Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] PLC

Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外

Posted on 2018-03-30 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Malwares

Summaries

  • Fauxpersky라는 키로거가 확인되었다. 보스턴에 위치한 보안기업 Cybereason에 따르면, 이 키로거 악성코드는 AutoIT 이나 AutoHotKey를 공격한다. Fauxpersky라 명명된 이 악성코드는 윈도우즈 시스템에서 비밀번호를 훔친다. 이 악성코드 자체로는 매우 정교하거나 감지하기 어려운 것은 아니다. 그러나 USB 드라이브를 매우 효과적으로 감염시키며, 구글을 사용해 키로거로 부터의 데이터를 공격자의 메일박스로 다이렉트로 유출한다.
  • 보잉(Boeing)사의 생산시설이 WannaCry에 감염된 사실이 확인되었다. 세계 최대의 항공 기업인 보잉이 유명한 WannaCry 랜섬웨어에 감염되었다. 시애틀 타임즈(Seattle Times)에 따르면, 감염된 시설은 보잉의 777 airliner 생성시설 소속이다. 시애틀 타임즈의 보도와는 반대로 아직 보잉에서의 확인은 없었다. 발표문에서 보잉은 소수의 시스템에 영향을 미친 제한적인 악성코드의 침입이 있었음을 확인했으며 생산이나 딜리버리 문제는 아니라고 밝혔다. Boeing Commercial Airplanes의 커뮤니케이션 책임자 린다 밀스(Linda Mills)는 성명에서 소프트웨어 패치가 반영되었으며 777이나 기타 어떤 프로그램에도 중단은 없었다고 밝혔다.

Detailed News List

  • Fauxpersky Keylogger
    • [HackRead]
      Fauxpersky Keylogger Malware Stealing Passwords from Windows PCs
    • [SecurityWeek]
      “Fauxpersky” Credential Stealer Spreads via USB Drives
    • [ITSecurityGuru]
      New malware named ‘Fauxpersky’ identified
    • [ZDNet]
      ‘Fauxpersky’ malware steals and sends passwords to an attacker’s inbox
  • WannaCry hits Boeing
    • [HackRead]
      Boeing production plant hit by malware, apparently WannaCry ransomware
    • [NakedSecurity]
      Boeing hit by WannaCry, reminding everyone the threat is still there
    • [CyberScoop]
      The fear over WannaCry is still very real
    • [DarkReading]
      WannaCry Re-emerges at Boeing
    • [WeLiveSecurity]
      WannaCryptor said to reappear, hitting Boeing’s computers
    • [ITSecurityGuru]
      Boeing suffering from WannaCry outbreak
    • [BankInfoSecurity]
      Boeing Confirms ‘Limited’ Malware Outbreak
    • [InfoSecurityMagazine]
      Boeing Computers Hit by WannaCry
    • [SecurityAffairs]
      Boeing production plant infected with WannaCry ransomware
    • [ZDNet]
      Boeing confirms malware attack, downplays production impact
    • [NYTimes]
      Boeing Possibly Hit by ‘WannaCry’ Malware Attack

 

Exploits/Vulnerabilities

Summaries

  • macOS High Sierra에서 APFS(APple File System)으로 암호화된 외장 드라이브의 비밀번호가 로그파일에 평문으로 노출되는 버그가 확인되었다. APFS 파일 시스템은 애플에 의해 macOS High Sierra 릴리즈와 함께 소개되었다. Sarah Edwards에 의해 발견된 이 새로운 취약점은 macOS 10.13 플랫폼에 영향을 미친다. Disk Utility를 통해 새롭게 생성하는 APFS 형식의 USB drive의 비밀번호가 통합 로그에 평문으로 기록된 것이 Sarah Edwards에 의해 목격되었다.
  • 마이크로소프트에서 릴리즈한 멜트다운용 패치가 오히려 더 심각한 취약점을 만들어냈다는 기사가 공개되었다. 마이크로소프트가 멜트다운(Meltdown) 취약점 수정을 위해 릴리즈한 초기 패치들이 윈도우즈 7에서 공격자들이 커널 메모리를 더 빨리 읽을 수 있고 메모리에 쓸 수 있는 오히려 더 심각한 취약점을 만들어 냈다고 개인 보안 연구가가 밝혔다. Ulf Frisk라는 보안 연구가는 마이크로소프트가 공개한 윈도우즈7 패치에 대해서, 공격자가 기기에서 실행중인 모든 유저레벨의 프로세스에 접근할 수 있게 만든다고 밝혔다. 마이크로소프트의 대변인은 이 문제에 대해 인지하고 있으며 해결방안을 찾고 있다고 인터뷰에서 밝혔다. 취약점은 64비트 윈도우즈7(Service pack 1)과 윈도우즈 서버 2008(Service Pack1)에만 영향이 있다. (29일에서 이어짐)

Detailed News List

  • MacOS High Sierra
    • [TheHackerNews]
      Apple macOS Bug Reveals Passwords for APFS Encrypted Volumes in Plaintext
    • [SecurityWeek]
      macOS High Sierra Logs External Volume Passwords in Plaintext
  • Microsoft Meltdown Patch
    • [TheHackerNews]
      Microsoft’s Meltdown Patch Made Windows 7 PCs More Insecure
    • [NakedSecurity]
      Microsoft’s Windows 7 Meltdown patch created ‘worse’ flaw

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • PlayStation 및 XBox Live 네트워크와 같이 세계 최대 비디오 게임 네트워크에 크리스마스에 분산서비스거부 공격을 해 장애를 일으킨 것으로 잘 알려진 해킹그룹인 LizardSquad의 fbiarelosers가 FBI에 협조해 친구들의 체포를 도와 더 적은 형량을 선고받게 되었다. 트위터 계정 fbiarelosers를 사용하던 Butcha는 지난 12월 유죄를 인정했다. 그리고 지난 화요일 3개월의 징역형과 35만달러의 보상금을 지불하라는 선고를 받았다.

