Security Newsletters, 2018 Mar 23rd, GitHub 라이브러리 의존성 스캔 外

Posted on 2018-03-23 - 2018-03-23 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

이란과 관련된 것으로 추정되는 해커들이 새로운 데이터 유출 기법을 도입했다는 기사가 공개되었다. 보안기업 Nyotron에 따르면 이란과 관련이 있는 것으로 추정되는 사이버 스파이 그룹이 최근 공격에서 새로운 악성코드와 데이터 유출 기법을 사용했다. 이 그룹은 OilRig이라 알려진 그룹으로, 2015년부터 활동해왔다. 주로 미국과 중동의 금융 및 정치 산업의 기관들을 공격 대상으로 삼아왔다. 관찰된 바에 따르면 이 그룹은 꾸준히 다양한 도구를 사용하며, 새로운 익스플로잇을 빠르게 도입하고, 새로운 트로이 악성코드로 교체해왔다. Nyotron은 OrilRig이 최근의 캠페인에서 대략 20여가지의 다른 도구들을 사용했다고 밝혔다. 그 도구들에는 이전에 탐지되지 않았던 악성코드등도 포함되어 있다. 그리고 데이터 유출을 위해서, 이 스파이그룹은 네트워크 수준의 보안 제품들의 탐지를 회피해서 대상 환경에 거점^(foothold)을 구축하는 것에 매우 집중했다.

Detailed News list

Iran-linked Hackers
- _{[SecurityWeek]}
  Iran-linked Hackers Adopt New Data Exfiltration Methods

Malwares

Summaries

새로운 기능을 탑재한 Trickbot 악성코드를 유포하는 새로운 스팸 캠페인이 확인되었다. Trickbot은 과거 페이팔과 같은 대기업을 포함한 다수의 뱅킹 기업들을 노린 공격에서 탐지되었던 트로이다. Trickbot의 제작자들은 꾸준하게 사용자의 중요 데이터를 수집하기 위한 새로운 방법들을 찾아왔다. 최근에는 연구자들에 의해 드롭박스 스푸핑^{(Dropbox Spoofing)}을 이용한 스팸메일 캠페인이 탐지되었다. Trickbot 악성코드를 유초하는 새로운 스팸 이메일 캠페인은 정식 Dropbox 웹사이트에서 온 것으로 위장했지만 실제로는 비슷해 보이는 사이트를 사용한다.
데이터 유출 방법으로 텔레그램을 사용하는 TeleRAT 악성코드가 확인되었다. 팔로 알토 네트웍스^{(Palo Alto Networks)}에서 Telegram Bot API를 사용해 C&C서버와 통신하고 데이터를 유출하는 TeleRAT이라는 안드로이트 트로이를 탐지했다. TeleRAT은 이전에 탐지된 바 있는 또다른 IRRAT라는 안드로이드 악성코드와의 유사성을 보인다. 이 악성코드도 Telegram의 Bot API를 C&C 통신을 위해 사용한다.

Detailed News List

TrickBot
- _{[HeimdalSecurity]}
  Security Alert: New Spam Campaign Delivers Trickbot Payload, Spoofs Dropbox
- _[ZDNet]
  Old banking Trojan TrickBot has been taught new tricks
- _{[ITSecurityGuru]}
  TrickBot Banking Trojan Gets Screenlocker Component
TeleRAT
- _{[SecurityAffairs]}
  TeleRAT, a new Android Trojan that uses Telegram for data exfiltration

Exploits/Vulnerabilities

Summaries

포츈 500 기업들 절반가량에서 사용하는 ManageEngine에서 심각한 취약점이 다수 발견되었다. EventLog Analyzer 11.8과 Log360 5.3에 영향을 주는 취약점은, 웹 쉘을 업로드해서 어플리케이션을 시작하는 사용자의 권한으로 원격 코드 실행을 할 수 있다. Applications Manager 13에서 발견된 나머지 취약점들은 다음과 같다. blind SQL injection 다수, Local file inclusion, API key disclosure.

Detailed News List

ManageEngine
- _{[ITSecurityGuru]}
  Flaws in ManageEngine apps opens enterprise systems to compromise
- _{[HelpNetSecurity]}
  Flaws in ManageEngine apps opens enterprise systems to compromise

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

넷플릭스^(Netflix)에서 새로운 취약점 제보 포상제도^{(Bug Bounty)} 정책을 발표했다. 넷플릭스는 자사의 버그바운티를 버그크라우드^(Bugcrowd) 플랫폼을 통해 시행하기로 결정했다. 넷플릭스에서는 치명적인 보안 취약점에 대해서 15,000달러가 지급된 것이 가장 높은 보상금이었다고 말했다. 제보할 수 있는 취약점 종류들로는 XSS, CSRF, SQL Injection, 인증 및 권한 관련, 데이터 노출, 원격 코드 실행, 리다이렉션, 비즈니스 로직, MSL 프로토콜, 모바일 API 등이 포함된다.

