향을 목표로 한 5개의 제안이 존재하고 있다.

Detailed News List

  • Game of Thrones
    • [BBC] Iranian Charged With Game Of Thrones Hack
    • [CyberScoop] FBI charges man in massive data theft from HBO
    • [NYTimes] Iranian Hacker Charged in HBO Hacking That Included ‘Game of Thrones’ Script
    • [SecurityWeek] U.S. Charges Iranian Over ‘Game of Thrones’ HBO Hack
    • [DarkReading] Iranian Nation-State Hacker Indicted for HBO Hack, Extortion
  • Warrantless surveillance
    • [NakedSecurity] US Senate takes aim at “warrantless surveillance”

 

Vulnerability Patches/Software Updates

Summaries

  • 얼마전 인텔 칩의 Intel Management Engine에 공개되지 않은 또다른 컴퓨터가 포함되어있어, 웹서버 및 파일 시스템, 네트워킹 등의 기능이 지원되고 거기에서 취약점이 발견되었다는 기사가 나온 적 있다. 인텔이 그 취약점들을 수정하는 펌웨어를 릴리즈 했다. 이 펌웨어는 Intel Management Engine(IME), Intel Trusted Execution Engine(TXE), Intel Server Platform Services(SPS)의 취약점을 수정한다.

Detailed News List

  • Intel Chips
    • [HelpNetSecurity] Intel chips riddled with deadly flaws
    • [SecurityWeek] Intel Chip Flaws Expose Millions of Devices to Attacks
    • [ZDNet] Intel: We’ve found severe bugs in secretive Management Engine, affecting millions
    • [BankInfoSecurity] Millions of Computers Affected By Intel Firmware Flaws
    • [TheHackerNews] Critical Flaws in Intel Processors Leave Millions of PCs Vulnerable
    • [CyberScoop] Intel patches flaw that leaves millions of computers vulnerable to hidden attacks
    • [TheRegister] Intel finds critical holes in secret Management Engine hidden in tons of desktop, server chipsets
    • [ThreatPost] Intel Patches CPU Bugs Impacting Millions of PCs, Servers

 

Privacy

Summaries

  • 구글이 위치정보 기능이 꺼져있을 때에도 위치정보를 수집하고 있다는 기사가 나왔다. 구글이 이번해 초부터 모든 안드로이드 장치들에서 위치정보 서비스가 완전히 비활성화 되어있는 상태이더라도 지속적으로 정보를 수집하고 구글로 보내온 것으로 드러났다. Quartz가 진행한 조사에서 드러난 이 사실은, 안드로이드 스마트폰이 근처의 기지국 주소를 수집하고 이 데이터는 기지국 삼각측량에 사용될 수 있다. 이 방식은 근처의 세개 혹은 그 이상의 기지국들을 사용해서 스마트폰이나 장치의 위치를 알아내는데 널리 사용되는 기술이다. 매번 새로운 기지국 범위 내로 안드로이드 장치가 접근할 때마다, 안드로이드 장치는 기지국 장치를 수집하고, 이 안드로이드 기기가 WiFi 네트워크에 접속되거나 전화 데이터 통신이 가능해지면 수집된 정보를 구글로 보낸다.

Detailed News List

  • Location Data
    • [TheHackerNews] Google Collects Android Location Data Even When Location Service Is Disabled
    • [TechDirt] Investigation Finds Google Collected Location Data Even With Location Services Turned Off

 

Data Breaches/Info Leakages

Summaries

  • 영국의 Jewson이 해커에 의한 공격을 받았다고 인정했다. Jewson은 고객들에게 그들의 개인 및 금융 데이터가 해커에 의해 도난당했을 가능성이 있다고 알렸으며, 이 사건이 웹사이트를 침해당한 후 발생 했다고 밝혔다. 11월이 되어서야 밝혀진 이 침해사고는 8월에 발생한 것으로 보인다. 이는 공격을 한 해커가 발각되지 않은 상태로 회사 내 네트워크에서 악의적인 행위를 몇주간 진행했을 가능성이 존재한다는 의미이기도 하다.