Detailed News List

  • Lizard Squad
    • [CyberScoop]
      Lizard Squad’s ‘@fbiarelosers’ hacker gets smaller sentence for helping FBI arrest his friends
    • [GrahamCluley]
      Lizard Squad member jailed after offering DDoS-for-hire attack service
    • [WeLiveSecurity]
      Lizard Squad member jailed after offering DDoS-for-hire attack service

 

Vulnerability Patches/Software Updates

Summaries

  • 아파치 재단에서 스트러츠(Struts) 2의 보안 취약점 업데이트를 릴리즈 했다. 원격의 공격자가 이 취약점으로 서비스거부 상태를 유발할 수 있다.
  • 예정되어 있던 드루팔 코어의 보안 업데이트가 릴리즈되었다. 드루팔에서 긴급 보안 패치를 공개했다. 이 패치에서는 ‘다수의 서브시스템’의 원격 코드 실행(remote code execution) 취약점이 수정되었다. 이 취약점들은 공격자가 드루팔로 만들어진 웹사이트에서 다양한 방법으로 공격할 수 있게 하며, 사이트가 완전히 장악당할 수 있다. 웹사이트를 어떤 웹페이지에서든 공격할 수 있으며, 로그인이나 어떤 권한도 필요하지 않다. 아직은 어떠한 공격 코드도 확인된 바 없으나, 드루팔에서는 공격코드가 누군가에 의해 개발되는데 몇시간 걸리지 않을 것이라 경고했다. 취약점은 CVE-2018-7600으로 드루팔의 코어에 존재하며 버젼 6,7,8에 영향을 미친다. (29일에서 이어짐)

Detailed News List

  • Apache Foundation
    • [US-CERT]
      Apache Software Foundation Releases Security Update
  • Drupal
    • [ThreatPost]
      Drupal Issues Highly Critical Patch: Over 1M Sites Vulnerable
    • [HackerOnlineClub]
      Remote Code Execution Vulnerability Found In Drupal, Is Your Website Running on Drupal?
    • [SecurityAffairs]
      Drupal finally addressed the critical CVE-2018-7600 Drupalgeddon2 vulnerability
    • [ZDNet]
      Update Drupal ASAP: Over a million sites can be easily hacked by any visitor
    • [TheRegister]
      Running Drupal? You need to patch, patch, patch right now!
    • [SecurityWeek]
      Drupalgeddon: Highly Critical Flaw Exposes Million Drupal Websites to Attacks
    • [CyberScoop]
      ‘Highly critical’ Drupal security flaw prompts urgent patch

 

Data Breaches/Info Leakages

Summaries

  • 언더아머사에서 MyFitnessPal 사용자 1억 5천만명의 계정이 해킹당했다고 발표했다. 언더아머에서 목요일 MyFitnessPal 앱이 해킹당했다고 발표했다. 언더아머에 따르면, 웹사이트 및 앱 사용자 1억 5천만명의 계정이 이번주 초 침해당했다. 언더아머는 신용카드 정보는 영향을 받지 않았다고 밝혔다.

Detailed News List

  • Under Armour MyFitnessPal
    • [ZDNet]
      Under Armour reports 150 million MyFitnessPal accounts hacked

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • Cisco Talos의 연구자들에 의해 Allen-Bradley MicroLogix 1400 PLC(programmable logic controllers)시리즈에서 심각한 취약점들이 발견되었다. Rockwell Automation에서는 패치 및 대응 방안을 공개했다. Cisco Talos에 따르면, 취약점이 공격받으면 서비스 거부 상태를 유발하거나 장치의 설정/로직을 변경, 기기의 메모리 모듈에 데이터를 기록 및 제거 할 수 있다. 이 장비들은 주로 주요 인프라 기관을 포함한 산업 환경에서 사용되는 컨트롤러로, 이 취약점들이 공격받을 경우 심각한 피해를 야기할 수 있다.
  • Cisco 제품에서 취약점이 발견되었다. Cisco에서 IOS 및 IOS XE 네트워킹 소프트웨어에 영향을 미치는 취약점 34가지를 수정했다. 세 건의 치명적인 원격 코드 실행 취약점도 포함되었다.

Detailed News List

  • MicroLogix PLC
    • [SecurityWeek]
      Severe Vulnerabilities Expose MicroLogix PLCs to Attacks
    • [Cisco]
      Vulnerability Spotlight: Multiple Vulnerabilities in Allen Bradley MicroLogix 1400 Series Devices
  • Cisco
    • [ZDNet]
      Cisco critical flaw: At least 8.5 million switches open to attack, so patch now
    • [SecurityAffairs]
      CISCO addresses two critical remote code execution flaws in IOS XE operating system
    • [TheRegister]
      Egg on Cisco’s face: Three critical software bugs to fix over Easter

 

Posted in Security, Security NewsTagged Data Breach, Fauxpersky, Industrial Control System, Malware, Patches, PLC, Vulnerability, WannaCryLeave a comment

Security Newsletters, 2018 Feb 3rd, PLC/HMI 웹서버 컴포넌트 취약점 外

Posted on 2018-02-03 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • APT 그룹 Iron Tiger가 활동을 재개했다. 이번에는 Operation PZChao으로 불리는 아시아와 미국의 정부기관, 기술, 교육 및 통신 기관들을 공격 대상으로 한다. 비트디펜더(Bitdefender)의 악성코드 분석가들이 비밀번호를 훔치면서 한편으로는 암호화폐를 채굴하는 백도어와 그 악성코드의 몇달간의 활동을 탐지했다. 이 캠페인은 PZChao로 명명되었으며, 아이아와 미국의 정부기관 및 기술, 교육, 통신 기관들을 대상으로 한다.
  • 맥아피(McAfee)가 공격대상에서의 지속적인 데이터 유출을 위해 제작된 악성코드들을 추가로 발견했다고 리포트에서 밝혔다. 맥아피는 최근에 평창올림픽과 관계된 파일리스(fileless) 공격에 대해 리포트를 공개한 바 있다. 이 악성코드들은 코드내에서 발견된 문자열에 따라서 GoldDragon, Brave Prince, Ghost419, Running Rat등으로 명명되었다.