Detailed News List

Netflix
- _{[SecurityWeek]}
  Netflix Launches Public Bug Bounty Program
- _[TripWire]
  Researchers Can Earn up to $15K in Netflix’s New Public Bug Bounty Program
- _{[ITSecurityGuru]}
  Netflix asks you to start hacking, bug bounty program is now public
- _[ZDNet]
  Netflix asks you to start hacking, bug bounty program is now public
- _{[TheRegister]}
  What ends with X and won’t sue security researchers?

Vulnerability Patches/Software Updates

Summaries

구글에서 크롬OS 장치들을 위한 멜트다운, 스펙터 취약점 패치 계획을 발표했다. 스펙터 및 멜트다운 취약점에 영향을 받는 인텔 프로세서 장치들에 대한 패치가 구글 크롬OS 운영체제의 최신 안정화 채널을 통해 제공될 예정이다.
드루팔 코어의 버그가 다음주 패치될 예정이다. 지난 수요일 드루팔이 개발자들에게 전달한 권고문에 따르면, 2018년 3월 288일 UTC기준 18:00 – 19:30사이에 드루팔 7.x, 8.3.x, 8.4.x, 8.5.x에 대한 보안 릴리즈가 있을 예정이다. 보안 권고문에서는 매우 심각한 보안 취약점이라고 언급했을 뿐, 어떤 버그인지는 밝히지 않았다.

Detailed News List

Chrome OS
- _{[SecurityAffairs]}
  Google is distributing more Meltdown and Spectre Patches for Chrome OS devices
- _{[SecurityWeek]}
  More Chrome OS Devices Receive Meltdown, Spectre Patches
Drupal
- _[ThreatPost]
  Drupal Forewarns ‘Highly Critical’ Bug to be Patched Next Week

Data Breaches/Info Leakages

Summaries

휴가 예약 사이트인 Orbitz가 88만건의 신용카드 정보가 해커에 의해 도난당했을 수 있다고 경고했다. 성명문에 따르면, Orbiz는 지난 3월 1일 자신들의 구^(legacy) 플랫폼 중 하나에서 침입의 흔적을 발견해 포렌식 팀을 요청했다고 밝혔다. Orbitz의 중앙 예약 시스템에 침입이 있었던 것으로 보이며, 이름, 지불 카드 정보, 생일, 전화번호, 이메일 주소, 실제 주소, 청구 주소, 고객의 성별 정보가 유출된 것으로 추정된다. (21일에서 이어짐)
페이스북의 5천만 고객 데이터 유출에 대한 기사가 이어지고 있다. 도널드 트럼프의 대선 캠페인을 맡았던 업체가 5천만 사용자의 데이터를 수집했다는 발표 이후 페이스북 주가가 요동쳤다. 페이스북이 데이터 오용 리포트에 대한 대응으로 트럼프의 2016년 캠페인에 고용되었던 영국의 커뮤니케이션 기업 Cambridge Analytica의 계정을 정지시키면서 이에 대한 수사요청이 대서양 양측에서 일어났다. (20일에서 이어짐)

Detailed News List

Orbitz
- _[McAfee]
  Travel Agency Orbitz Hit with Data Breach, 880,000 Payment Cards Affected
- _{[GrahamCluley]}
  Travel site Orbitz warns data breach may have exposed 880,000 payment card details
- _[TripWire]
  Travel site Orbitz warns data breach may have exposed 880,000 payment card details
- _{[NakedSecurity]}
  880,000 payment cards affected in travel company data breach
Facebook
- _[Forbes]
  What Zuckerberg Should Have Said About Cambridge Analytica
- _[TechDirt]
  Wherein Facebook Loses Recess For Everyone
- _{[NakedSecurity]}
  New whistleblower says Facebook turned a blind eye to covert data harvesting
- _[Forbes]
  1.5B Accounts? Facebook’s Epic Free Data Giveaway Could Be The Largest Privacy Breach Ever
- _[ZDNet]
  Mozilla pulls Facebook advertising after Cambridge Analytica scandal
- _{[NakedSecurity]}
  Mozilla stops Facebook advertising, demands privacy changes
- _{[InfoSecurityMagazine]}
  Fresh Cambridge Analytica Revelations on Election Hacking, Facebook Faces FTC Investigation
- _{[EHackingNews]}
  Cambridge Analytica: More a spy and less an app
- _[Forbes]
  Facebook Is A Drug That’s Hell To Kick, Your Data For A Fix
- _{[BankInfoSecurity]}
  Yes, Mark Zuckerberg, You’ve Really Messed Up Another One
- _[TechDirt]
  Mark Zuckerberg Finally Speaks About Cambridge Analytica; It Won’t Be Enough
- _{[EHackingNews]}
  WhatsApp co-founder asks social users to delete their Facebook account
- _{[HackerOnlineClub]}
  Facebook CEO Mark Zuckerberg Admits It is “Breach of Trust” on Cambridge Analytica Scandal
- _{[SecurityAffairs]}
  Zuckerberg on Cambridge Analytica case: we made mistakes