Detailed News List

  • Jewson Data Breach
    • [International Business Times] Jewson data breach: Hackers may have stolen over 1,600 customers’ personal and credit card data
    • [InformationSecurityBuzz] Jewson Data Breach

 

Industrial/Infrastructure/Physical System/HVAC/SCADA

Summaries

  • 해커가 새크라멘토(Sacramento)의 교통 시스템(SacRT, Sacramento Regional Transit)을 해킹하고, 공격을 중단하는 대가로 돈을 요구하는 사건이 발생했다. 업체의 웹페이지를 디페이싱(Defacing)하고 일부 서버의 데이터를 지웠으며 추가적인 피해를 입히지 않는 조건으로 돈을 요구했다. 해커들은 토요일인 지난 18일에 업체의 메인 웹페이지에 취약점 수정을 도와주겠다는 문구를 게시하며 존재를 알렸고, 일요일에는 일부 가상 서버를 지우고 페이스북 메시지로 공격을 멈추기 위해서는 돈을 지불하라는 메시지를 보냈다. 그들은 비트코인 약 8천 달러 정도를 요구했는데 SacRT측은 대응하지 않기로 결정을 내렸다.

Detailed News List

  • Transit System
    • [HelpNetSecurity] Hackers hit Sacramento transit system, demand money to stop attack
    • [TripWire] Hackers Demanded $8K from Sacramento Regional Transit after Attack
    • [HackRead] Sacramento Regional Transit System in California Held for $7,000 Ransom

 

Internet of Things

Summaries

  • Corero Network Security는 최근 DDoS 트렌드 및 분석 리포트에서, 안전하지 않은 사물인터넷(IoT, Internet of Things) 장치들의 확산과 DDoS구매서비스(DDoS-for-hire) 가용성의 증가로 인해서 DDoS를 겪는 고객들이 가파르게 증가하고 있다고 밝혔다. 지난 3분기 동안 기업들은 매달 평균 237건의 DDoS 공격 시도를 겪었으며, 이는 매일 8건의 DDoS 공격을 겪는 셈이다. 그리고 지난 분기에 비해 월별 공격시도가 35% 증가했으며, 1분기에 비해서는 월 공격 시도가 91% 증가했다.

Detailed News List

  • DDoS Attacks Doubled
    • [InfoSecurityMagazine] DDoS Attacks Nearly Double Since January
    • [DarkReading] DDoS Attack Attempts Doubled in 6 Months
    • [HelpNetSecurity] Criminals leverage unsecured IoT devices, DDoS attacks surge
    • [SecurityAffairs] Using Unsecured IoT Devices, DDoS Attacks Doubled in the First Half of 2017

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 보상 포인트(Rewards points)를 노리는 사이버 사기 범죄가 증가하고 있다. 러시아 포럼에서 훔친 보상 포인트를 사용한 예약 서비스가 인기를 끌고 있다. 더 나아가서는 일부는 호텔 부킹 사이버범죄를 목적으로 하는 자신들의 회원 그룹을 만들기도 했다. 이 회원중 하나는 2014년 12월부터 포럼 두개에 여행 “예약 서비스”를 광고해왔다. 고객들은 이들이 제공하는 서비스로 다녀온 여행에서 찍은 사진들을 정기적으로 올리기도 했다. 흥미롭게도 여기서 팔리는 티켓은 러시아 국내선을 제외하고는 전세계 어디라도 갈 수 있다.
  • 기술지원 사이트(Tech support sites)로 위장한 온라인 사기가 벌어지고 있다. 사기 범죄자들이 불특정 사용자들을 가짜 핫라인으로 전화하게 만드는 기법을 시험하고 있다고 마이크로소프트가 발표했다. 이 방식은 최근 사이 범죄자들에 의해 개발된 방법으로, 실제론 존재하지 않는 문제에 대한 기술지원으로 사용자들을 속인다.

Detailed News List

  • Rewards Points Theft
    • [InfoSecurityMagazine] Rewards Points Theft is a Growing Piece of the Cybercrime Pie
  • Fake tech support sites
    • [ZDNet] Microsoft warns: Bogus Apple, Windows tech support sites open your phone app

 

Crypto Currencies/Crypto Mining

Summaries

  • Tether가 사이버 공격으로 해커들에게 $3,000만에 해당하는 토큰을 빼앗겼다. 빼앗긴 암호화폐는 USDT로 Tether가 옴니 레이어 프로토콜(Omni Layer Protocol)을 사용해 비트코인(Bitcoin) 블록체인(blockchain)으로 발행한 미국 달러기반의 자산이다. Tether는 $30,950,010 USDT가 Tether Treasury 지갑에서 2017년 11월 19일에 사라졌으며, 허가되지 않은 비트코인 주소(16tg2RJuEPtZooy18Wxn2me2RhUdC94N7r)로 전송되었다고 밝혔다.