Detailed News list

  • Iron Tiger
    • [SecurityAffairs]
      Chinese Iron Tiger APT is back, a close look at the Operation PZChao
    • [ZDNet]
      Espionage malware snoops for passwords, mines bitcoin on the side
  • Gold Dragon
    • [McAfee]
      Gold Dragon Widens Olympics Malware Attacks, Gains Permanent Presence on Victims’ Systems

 

Malwares

Summaries

  • Radware의 연구가들이 Satori와 관련된 새로운 봇넷을 탐지했다. 이 봇넷은 Grand Theft Auto 비디오게임 커뮤니티를 이용해 IoT 장치들을 감염시키고 있다. Satori는 Mirai에서 파생된 봇넷이다. Radware의 조사 결과, C&C(Command-and-control)서버가 San Calvicie라는 Grand Theft Auto:San Andreas의 멀티플레이어 mod 뿐만 아니라 DDoS 공격을 유료로 제공하는 사이트에서 호스팅 되는 것을 확인했다.
  • 악성코드 제작자들이 멜트다운/스펙터(Meltdown/Spectre) 취약점 사용을 시험중에 있다는 기사가 나왔다. 독일의 안티바이러스 테스트 기업인 AV-Test에서 Meltdown/Spectre CPU bugs를 공격하는 것으로 보이는 악성코드 샘플을 139개 식별해냈다. AV-Test는 트위터를 통해 최근 공개된 CPU 취약점인 CVE-2017-5715, CVE-2017-5753, CVE-2017-5754와 관련된 것으로 보이는 샘플을 139개 확인했다고 밝혔다. AV-Test는 최초로 브라우저를 공격하기 위한 자바스크립트 버젼의 개념증명(PoC) 공격을 찾았다고 밝혔다. 대부분의 악성코드 샘플은 온라인에 공개된 PoC들이다. AV-Test가 수집하는 샘플들의 수가 1월 7일 최초 발견된 이후 지속적으로 증가하고 있으며, 1월 21일을 기점으로 그 수가 100개를 넘어섰다. 1월 말 기준으로 139개의 샘플이 수집되었다. (2일에서 이어짐)

Detailed News List

  • JenX Botnet
    • [ThreatPost]
      JenX Botnet Has Grand Theft Auto Hook
    • [InfoSecurityMagazine]
      JenX Botnet Emerges to Target IoT Devices and Grand Theft Auto
    • [SecurityWeek]
      New Botnet Is Recruiting IoT Devices
  • Meltdown/Spectre Malware
    • [HackRead]
      139 Malware Samples Identified that Exploit Meltdown & Spectre Flaws
    • [VirusBulletin]
      There is no evidence in-the-wild malware is using Meltdown or Spectre

 

Exploits/Vulnerabilities

Summaries

  • 대한민국 사용자들을 노린 공격에서 플래시(Flash)의 제로데이 익스플로잇이 확인되었다. KISA에 따르면, 최신의 플래시 플레이어 28.0.0.137과 그 이전버젼을 공격 대상으로 삼는 북한 해커들의 플래시 제로데이 취약점 공격이 확인되었다. 이 제로데이 취약점은 문서파일이나, 웹페이지, 플래시 파일을 포함한 이메일을 여는 것으로 공격당할 수 있다. 2017년 11월 중순부터 이러한 공격이 이어졌다. (2일에서 이어짐)

Detailed News List

  • Flash Zeo-Day Exploit
    • [NakedSecurity]
      Adobe warns of Flash zero-day, patch to come next week
    • [CiscoTalos]
      Flash 0 Day In The Wild: Group 123 At The Controls
    • [KrebsOnSecurity]
      Attackers Exploiting Unpatched Flaw in Flash
    • [TheHackerNews]
      (Unpatched) Adobe Flash Player Zero-Day Exploit Spotted in the Wild

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 일본에서 10대 소년이 세계 최초의 일본 암호화폐인 MonaCoin을 훔치는 악성코드를 제작한 혐의로 체포되었다. 5억 3400만 달러 규모의 사상 최대 가상화폐 거래소 해킹이 발생한 며칠 뒤의 일이다. 2018년 1월 30일, 일본 경찰은 암호화폐 이체를 위해 필요한 개인키(private key)를 훔치는 악성코드를 제작한 혐의로 17세 소년을 체포했다. 이 10대소년은 Osaka의 Kaizuka 시의 고등학교 3학년생이다. 지역신문에 따르면, 이름이 알려지지 않은 이 십대 학생은 암호화폐 시장을 실시간으로 확인할 수 있는 앱으로 위장한, 실제로는 MonaCoin 지갑의 비밀번호를 훔치는 악성앱을 만들었다. 악성코드 제작으로 십대가 체포된 일은 이번이 처음이 아니며, 2017년 6월에 14세의 소년이 랜섬웨어를 제작한 혐의로 체포되었고, 2017년 9월에는 13세 소년이 스마트폰을 공격하는 악성코드를 판매한 혐의로 체포된 바 있다.