Service Outage/Malfunction

Summaries

The Pirate Bay 토렌트 트래커가 다운되었다. 그러나 다크웹의 도메인은 운영중이다. The Pirate Bay 도메인이 전세계적으로 접속이 불가능한 상태다. The Pirate Bay는 UTC기준 20시 18분에 다운되었다. 그러나 아직까지 오프라인 상태에 대한 원인은 확실히 밝혀진 바 없다. 지난 4일간 두번째 발생한 다운타임이며, 아직 다크웹 도메인을 통한 접속은 가능한 상태다. 이전에는 미국에 위치한 다국적 인터넷 서비스 제공사인 Cogent Communications에서 Cloudflare의 새 IP주소를 차단하면서 접속장애가 발생한 바 있다. (22일에서 이어짐)

Detailed News List

The Pirate Bay
- _[HackRead]
  The Pirate Bay is Down Again for the 3rd Time in a Week

Crypto Currencies/Crypto Mining

Summaries

Cacti의 Network Weathermap 취약점을 사용해 유포되는 암호화폐 채굴기가 리눅스 서버를 노리고있다. 트렌드마이크로에 따르면 이전의 JenkinsMiner 악성코드를 사용했던 암호화폐 채굴 갬페인와 연관지을 수 있는 칩입시도가 모니터링 과정에서 탐지되었다. 차이점은 이번 캠페인에서는 리눅스 서버들을 공격 대상으로 한다. 전형적인 과거 취약점의 재사용 사례이기도 하다. 트렌드 마이크로는 이 캠페인이 일본, 대만, 중국, 미국, 인도에서 이루어지고 있다고 밝혔다. 이 캠페인에서는 시스템 관리자들이 네트워크 활동내역을 시각화하는데 사용하는 Cacti의 Network Weathermap 플러그인 취약점 ^{CVE-2013-2618}를 공격한다. (22일에서 이어짐)

Detailed News List

Crypto mining malware
- _[ZDNet]
  Cryptocurrency mining malware uses five-year old vulnerability to mine Monero on Linux servers

Technologies/Technical Documents/Statistics/Reports

Summaries

GitHub의 의존성 스캔을 통해 공개 리포지토리에서 4백만개의 보안 취약점이 발견되었다고 밝혔다. GitHub에서 자바스크립트 및 루비 라이브러리들의 오래된 취약점들에 대한 스캔을 통해 4백만개의 버그를 찾아냈다고 밝혔다. 스캐닝은 GitHub에 존재하는 공개 리포지토리들에서 Ruby용 RubyGems 및 JavaScript용 npm에 이미 취약하다고 알려진 라이브러리들을 자동으로 검사한다. 아직 Ruby와 JavaScript 외 모든 취약한 라이브러리들을 지원하진 않는다. GitHub에서는 올해 후반에는 Python 의존성에 대한 지원도 확대할 예정이라 밝혔다. 비공개 리포지토리에서는 보안 경고에 대한 선택^{(opt in)}이 필요하다.

Detailed News List

GitHub
- _[ZDNet]
  GitHub: Our dependency scan has found four million security flaws in public repos

Security Newsletters, 2018 Mar 22nd, Slingshot 캠페인은 미군이 운영한 작전 外

Posted on 2018-03-22 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

카스퍼스키랩^{(KasperskyLab)}에 의해 슬링샷^(Slingshot) 캠페인이 미국이 주도한 작전이었음이 드러났다. 카스퍼스키랩에 의해 슬링샷이라 명명된 사이버 스파이 작전이 미 정부에 의해 테러리스트 단체들의 조직원을 노리고 운영되었던 작전이었음이 드러났다. 이번달 초 카스퍼스키에서 중동 및 아프리카의 기관들의 미크로틱 라우터를 해킹하는 등의 작전을 펼친 위협행위자^{(threat actor)}의 활동내역에 대한 상세 리포트가 공개된 바 있다. 이 스파이 그룹은 최소 2012년부터 활동해 온 것으로 추정되며, 영어로 소통하는 것으로 추정된다고 말했다. 이 그룹이 사용한 악성코드는 연구자가 악성코드 내부에서 발견한 문자열을 따라서 슬링샷이라 명명되었다. 카스퍼스키랩은 주로 케냐 및 예멘에 위치한 약 100여명의 개인 및 기관들이 슬링샷 악성코드의 공격 대상이었음을 확인했고, 그 외에 아프가니스탄, 리비야, 콩고, 요르단, 터키, 이라크, 수단, 소말리아, 탄자니아에도 존재한다. CyberScoop은 전현직 미 첩보기관 공무원들로부터 슬링샷이 미군의 특수작전본부^{(SOCOM, Special Operations Command)}소속인 합동특수작전본부^{(JSOC, Joint Special Operations Command)}에 의해 ISIS나 al-Qaeda와 같은 테러리스트 단체의 조직원을 겨냥한 작전이었음을 확인했다고 주장한다.