Detailed News List

  • Tether loses $30m
    • [InfoSecurityMagazine] Crypto-Currency Firm Tether Loses $30m to Hackers
    • [TheHackerNews] Tether Hacked — Attacker Steals $31 Million of Digital Tokens
    • [HackRead] Hackers steal $30 million worth of cryptocurrency in Tether hack
    • [Mashable] $31 million worth of Tether stolen in latest crypto heist

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 온라인 괴롭힘(Cyber bullying)에서 최악의 명단에 네바다(Nevada) 주가 올랐다. 미 전역 50개주에 걸린 온라인 괴롭힘에 대한 조사에서 네바다주가 가장 심각한 괴롭힘이 있는 것으로 드러났다. 흥미롭게도 네바다주는 온라인 괴롭힘에 대한 법이 존재한다. 그리고 플로리다(Florida), 일리노이(Illinois), 뉴욕(New York) 역시 최악의 10개주에 포함되며, 이들도 온라인 괴롭힘에 대한 법률이 이미 존재한다. 이는 현행 법률의 비 효율성을 보여준다고 할 수 있다.
  • 리누즈 토발즈(Linus Torvalds)가 최근 리눅스 커널 4.15버젼에 대해 제안된 변경 요청에 대해서, 보안 전문가들이 정상적인 일을 한다고 믿을 수 없으며, 일부 보안 전문가들은 완전 병신들(he doesn’t trust security people to do sane things and some security professionals are just f*cking morons)이라는 평을 내놓았다. 이 사건은 구글 픽셀에서 보안전문가로 일하는 Kees Cook이 리눅스 커널 메일링 리스트에 pull 요청을 올리면서 시작되었다.
  • OWASP 2017년 최종 버젼이 공개되었다.
  • 내부자에 의한 정보 도난 및 유출이 25% 증가한 것으로 나타났다. 고등 법원의 사건들을 분석한 결과, 내부 직원이 기밀정보를 훔친 사건들이 1년새 25% 증가했다. 직원에 의한 위협이 데이터와 시스템에 대한 위협 목록에서 상위에 자리잡고 있는데, 이들의 동기는 금전적인 목적에서부터 불만, 강압, 단순 실수 까지 그 범위가 예측하거나 대비하기 매우 어렵다. 내부자 협조에 의한 공격이 일어난 경우, 가장 가치있는 정보(고객 정보)에 직접적으로 접근할 수 있는 경로를 제공하기 때문에 이러한 공격의 영향은 매우 치명적일 수 있다.

Detailed News List

  • Cyberbullying
    • [InfoSecurityMagazine] Nevada Tops the List of Worst States for Cyberbullying
  • F*cking morons
    • [CSOOnline] Linus Torvalds: Some security folks can’t be trusted to do sane things, some are morons
    • [ZDNet] Linus Torvalds: ‘I don’t trust security people to do sane things’
    • [TheRegister] Some ‘security people are f*cking morons’ says Linus Torvalds
  • OWASP 2017
    • [SecurityWeek] Final Version of 2017 OWASP Top 10 Released
  • Insider Threat
    • [InfomationSecurityBuzz] Employees Stealing Confidential Data Up 25%

 

Posted in Security, Security NewsTagged Address Space Layout Randomization, ASLR, BankBot, Crypto Currency, Cyber bullying, Cyber Espionage, Dark Seoul, Data Breach, DDoS, Deface, H2ODecomposition, IME, Information Leakage, Infrastructure, Intel Management Engine, Intel Server Platform Services, Intel Trusted Execution Engine, Internet of Things, IoT, IronHusky, Lazarus, Linus Torvalds, Location Data, Mazar, Operation Blockbuster, Operation Troy, Privacy, Red Alert, SacRT, Scam, SPS, Tech Support Scam, TXE, Vulnerability, WannaCryLeave a comment

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.