Detailed News List

  • Japanese
    • [HackRead]
      Japanese boy arrested for developing cryptocurrency stealing malware

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 수백종류의 PLC(Programmable Logic Controller)와 HMI(Human-Machine Interface)에서 사용되는 웹서버 컴포넌트에서 취약점이 발견되었다. 보안연구가가 치명적인 스택기반 버퍼오버플로우 취약점을 3S(Smart Software Solutions) CODESYS WebVisu의 웹서버 컴포넌트에서 찾아냈다. 이 취약점은 CVE-2018-5440으로 CVSS 점수 9.8의 높은 점수를 받았다. WebVisu 제품은 현재 다수 제조사들의 116개의 PLC 및 HMI에 사용되고 있다. 여기에는 Schneider Electric, Hitachi, Advantech, Berghof Automation, Hans Turck, NEXCOM 등이 포함된다. 공격자는 원격으로 이 취약점을 공격해 서비스거부(DoS) 상태를 일으키거나, 특정 상황에서는 임의의 코드를 웹서버에서 실행시킬 수 있다.

Detailed News List

  • ICS WebServer
    • [SecurityAffairs]
      Hundreds of ICS products affected by a critical flaw in CODESYS WebVisu
    • [SecurityWeek]
      Web Server Used in 100 ICS Products Affected by Critical Flaw
    • [TheRegister]
      Hey, you know what the internet needs? Yup, more industrial control systems for kids to hack

 

Crypto Currencies/Crypto Mining

Summaries

  • MacUpdate 해킹을 통해 유포되는 새로운 맥OS의 암호화폐 채굴 악성코드가 확인되었다.
  • 세계에서 두번째로 큰 규모의 봇넷이 Redis 및 OrientDB 서버들을 공격하고 있다. 모네로 악성코드를 채굴하는 DDG Botnet이 Redis 및 OrientDB 서버를 공격하는 것이 확인되었다. Qihoo 360의 연구가들에 따르면, DDG 봇넷은 2016년에 처음 탐지되었고 2017년 한해 동안 지속적으로 업데이트 되었다. 채굴 악성코드가 이미 약 4,400대에 달하는 서버를 감염시켰으며, 2017년 3월 이후로 $925,000 가량의 모네로 코인을 채굴헀다.
  • NSA에 의해 개발되었다가 해킹그룹 Shadow Brokers에 의해 유출된 Eternal Blue 익스플로잇을 사용하는 WannaMine 악성코드가 지속적으로 퍼지고 있다. WannaMine은 2017년 10월에 PandaSecurity에 의해 처음 확인되었다. WannaMine은 파일리스(Fileless) 악성코드로, Mimikatz를 통해 획득한 인증정보를 사용해 확산된다.

Detailed News List

  • MacUpdate
    • [MalwarebytesLabs]
      New Mac cryptominer distributed via a MacUpdate hack
  • DDG
    • [SecurityAffairs]
      DDG, the second largest mining botnet targets Redis and OrientDB servers
  • Monero Miner
    • [HackRead]
      Fileless WannaMine Cryptojacking Malware Using NSA Exploit
    • [SecurityWeek]
      Crypto-Mining Botnet Ensnares 500,000 Windows Machines
    • [InfoSecurityMagazine]
      Over 500,000 Windows Machines Infected with Monero Mining Software
    • [HackRead]
      New Monero mining malware infected 500K PCs by using 2 NSA exploits

 

Posted in Security, Security NewsTagged Crypto Currency, Cryptocurrency Mining, CVE-2018-5440, Cyber Espionage, DDG botnet, Exploit, HMI, ICS, Industrial Control System, Iron Tiger, Malware, Operation PZChao, PLC, Vulnerability, WannaMineLeave a comment

Security Newsletters, 2018 Jan 11th, IOC 및 WADA 이메일 유출 外

Posted on 2018-01-11 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 러시아와 관련되 있는 것으로 추정되는 해킹 그룹 FancyBear가 국제 올림픽 위원회(IOC, International Olympic Committee)와 국제 반도핑 기구(WADA, World Anti-Doping Agency)에서 유출된 것으로 추정되는 이메일을 공개했다. FancyBear라는 이름으로 알려진 이 해킹 그룹은 이메일 아카이브를 공개했는데, 블로그 포스트를 통해 미국을 포함한 앵글로색슨(Anglo-Saxon)계 국가들이 스포츠에서의 권력과 자본을 위해 싸우고 있다고 혐의를 제기했다. 이 그룹은 APT28로도 알려져 있는데, 2016년 미국 민주당 전국 위원회 해킹으로 알려진 그룹이다. FancyBear는 러시아의 올림픽 출전 금지가 명백히 정치적이라고 주장하고 있다. 이 유출 사건에 대해서 IOC는 언급을 거부했으며, WANA는 응답하지 않았다.
  • RIG Exploit kit이 암호화폐 열풍에 동참하고 있다. Malwarebytes가 공개한 정보에 따르면, 코인 채굴 악성코드를 유포하는 Ngay라는 캠페인이 진행되고 있다. 최초 드롭퍼(dropper)는 암호화폐 채굴기인 추가 바이너리를 하나 혹은 그 이상을 포함하고 있다. 유명한 모네로 채굴기 같은 것들이다. Ngay 캠페인은 malvertising chains들 중 하나로, REG exploit kit을 자신들의 페이로드를 배포하는데 사용하고 있다. (10일에서 이어짐)
  • Turla 사이버 스파이 그룹이 어도비 플래쉬 인스톨러로 위장한 악성코드를 유포하는 캠페인을 벌이고 있다. 외교관들을 노리는 국가 지원을 받는(state-sponsored) 해킹 작전이 벌어지고 있다. ESET의 연구자들이 찾아낸 바에 따르면, Turla라는 이름으로 잘 알려진 사이버 스파이 그룹에 의한 동유럽의 구소련 국가(post-Soviet states)들의 대사관(embassies)이나 영사관(consulates)들을 노린 공격이 진행중이다. 워터링 홀(Watering-hole) 공격과 스피어 피싱(Spear-phishing) 캠페인은 계속적으로 이러한 공격에 사용된 방법이다. 그러나 연구자들은 아직 피해자들이 어떻게 정상적인(authentic) 플래쉬 인스톨러를 다운로드하고 있다고 믿게 만들었는지를 확실하게 밝혀내지 못했다. 네트워크 게이트웨이를 장악해 중간자(MitM, Man-in-the-Middle) 공격을 했을 가능성이 있다. (10일에서 이어짐)
  • 평창 동계올림픽을 목표로 한 악성 문서파일을 유포하는 캠페인이 벌어지고 있다. 맥아피(McAfee)의 보안 연구가들에 따르면, 올림픽과 관계된 여러 기관들이 악성 이메일을 받고 있다. 이런 기관들은 기반시설을 제공하거나 지원하는 역할과 같이 올림픽과 관계가 있는 기관들이 대다수다. 이러한 메일들은 대한민국 정부기관에서 발송된 것 처럼 위장했다. (6일에서 이어짐)