Detailed News list

Slingshot
- _{[SecurityWeek]}
  ‘Slingshot’ Campaign Outed by Kaspersky is U.S. Operation Targeting Terrorists: Report

Exploits/Vulnerabilities

Summaries

윈도우즈 원격 어시스턴스에서 파일을 유출시킬 수 있는 취약점이 발견되었고, 최근 Patch Tuesday에서 수정되었다. 마이크로소프트의 윈도우즈 원격 어시스턴스^{(Windows Remote Assistance)}에서 치명적인 취약점이 발견되었다. 이 취약점은 최근의 Windows 10, 8.1, RT 8.1, 7 모든 버젼에 영향을 주며, 원격의 공격자가 공격대상 기기에서 파일을 훔칠 수 있다. 윈도우즈 원격 어시스턴스는 전 세계 어디에서든 문제를 해결하는데 도움을 줄 수 있도록, 누군가가 내 PC를 원격으로 제어할 수 있게 혹은 내가 누군가의 PC를 원격으로 제어할 수 있게 해주는 내장 기능이다. 이 기능은 원격 데스크탑 프로토콜^{(RDP, Remote Desktop Protocol)}에 의존해 상대방과 보안 연결^{(secure connection)}을 맺는다. 그러나 Trend Micro Zero Day Initiative의 Nabeel Ahmed가 발견해 공개한 바에 따르면, Windows Remote Assistance에 정보 노출 취약점^{(information disclosure vulnerability, CVE-2018-0878)}이 존재한다. 공격자가 피해자의 시스템을 장악할 수 있는 정보를 획득할 수 있는 취약점이다. 이 취약점은 이번달 Patch Tuesday에서 수정되었다. 이 취약점은 Microsoft Windows Server 2016, Windows Server 2012 and R2, Windows Server 2008 SP2 and R2 SP1, Windows 10(32/64-bit), Windows 8.1(32/64-bit) and RT 8.1, Windows 7(32/64-bit)에 영향을 미친다. (21일에서 이어짐)

Detailed News List

Windows Remote Assistance
- _{[ITSecurityGuru]}
  Windows Remote Assistance Tool Can Be Used for Targeted Attacks
- _{[SecurityAffairs]}
  Windows Remote Assistance flaw could be exploited to steal sensitive files

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

Polski, Vortex, Flotera 랜섬웨어 제작자 Tomasz T가 지난 수요일 폴란드에서 체포되었고, 금요일 이 사실이 폴란드 법 집행기관에 의해 발표되었다. Thomas 혹은 Amaged0n으로 알려진 Tomasz T는 폴란드 시민권자로 벨기에에서 거주했으며, DDoS 공격, 악성코드 유포, 랜섬웨어를 사용한 파일 암호화 등의 사이버 범죄 혐의를 받고있다. 유로폴과 협업과정에서 벨기에 경찰이 Tomasz T의 집을 수색하고 컴퓨터 장비 및 노트북, 원격 서버, 암호화키를 압수했다. 검찰에 따르면, 용의자가 처음으로 뱅킹 트로이를 통해 사용자의 클립보드에 존재하는 은행계좌번호를 그가 소유한 계좌번호로 바꿔치기 하는 방법으로 돈을 훔친 2013년부터 활동해왔다.

Detailed News List

Author of Three Ransomware Families Arrested in Poland
- _{[EHackingNews]}
  Author of Three Critical Ransomware Families Arrested in Poland

Vulnerability Patches/Software Updates

Summaries

AMD에서 최근 CTS Labs이 발표한 CPU취약점들의 패치를 곧 공개할 예정이라고 발표했다. AMD는 이번달 초 CTS Labs에의해 공개된 취약점들에 대한 패치가 몇 주 안에^{(in the coming weeks)} 릴리즈 될 것이라 밝혔다. AMD의 CTO가 공개한 계획은 다음과 같다. Ryzen 및 Epyc 프로세서에 영향을 주는 MASTERKEY 및 PSP 권한 상승 취약점과 Ryzen, Ryzen Pro, Ryzen Mobile, Epyc 프로세서에 영향을 주는 RYZENFALL, FALLOUT 취약점은 BIOS를 업데이트하는 펌웨어 패치 릴리즈를 통해 수정될 것이며 해당 칩의 퍼포먼스에는 영향이 없다. Ryzen, Ryzen Pro 프로세서에 영향을 주는 CHIMERA 취약점은 동일한 방식으로 수정될 것이며, Promontory 칩셋을 설계 및 제조한 서드파티 제조사인 ASMedia에 의한 대응도 AMD의 협조를 통해 제공될 것이라 밝혔다.

Detailed News List

AMD Preps Fixes
- _{[BankInfoSecurity]}
  Chipmaker AMD Confirms 13 Chipset Flaws, Preps Fixes
- _{[HelpNetSecurity]}
  AMD confirms processor flaws found by CTS Labs, firmware fixes are coming
- _[Forbes]
  Those Nasty AMD Chip Flaws Will Be Patched In A Flash
- _[ZDNet]
  AMD on chip flaws: ‘Newly outed bugs are real but no big deal, and fixes are coming’
- _{[SecurityAffairs]}
  AMD will release the patches for the recently discovered flaws very soon
- _{[TheHackerNews]}
  AMD Acknowledges Newly Disclosed Flaws In Its Processors — Patches Coming Soon
- _{[SecurityWeek]}
  AMD Says Patches Coming Soon for Chip Vulnerabilities

Data Breaches/Info Leakages

Summaries

휴가 예약 사이트인 Orbitz가 88만건의 신용카드 정보가 해커에 의해 도난당했을 수 있다고 경고했다. 성명문에 따르면, Orbiz는 지난 3월 1일 자신들의 구^(legacy) 플랫폼 중 하나에서 침입의 흔적을 발견해 포렌식 팀을 요청했다고 밝혔다. Orbitz의 중앙 예약 시스템에 침입이 있었던 것으로 보이며, 이름, 지불 카드 정보, 생일, 전화번호, 이메일 주소, 실제 주소, 청구 주소, 고객의 성별 정보가 유출된 것으로 추정된다. (21일에서 이어짐)
페이스북의 5천만 고객 데이터 유출에 대한 기사가 이어지고 있다. 도널드 트럼프의 대선 캠페인을 맡았던 업체가 5천만 사용자의 데이터를 수집했다는 발표 이후 페이스북 주가가 요동쳤다. 페이스북이 데이터 오용 리포트에 대한 대응으로 트럼프의 2016년 캠페인에 고용되었던 영국의 커뮤니케이션 기업 Cambridge Analytica의 계정을 정지시키면서 이에 대한 수사요청이 대서양 양측에서 일어났다. (20일에서 이어짐)

Detailed News List

Orbitz
- _[ThreatPost]
  Orbitz Warns 880,000 Payment Cards Suspected Stolen
- _{[EHackingNews]}
  Orbitz data breach has affected 880,000 customers
- _{[PandaSecurity]}
  Travel Fare Aggregator Orbitz has Been Hacked
- _[CSOOnline]
  Orbitz: Hackers likely stole credit card details of nearly 900K Orbitz users
- _{[InformationSecurityBuzz]}
  Orbitz Data Leak
- _{[ITSecurityGuru]}
  Now that’s a bad trip: 880k credit cards ‘likely’ stolen by Orbitz hackers
- _{[HelpNetSecurity]}
  880,000 payment cards, user info hit in Orbitz data breach
- _{[TheHackerNews]}
  Expedia’s Orbitz Says 880,000 Payment Cards Compromised in Security Breach
Facebook
- _[Forbes]
  Facebook Breaks Silence
- _[ZDNet]
  Mark Zuckerberg outlines Facebook’s response to Cambridge Analytica controversy
- _[ThreatPost]
  Zuckerberg Breaks Silence: ‘We Made Mistakes’ Regarding Cambridge Analytica Debacle
- _[ThreatPost]
  Facebook Fallout Continues as Politicians Call For Legal Action
- _{[SecurityWeek]}
  Growing Mistrust Threatens Facebook After Data Mining Scandal
- _[Forbes]
  Facebook’s Data-Sharing Was ‘Normal,’ Says Cambridge Academic At Center OfScandal
- _[TechDirt]
  How ‘Regulating Facebook’ Could Make Everyone’s Concerns Worse, Not Better
- _[HackRead]
  WhatsApp Co-Founder Urges Users to Delete Their Facebook Accounts
- _[TechDirt]
  Facebook Has Many Sins To Atone For, But ‘Selling Data’ To Cambridge Analytica Is Not One Of Them
- _[ZDNet]
  Securing Facebook: Keep your data safe with these privacy settings
- _[TechDirt]
  If You’re Pissed About Facebook’s Privacy Abuses, You Should Be Four Times As Angry At The Broadband Industry
- _{[ITSecurityGuru]}
  Cambridge Analytica CEO, er, nixed as WhatsApp co-founder joins #DeleteFacebook movement
- _{[BankInfoSecurity]}
  Facebook and Cambridge Analytica: Data Scandal Intensifies
- _[Forbes]
  How Cambridge Analytica Used Big Sleaze To Mine Big Data
- _{[InfoSecurityMagazine]}
  Cambridge Analytica Used ProtonMail to Hide Email Paper Trails

Service Outage/Malfunction

Summaries

The Pirate Bay 토렌트 트래커가 다운되었다. 그러나 다크웹의 도메인은 운영중이다. The Pirate Bay 도메인이 전세계적으로 접속이 불가능한 상태다. The Pirate Bay는 UTC기준 20시 18분에 다운되었다. 그러나 아직까지 오프라인 상태에 대한 원인은 확실히 밝혀진 바 없다. 지난 4일간 두번째 발생한 다운타임이며, 아직 다크웹 도메인을 통한 접속은 가능한 상태다. 이전에는 미국에 위치한 다국적 인터넷 서비스 제공사인 Cogent Communications에서 Cloudflare의 새 IP주소를 차단하면서 접속장애가 발생한 바 있다.

Detailed News List

Pirate Bay
- _[HackRead]
  The Pirate Bay is down again but its Dark Web domain is up

Crypto Currencies/Crypto Mining

Summaries

Cacti의 Network Weathermap 취약점을 사용해 유포되는 암호화폐 채굴기가 리눅스 서버를 노리고있다. 트렌드마이크로에 따르면 이전의 JenkinsMiner 악성코드를 사용했던 암호화폐 채굴 갬페인와 연관지을 수 있는 칩입시도가 모니터링 과정에서 탐지되었다. 차이점은 이번 캠페인에서는 리눅스 서버들을 공격 대상으로 한다. 전형적인 과거 취약점의 재사용 사례이기도 하다. 트렌드 마이크로는 이 캠페인이 일본, 대만, 중국, 미국, 인도에서 이루어지고 있다고 밝혔다. 이 캠페인에서는 시스템 관리자들이 네트워크 활동내역을 시각화하는데 사용하는 Cacti의 Network Weathermap 플러그인 취약점 ^{CVE-2013-2618}를 공격한다.