Detailed News list

  • Anglo-Saxon Illuminati
    • [CyberScoop]
      ‘Anglo-Saxon Illuminati’ responsible for Olympic doping controversy, according to Fancy Bear
  • RIG Exploit Kit
    • [HelpNetSecurity]
      RIG EK covertly delivers cryptocurrency miners
  • Turla
    • [InformationSecurityBuzz]
      ESET Research: Appearances Are Deceiving With Turla’s Backdoor-Laced Flash Player Installer
    • [SecurityAffairs]
      Turla APT group’s espionage campaigns now employs Adobe Flash Installer and ingenious social engineering
  • 평창 동계 올림픽
    • [CrowdStrike]
      Malicious Spear-Phishing Campaign Targets Upcoming Winter Olympics in South Korea

 

Malwares

Summaries

  • 러시아 은행을 노리는 Layered Obfuscation을 사용하는 모바일 악성코드가 발견되었다. 트렌드마이크로는 작년에 러시아 은행인 Sbebank 사용자를 목표로 하고, 독특한 보호방식(defensive measures)을 갖춘 Fanta SDK 악성코드에 대해 공개한 바 있다. 이번에는 또다른 은행 악성코드 종(family)이 발견되었는데, 더 많은 러시아 은행들을 공격 대상으로 하며 새롭고 발전된 난독화 기술을 사용한다. 이 새로운 종은 FakeBank라는 이름이 붙었다. 이 종들이 목표로 삼은 은행은 Sbebank 외에도 Letobank나 VTB24 bank와 같은 다른 은행들까지 포함하고 있다. 발견된 샘플들은 임의의 패키지 이름을 가지고 있으며, 대부분 SMS/MMS 관리 소프트웨어로 위장해 사용자들이 다운로드 하게끔 유도하고 있다.
  • 처음으로 코틀린(Kotlin)으로 만들어진 악성 앱이 발견되었다. 트렌드마이크로(TrendMicro)에 따르면, 오픈소스 프로그래밍 언어인 코틀린(Kotlin)으로 만들어진 악성 앱이 처음 발견되었다. 이 악성앱은 구글 플레이에 안드로이드 장치를 청리 및 최적화 해주는 유틸리티 툴인 Swift Cleaner라는 이름으로 등록되어 있었다. 1000~5000번 다운로드 된 이 앱은, 원격 명령 실행이나 정보 탈취, SMS 발송, URL 포워딩, 광고 클릭 사기 등의 기능이 포함되어 있었다. (10일에서 이어짐)
  • 판매시점 정보관리 시스템(PoS, Point of Sale)을 공격하는 악성코드 LockPoS가 새로운 기법을 도입했다. LockPoS는 PoS 신용카드 스캐너가 있는 컴퓨터 메모리에서 신용카드 정보를 훔치는 기능을 가지고 있었다. 이 악성코드는 실행중인 프로세스들의 메모리를 읽어 신용카드 정보를 수집하고 C&C 서버로 보낸다. 이전에는 드로퍼가 explorer.exe 프로세스에 바로 악성코드를 주입했는데, 이번에는 Flokibot PoS 악성코드에서 사용되었던 기법의 새로운 변종 방식을 채택한 것으로 확인되었다. (4일에서 이어짐)

Detailed News List

  • Mobile Malware Uses Layered Obfuscation
    • [TrendMicro]
      New Mobile Malware Uses Layered Obfuscation and Targets Russian Banks
  • Malicious Kotlin App
    • [HackRead]
      Android Malware written in Kotlin found on Play Store stealing data
    • [ZDNet]
      Android security: First Kotlin-based malware found in Google Play Store
    • [SecurityWeek]
      Android security: First Kotlin-based malware found in Google Play Store
  • LockPoS
    • [SecurityAffairs]
      New Malware Dubbed LockPos Introduces New Injection Technique To Avoid Detection

 

Exploits/Vulnerabilities

Summaries

  • 유명 채팅 앱에서 암호화된 그룹 대화를 엿볼 수 있는 취약점이 발견되었다. 유명 채팅 프로그램인 WhatsApp, Threema, Signal에서 이론적으로(theoretically) 암호화를 우회해 그룹 채팅에 끼어들 수 있는 취약점이 발견되었다. 취리히에서 열린 Real World Crypto 컨퍼런스에서 독일 암호학자 팀이 해당 내용을 발표했다.
  • 루비 온 레일스(Ruby on Rails) Gem의 크로스사이트스크립트(XSS, Cross-Site Script) 취약점이 발견되었다. Rails는 웹 서비스나 웹페이지를 작성하기 위한 루비 프레임워크다. Ruby Gem은 Gems으로 배포하는 소프트웨어를 관리하는 패키지 관리자다. 두개의 XSS 취약점이 각각 다른 젬 패키지에서 발견되었다. 취약한 젬은 delayed_job_web과 rails_admin이다.
  • 인텔 칩에서 발견된 취약점인 멜트다운/스펙터(Meltdown/Spectre)에 대한 기사가 이어지는 중이다. 이번에는 마이크로소프트가 내놓은 Windows 보안 패치(KB40566892)가 일부 AMD CPU를 사용하는 PC를 사용불가 상태로 만들어 버리는 오류가 있다는 내용이다. AMD의 애슬론(Athlon)을 사용하는 PC들이 패치 전에는 정상 동작하다가 이후에 동작하지 않는다는 사용자들의 리포트가 반복되고 있다는 것이다. 패치가 복구지점(recovery point)을 생성하지 않는것도 문제가 되고있다. (9일에서 이어짐)