Detailed News List

PHP Weathermap Vulnerability
- _[TrendMicro]
  Cryptocurrency Miner Distributed via PHP Weathermap Vulnerability, Targets Linux Servers

Security Newsletters, 2018 Mar 7th, 라이벌 종료시키는 채굴 악성코드 外

Posted on 2018-03-07 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Malwares

Summaries

Combojack이라 명명된, 가상화폐를 훔치는 새로운 악성코드가 Palo Alto Networks Unit 42와 Proofpoint 연구자들에 의해 확인되었다. 이 악성코드는 미국 및 일본의 사용자들에게 이메일 스팸 캠페인을 통해 유포되고 있다. 유포되는 악성 이메일은 “Re: Passport…”와 같은 제목을 사용하며, 여권을 스캔한 것 처럼 보이는 PDF파일을 첨부해 사용자에게 실수로 여권 사본이 전달된 것 처럼 가장한다. 이렇게 전달되는 파일을 통해서 DirectX 취약점 ^{CVE-2017-8579}를 공격하고 HTA 스크립트를 로드한다. 이 스크립트는 악성코드를 다운로드 하기 위해서 PowerShell 스크립트를 실행한다. ComboJack 악성코드는 클립보드에 존재하는 가상화폐 지갑 주소를 공격자의 주소로 바꿔치기해 돈을 가로챈다. 2017년 확인된 CryptoShuffler 악성코드와 동일한 방식이다.

Detailed News List

ComboJack
- _[HackRead]
  ComboJack Malware Steals Cryptocurrency by Modifying Addresses
- _{[SecurityWeek]}
  “ComboJack” Malware Steals Multiple Virtual Currencies
- _{[SecurityAffairs]}
  ComboJack Malware alters Windows clipboards to steal cryptocurrencies and payments
- _[ZDNet]
  ComboJack malware tries to steal your cryptocurrency by changing the data in your clipboard

Vulnerability Patches/Software Updates

Summaries

구글에서 이번주 안드로이드 운영체제에 존재하는 11개 취약점을 수정했다. 수정된 취약점 중 7건은 원격 코드 실행^{(RCE, Remote Code Execution)}버그였다. 전체적으로는 37개의 취약점이 수정되었으며, 26개가 high 등급으로 분류되었다.

Detailed News List

Google
- _[ThreatPost]
  Google Patches 11 Critical Bugs in March Android Security Bulletin
- _{[SecurityWeek]}
  Android’s March 2018 Patches Fix Critical, High Risk Flaws

Data Breaches/Info Leakages

Summaries

NIS^{(Nippon Ichi Software)}가 해킹을 당해, 그들의 미 온라인 상점중 두 곳의 고객들에 대한 신용카드 사기의 위험성이 있음을 인정했다. 지난 3월 1일 SNS와 이메일로 전달된 내용에 따르면, NIS는 침해사고가 nisamerica와 snkonlinestore에 영향을 미쳤으며 1월 23일에 발생해 지난 2월 26일에 발견되기까지 지속되었다고 밝혔다. 그리고 지불 정보^{(payment information)}을 포함한 개인정보가 침해당했을 가능성이 있다고 밝혔다. 침해사고에 대한 공개 이후, 피해자들에게 향후 구매시 $5를 할인해주는 바우처를 제공해 논란이 되고있다.
일부 애플비^(AppleBee)매장의 PoS에서 신용카드 정보가 유출되는 사건이 발생했다. RMH Franchise Holdings에서 Applebee 레스토랑의 PoS 시스템이 악성코드에 감염된 것을 지난 주 확인했다. 발견된 PoS 악성코드가 수집한 정보는 이름, 신용카드 번호, 만료일, 카드 식별 코드^{(card verification codes)}다. (6일에서 이어짐)

Detailed News List

$5 Voucher
- _{[InformationSecurityBuzz]}
  NIS America Hacked, Offers $5 To Next Purchase After Credit Card Data Stolen
- _[TripWire]
  Video Game Developer Gave Customers $5 Voucher after Data Breach
- _{[NakedSecurity]}
  Games site customers offered $5 voucher after credit card breach
Applebee
- _[ThreatPost]
  POS Malware Found at 160 Applebee’s Restaurant Locations
- _{[BankInfoSecurity]}
  167 Applebee’s Restaurants Hit With Payment Card Malware
- _{[InfoSecurityMagazine]}
  Applebee’s Hit by POS Malware
- _{[BankInfoSecurity]}
  172 Applebee’s Restaurants Hit With Payment Card Malware

Mobile/Cloud

Summaries

지난 2월 28일 이스라엘에 위치한 Cellebrite사가 모든 애플 기기의 잠금을 해제할 수 있는 기술을 개발했다는 기사 발표 이후, Grayshift라는 회사에서도 iPhone X와 8의 암호화를 깰 수 있다고 주장하는 기사가 나왔다. 리포트에 따르면, 미국에 위치한 Grayshift는 GrayKey라는 도구를 개발했으며 이 도구를 이용하면 iOS 장치에서 파일시스템 전체를 추출할 수 있고 비밀번호를 브루트포스 공격하여 알아내거나 잠금해제를 위해 보안기능을 우회할 수 있다.

Detailed News List

Grayshift can crack iPhone
- _[HackRead]
  After Cellebrite, Grayshift Claims to Crack Encrypted iPhone X & 8

Service Outage/Malfunction

Summaries

지난주 아카마이^(Akamai)에서 관측한 GitHub에 대한 1.3Tbps의 대규모 DDoS 공격에 이어, 이번에는 NETSCOUT Arbor에 의해 1.7Tbps라는 사상 최대 규모의 DDoS가 관측되었다. 공격은 GitHub에 사용되었던 방식과 동일한 memcached reflection/amplification 공격 벡터를 이용했다. (6일에서 이어짐)
GitHub에 대한 1.35Tbps의 대규모의 분산서비스거부^{(DDoS, Distributed Denial of Service)} 공격이 있었다. GitHub이 28일 수요일에 일련의 대규모 DDoS 공격을 당했다. 첫번째 공격에서 Github의 웹사이트는 초당 1.35 테라바이트의의 공격을 받았고, 두번째 공격에서는 Github의 네트워크 모니터링 시스템에서 400Gbps를 기록했다. 공격은 8분간 지속되었고, 지금까지 확인된 DDoS 공격 중 가장 큰 규모의 공격이다. 프랑스의 통신회사 OVH와 Dyn DNS도 1Tbps의 DDoS 공격을 겪은 바 있다. 이 공격들은 IoT 장치를 감염시키는 Mirai에 의한 것이었다. 그러나 이번의 DDoS 공격은 Memcached 서버의 취약점으로 인한 것일 수 있다. (3일에서 이어짐)

Detailed News List

1.7Tbps DDoS Attack
- _[HackRead]
  World’s Largest DDoS Attack: US Firm Suffers 1.7 Tbps of DDoS Attack
- _{[GrahamCluley]}
  World record broken again! DDoS attack exceeds 1.7 terabits per second
- _[ZDNet]
  New world record DDoS attack hits 1.7Tbps days after landmark GitHub outage
- _[CyberScoop]
  Arbor Networks reports record-breaking 1.7Tbps DDoS attack
- _{[TheHackerNews]}
  1.7 Tbps DDoS Attack — Memcached UDP Reflections Set New Record
- _{[SecurityAffairs]}
  World’s largest DDoS attack record broken by a new memcached DDoS attack
- _{[TheRegister]}
  World’s biggest DDoS attack record broken after just five days
GitHub DDoS Attack
- _[Anomali]
  WTB: GitHub Survived the Biggest DDoS Attack Ever Recorded

Crypto Currencies/Crypto Mining

Summaries

라이벌 채굴 악성코드를 공격하는 채굴 악성코드가 발견되었다. 이 채굴 악성코드는 SANS Internet Storm Center의 Xavier Mertens에 의해 처음 확인되었다. Mertens는 이 파워쉘 스크립트를 3월 4일에 발견했으며, 이 스크립트가 실행되는 장치에서 CPU를 많이 점유하는 기타 다른 프로세스들을 종료시킨다고 말했다. 감염 전 단계에서, 이 공격 스크립트는 공격대상 기기가 32비트인지 64비트인지 확인하며, hpdriver.exe 또는 hpw64로 알려진 파일을 다운로드 한다. 성공적으로 설치한 이후에는, 실행중인 프로세스 목록을 확인하여 공격대상 프로세스들을 종료한다. 이 공격대상 프로세스 목록에는 평범한 윈도우즈 관련 내용과 더불어 라이벌 채굴 악성코드 관련된 내용들도 포함되어 있다.

Detailed News List

Miner vs Miner
- _{[TheRegister]}
  Miner vs miner: Attack script seeks out and destroys competing currency crafters

Security Newsletters, 2018 Mar 6th, 1.7Tbps 사상 최대 규모 DDoS 공격 外

Posted on 2018-03-06 - 2018-03-06 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Exploits/Vulnerabilities