Detailed News List

  • WhatsApp
    • [TheHackerNews]
      WhatsApp Flaw Could Allow ‘Potential Attackers’ to Spy On Encrypted Group Chats
    • [CyberScoop]
      Flaw in WhatsApp and Signal exposes group chats to ‘extremely difficult’ hacks
  • Ruby on Rails Gem XSS
    • [Cisco]
      Vulnerability Spotlight: Ruby Rails Gem XSS Vulnerabilities
  • Meltdown and Spectre
    • [SecurityWeek]
      NVIDIA Updates GPU Drivers to Mitigate CPU Flaws
    • [TheRegister]
      IBM melts down fixing Meltdown as processes and patches stutter
    • [HelpNetSecurity]
      Spectre updates will slow down Windows servers and PCs running older versions of the OS
    • [SecurityWeek]
      IBM Starts Patching Spectre, Meltdown Vulnerabilities
    • [ZDNet]
      Meltdown-Spectre: IBM preps firmware and OS fixes for vulnerable Power CPUs
    • [BankInfoSecurity]
      Performance Hit: Meltdown and Spectre Patches Slow Systems
    • [SecurityWeek]
      Microsoft, Intel Share Data on Performance Impact of CPU Flaw Patches
    • [ZDNet]
      Spectre mitigations arrive in latest Nvidia GPU drivers
    • [TheRegister]
      IBM’s complete Meltdown fix won’t land until mid-February
    • [TheRegister]
      Intel, Microsoft confess: Meltdown, Spectre may slow your servers

 

Vulnerability Patches/Software Updates

Summaries

  • 마이크로소프트가 1월 패치튜스데이(Patch Tuesday) 보안 업데이트에서 16개의 Critical 취약점을 수정했다. 이번 정규 보안 업데이트에서는 마이크로소프트 엣지(Edge), 윈도우즈, 오피스, ASP.NET, macOS 버젼의 오피스에 대한 패치가 포함되었다. (10일에서 이어짐)
  • 어도비가 플래시 플레이어(Flash Player)에 대한 보안 업데이트를 릴리즈했다. 이번 패치에서는 정보노출 취약점 CVE-2018-4871이 수정되었다. 이 취약점은 윈도우즈, 맥, 리눅스, 크롬OS의 플래시 플레이어 28.0.0.126 및 그 이전버전에 영향을 미친다. (10일에서 이어짐)

Detailed News List

  • Microsoft
    • [KrebsOnSecurity]
      Microsoft’s Jan. 2018 Patch Tuesday Lowdown
    • [HelpNetSecurity]
      Microsoft plugs 56 vulns, including Office flaw exploited in attacks
    • [TrendMicro]
      January’s Patch Tuesday Fixes 56 Security Issues, Including Meltdown and Spectre
    • [ZDNet]
      Windows patches: Microsoft kills off Word’s under-attack Equation Editor, fixes 56 bugs
    • [InfoSecurityMagazine]
      Patch Tuesday: More Work for Admins With 56 Flaws to Fix
    • [SecurityAffairs]
      January 2018 Patch Tuesday security updates fix a zero-day vulnerability in MS Office
    • [TheHackerNews]
      Microsoft Releases Patches for 16 Critical Flaws, Including a Zero-Day
    • [ZDNet]
      Microsoft: No more Windows patches at all if your AV clashes with our Meltdown fix
  • Adobe
    • [ZDNet]
      Adobe patches information leak vulnerability

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • Rockwell Automation에서 MicroLogix 1400 PLC 제품의 심각한 보안 취약점을 수정했다. 마이크로로직 PLC 제품군은 전 세계적으로 주요 기반시설(critical infrastructure), 식품 및 농업, 상하수도 분야에서 프로세스 관리를 위해 사용된다. 2016년에 Alabama 대학의 Thiago Alves 외 2명의 연구자들이 가 이 컨트롤러들이 버퍼오버플로우 취약점에 영향을 받는 것을 발견해 정보를 공개했다. Rockwell Automation에 따르면, 전문가들이 21.002 버젼 및 이전 버젼의 펌웨어를 사용하는 MicroLogix 1400 PLCs가 조작된 Modbus TCP 패킷을 보내는 것으로 버퍼오버플로우 취약점에 영향을 받는다. 이 취약점은 인증되지 않은 공격자에 의해 원격으로 공격받을 수 있다. 이 취약점은 CVE-2017-16740 번호가 부여되었으며, 이 취약점에 대한 패치를 지난달 21.003 펌웨어 릴리즈를 통해 수정했다. 다른 대응 방법으로는 Modbus TCP 지원 기능을 비활성화 하는 방식으로 원격 접근을 막을 수 있다.

Detailed News List

  • Rockwell Automation PLC
    • [SecurityWeek]
      Rockwell Automation Patches Serious Flaw in MicroLogix 1400 PLC

 

Crypto Currencies/Crypto Mining

Summaries

  • Oracle WebLogic Exploit이 암호화폐 채굴 캠페인에 사용되고 있다. 보안연구가들이 611 모네로 코인이 채굴된 것을 발견했다. 약 $22만 6천달러 규모다. 이 모네로 코인들은 전 세계의 취약한 서버들의 웹로직(WebLogic) 취약점을 공격해 채굴되었다. Monero 암호화폐 채굴기를 패치되지 않은 시스템에 유포하는 전 세계적인 캠페인이 벌어지고 있다. 공격자들은 지난 12월 말 중국 연구가인 Lian Zhang이 발표한 개념증명(PoC, Proof-of-Concept) 익스플로잇을 사용하고 있다. 오라클은 패치를 10월에 발표했다.
  • 코닥(Kodak)이 코닥코인(KodakCoin)이라는 블럭체인기반 암호화폐를 발표했다. 사진가(photographer)의 이미지 권리 관리(image rights management)를 블럭체인 보안 기술을 바탕으로 제공한다는 것이다. (10일에서 이어짐)
  • WIFI 네트워크를 해킹해 채굴 스크립트를 심는 커피마이너(CoffeeMiner)라는 개념증명(PoC, Proof-of-Concept)프로젝트가 공개되었다. Arnau라는 이름의 개발자가 공개한 이 PoC 프로젝트는 커피마이너(CoffeeMiner)로, 공개 WiFi Network을 해킹해 암호화폐 채굴 코드를 접속하는 브라우저 세션에 주입한다. 개발자는 이 프로젝트가 얼마전 스타벅스 건에서 영감을 받았다고 설명했다. 커피마이너는 로컬 네트워크의 ARP(Address Resolution Protocol) 메시지를 스푸핑하여 동작한다. (7일에서 이어짐)

Detailed News List

  • Oracle WebLogic
    • [DarkReading]
      Oracle WebLogic Exploit Used in Cryptocurrency Mining Campaign
  • KodakCoin
    • [EHackingNews]
      Kodak Launches Own Cryptocurrency KODAKCoin — Stocks Surge
  • CoffeeMiner
    • [InfoSecurityMagazine]
      CoffeeMiner Forces Coffee Shop Visitors to Mine for Monero

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 와이파이 얼라이언스(WiFi Alliance)가 월요일에 다음세대 무선 네트워크 보안 표준(standard)인 WPA3를 발표했다. 거의 20년이 되어가는 WPA2를 대체할 표준이다. WPA3에서의 주요 개선안 중 하나는 공개 와이파이 네트워크에서의 보안 문제를 해결하는데 초점을 두고있다. 공개 와이파이 네트워크에서 동일 네트워크에 존재하는 다른 장치들이 보내는 데이터를 가로챌(intercept)수 있는 문제점에 대해서, WPA3에서는 개별 데이터 암호화(individualized data encryption)를 제공한다. 또다른 주요 개선점은 무작위(brute-force)사전(dictionary) 공격에 대한 보호기능이다. 공격자가 WiFi 네트워크의 비밀번호를 유추하기 어렵게 만들었다. 새로운 WPA3 보안 프로토콜에서는 공격자가 비밀번호 유추를 여러번 반복해서 실패하면 차단(block) 한다. 2004년이후로 사용되는 WPA2는 four-Way Handshake 사용해 새로운 장치가 사전 공유(pre-shared)된 비밀번호로 네트워크에 참여할 수 있게 한다. WPA3에서는 새로운 종류의 handshake를 사용한다. Mathy Vanhoef에 따르면, 새로운 방식은 사전(dictionary) 공격에 취약하지 않을 것이라 한다. (10일에서 이어짐)

Detailed News List

  • WPA3
    • [NakedSecurity]
      Wi-Fi security overhaul coming with WPA3

 

Posted in Security, Security NewsTagged CoffeeMiner, Crypto Currency, Cryptocurrency Mining, Cyber Espionage, FakeBank Malware, Fancy Bear, Industrial Control System, Infrastructure, LockPoS, Malware, Patches, PLC, RIG Exploit Kit, Turla, Vulnerability, XSSLeave a comment

Security Newsletters, 2017 Dec 8th, Process Doppelgänging 外

Posted on 2017-12-08 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats

Summaries

  • 이란과 관련된 것으로 추정되는 사이버 스파이 그룹이 최근 패치된 마이크로소프트 오피스(Office)의 취약점을 사용해 표적 기관에 악성코드 유포를 진행하고 있다고 파이어아이(FireEye)가 목요일 발표했다. 이 스파이 그룹은 파이어아이에서는 APT34로, 타 기관에서는 OilRig으로 지칭된 그룹이며 최소 2014년부터 활동해 온 것으로 추정된다. 이 그룹은 금융, 정부, 에너지, 통신, 화학 분야의 기관을 공격 대상으로 삼고 있으며 특히 중동에 위치한 기관을 대상으로 한다. 4월에는 보안연구가들이 마이크로소프트가 패치를 발표한 직후 오피스 취약점 CVE-2017-0199를 공격에 사용하는 것을 확인했으며, 이번에는 마이크로소프트가 11월 14일에 패치한 CVE-2017-11882를 사용한 공격을 진행하고 있다. 이 취약점은 오피스에 17년간 존재한 방정식 편집기 컴포넌트에 영향을 주는 취약점을 공격한다.
  • 시만텍(Symantec)이 새로운 Adwind RAT(Remote Access Trojan) 변종을 유포하는 스팸메일에 대해서 경고했다. 이 악성코드는 사용자의 행동을 모니터링하고, 키 입력을 기록하며 스크린샷을 찍거나, 악성 파일을 다운로드하고 비디오 및 음성을 녹음할 수 있다. Adwind는 AlienSpy, Frutas, Unrecom, Sockrat, jRAT라고도 불리는 크로스플랫폼(cross-platform) 다기능 원격제어 트로이다. Adwind 메일은 JAR 파일이나 ZIP 파일을 첨부파일로 포함해 유포되고 있다.
  • 브라질 전자상거래에서 흔히 사용되는 지불방식인 Boleto의 송장으로 위장한 스팸메일이 유포되고 있다. 이 스팸메일들은 보통 브라질 기관들을 대상으로 유포된다. 다른 여타 스팸메일들 처럼 이 캠페인은 윈도우즈 컴퓨터들을 감염시키고 정보를 훔치려는 목적을 가지고 있다. 그러나 특이하게 이 캠페인에서 감염된 컴퓨터는 IRC(Internet Relay Chat) 트래픽을 발생시키는데, 모든 감염된 호스트들은 #MSESTRE 채널에 참여한다. 브라질 공식언어인 포르투갈어로 mestre는 master 또는 teacher를 의미한다.