Summaries

4G LTE 망을 공격해 무너뜨릴 수 있는 취약점 연구 결과가 발표되었다. 발견된 취약점들은 전화통화를 도청하거나, 문자메시지를 훔쳐보고, 장치들을 오프라인으로 만들거나, 가짜 긴급재난문자까지 속일 수 있다. 퍼듀^{(Purdue University)} 및 아이오와^{(University of Iowa)} 대학의 연구자들이 이 논문을 공개했다. 이 취약점들은 authentication relay attacks을 가능하게 만들어 다른 사람으로 위장해 4G LTE 네트워크에 접속할 수 있다. 릴레이 공격이 새로운 것은 아니지만, 최근이 이 연구는 이 공격을 이용해 메시지를 가로채거나, 사용자의 위치를 추적하고 전화기가 네트워크에 접속하지 못하게 만들 수 있음을 보여줬다. (3일에서 이어짐)
Memcached의 취약점을 사용한 DDoS 공격이 진행중이다. Memcached는 무료 오픈소스 분산 메모리 캐싱 시스템이다. 클라이언트들은 memcached 서버와 TCP 또는 UDP 11211 포트로 통신을 하게 된다. 클라우드플레어^(Cloudflare) 및 Arbor Networks와 중국 보안기업인 Qihoo 360에 따르면, memcached가 DDoS amplification 공격에 사용되고 있다. 이 공격은 ^Memcrashed라 명명되었다. 공격자들은 UDP가 활성화 되어 있으면서, 보안설정이 되지 않은 memcached 서버를 이용하고 있다. 여타 다른 amplification 방식과 유사하게, 공격자는 대상 서버의 11211포트에 피해자 IP로 스푸핑된 IP주소를 사용하여 요청을 전송한다. 서버로 전송되는 이 요청은 몇 바이트밖에 안되지만, 응답으로 보내지는 양은 공격에 이를 수 있는 많은 양이 전송되게 된다. (2월 28일에서 이어짐)

Detailed News List

4G LTE Network Attacks
- _{[TheHackerNews]}
  New 4G LTE Network Attacks Let Hackers Spy, Track, Spoof and Spam
- _[CyberScoop]
  Researchers uncover 4G LTE exploits that can be used to spy, spoof and cause panic
- _{[EHackingNews]}
  Target 4G LTE users
- _{[SecurityAffairs]}
  New attacks on 4G LTE networks can allow to spy on users and spoof emergency alerts
- _{[HelpNetSecurity]}
  New LTE attacks open users to eavesdropping, fake messages, location spoofing
Memcached Attacks
- _{[InformationSecurityBuzz]}
  New Ransom Angle To Memcached Server Attacks
- _{[BankInfoSecurity]}
  Memcached Servers Deliver Amplified DDoS Attacks
- _{[SecurityAffairs]}
  Recent Memcached DDoS attacks drive RDoS extortion practice

Data Breaches/Info Leakages

Summaries

일부 애플비^(AppleBee)매장의 PoS에서 신용카드 정보가 유출되는 사건이 발생했다. RMH Franchise Holdings에서 Applebee 레스토랑의 PoS 시스템이 악성코드에 감염된 것을 지난 주 확인했다. 발견된 PoS 악성코드가 수집한 정보는 이름, 신용카드 번호, 만료일, 카드 식별 코드^{(card verification codes)}다.

Detailed News List

AppleBee
- _{[SecurityAffairs]}
  Applebee restaurants suffered payment card breach
- _[TripWire]
  Point-of-Sale Breach Confirmed at Some Applebee’s Locations
- _{[SecurityWeek]}
  Payment Card Breach Hits Some Applebee’s Restaurants

Service Outage/Malfunction

Summaries

Signal 및 Telegram 메신저 서비스가 몇시간에 걸쳐 중단되는 일이 발생했다. 유명한 암호화 통신 서비스인 Signal과 Telegram이 유럽, 중동, 아프리카, 미국, 일본, 뉴질랜드, 호주 등에서 서비스가 중단되는 사건이 발생했다.
지난주 아카마이^(Akamai)에서 관측한 GitHub에 대한 1.3Tbps의 대규모 DDoS 공격에 이어, 이번에는 NETSCOUT Arbor에 의해 1.7Tbps라는 사상 최대 규모의 DDoS가 관측되었다. 공격은 GitHub에 사용되었던 방식과 동일한 memcached reflection/amplification 공격 벡터를 이용했다.
GitHub에 대한 1.35Tbps의 대규모의 분산서비스거부^{(DDoS, Distributed Denial of Service)} 공격이 있었다. GitHub이 28일 수요일에 일련의 대규모 DDoS 공격을 당했다. 첫번째 공격에서 Github의 웹사이트는 초당 1.35 테라바이트의의 공격을 받았고, 두번째 공격에서는 Github의 네트워크 모니터링 시스템에서 400Gbps를 기록했다. 공격은 8분간 지속되었고, 지금까지 확인된 DDoS 공격 중 가장 큰 규모의 공격이다. 프랑스의 통신회사 OVH와 Dyn DNS도 1Tbps의 DDoS 공격을 겪은 바 있다. 이 공격들은 IoT 장치를 감염시키는 Mirai에 의한 것이었다. 그러나 이번의 DDoS 공격은 Memcached 서버의 취약점으로 인한 것일 수 있다. (3일에서 이어짐)

Detailed News List

Signal / Telegram
- _{[GrahamCluley]}
  Signal and Telegram messaging services offline for some hours
- _[ZDNet]
  Signal, Telegram users experience outages worldwide
1.7Tbps DDoS Attack
- _{[ArborNetworks]}
  NETSCOUT Arbor Confirms 1.7 Tbps DDoS Attack; The Terabit Attack Era Is Upon Us
GitHub DDoS Attack
- _{[GrahamCluley]}
  GitHub was hit by the most powerful DDoS attack in history
- _{[SecurityWeek]}
  Largest Ever 1.3Tbps DDoS Attack Includes Embedded Ransom Demands
- _{[NakedSecurity]}
  World’s largest DDoS attack thwarted in minutes