Detailed News list

  • APT 34 launches Spy Campaign
    • [InfoSecurityMagazine]
      Iranian State-Sponsored APT 34 Launches Spy Campaign with Just-Patched Microsoft Vulns
    • [FireEye]
      New Targeted Attack in the Middle East by APT34, a Suspected Iranian Threat Group, Using CVE-2017-11882 Exploit
    • [SecurityWeek]
      Iranian Cyberspies Exploit Recently Patched Office Flaw
  • Spam Emails spreading Adwind RAT
    • [CSOOnline]
      Over 1 million monthly spam emails spreading new Adwind RAT variants
  • Boleto Campaign targets Brazil
    • [PaloAltoNetworks]
      Master Channel: The Boleto Mestre Campaign Targets Brazil

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 트렌드마이크로(TrendMicro)의 리포트에 따르면, 전세계 수백만 시스템을 감염시켰던 Conficker 웜이 9년이 지난 지금도 여전히 활발히 활동중이다. 이 웜은 제조, 헬스케어, 정부 분야의 조직에 강력한 위협으로 남아 있을 정도로 악성코드 방지 시스템에 의해 지속적으로 탐지되고 있다. Conficker 웜이 처음 등장한 것은 2008년이다. 이번주에 트렌드 마이크로가 발표한 리포트에 따르면, Downad라 불리는 웜은 이번 해에만 330,000건이 탐지되고 차단되었다. 이 수치는 트렌드 마이크로가 Conficker를 2016년에는 3000,000건, 2015년에는 290,000건을 탐지하고 차단한 수치와 거의 일치한다. 2008년에 처음 등장한 Conficker 웜은 처음 등장시 전세계 약 900만대의 놀라운 숫자의 컴퓨터 시스템을 감염시켰다.
  • 유명 모바일 뱅킹 앱이 중간자(MitM, Man-in-the-Middle) 공격에 취약한 것으로 드러났다. 보안연구가들이 유명 뱅킹 앱에서 인증정보를 해커에게 노출시킬 수 잇는 취약점을 발견했다. 이 취약점은 버밍엄 대학교(University of Birmingham)의 보안 및 프라이버시 그룹(Security and Privacy Group)의 연구가에 의해 발견되었다. 이 연구가는 수백개의 iOS 및 Android 뱅킹 앱을 분석했다. 이 연구에서 다수의 뱅킹 앱이 MitM 공격에 취약한 것으로 드러났으며, 영향을 받는 앱에는 Allied Irish bank와 Co-op, HSBC, NatWest, Santander등이 포함된다.
  • 유명 블로깅 웹 어플리케이션인 워드프레스(WordPress)를 사용하는 사이트에서 키로거가 발경되었다. 수천개의 워드프레스 사이트가 사용자의 입력을 가로채는 악성코드에 감염된 것이 발견되었다. 이 감염은 cloudflare.solutions이라는 악성코드로 웹사이트가 감염되었던 지난 4월의 캠페인 중 일부이다. 과거에 탐지되었을 당시에는 암호화폐를 채굴하는 기능이 포함되어 있었으며, 지금은 키로깅 기능이 포함되어 있다. 기사가 작성될 당시 cloudflare.solutions 악성코드는 5,495개의 웹사이트에 감염되어 있었으며 이 숫자는 증가하고 있는 것으로 보인다.
  • 윈도우즈의 버젼 및 안티바이러스 제품과 관계없이 윈도우즈 장치를 감염시킬 수 있는 Process Doppelgänging 이라는 공격기법이 엔드포인트 보안 기업 enSiol의 보안연구가에 의해 확인되었다. 프로세스 도플갱잉(Process Doppelgänging)은 런던에서 열린 블랙햇 유럽 2017(Black Hat Europe 2017) 보안 컨퍼런스에서 시연되었으며, 파일을 사용하지 않는(fileless) 코드 인젝션 기술(code injection technique)이나. 이 기법은 악성이라 알려진 파일지라도 그 파일을 조작된 윈도우즈 핸들러의 파일 트랜젝션(transaction) 프로세스에 전달하는 방법이다. 이 공격에서는 NTFS 트랜잭션을 이용하는데, 정상적인 파일을 트랜잭션 컨텐스트에서 덮어쓰기(overwrite)한다. 그리고 트랜잭션 컨텍스트 내의 수정된 파일에서 섹션을 만들고, 프로세스를 생성한다. 이렇게 트랜잭션 중에 있는 파일을 스캔하는 것은 현재로서는 불가능 한 것으로 보이며, 트랜잭션을 취소(rollback)하게 되면 흔적이 남지 않게 된다.

Detailed News List

  • Conficker won’t die
    • [DarkReading]
      Conficker: The Worm That Won’t Die
    • [TrendMicro]
      CONFICKER/ DOWNAD 9 Years After: Examining its Impact on Legacy Systems
  • Major Banking App
    • [SecurityAffairs]
      Major Banking Applications were found vulnerable to MiTM attacks over SSL
    • [TheHackerNews]
      Security Flaw Left Major Banking Apps Vulnerable to MiTM Attacks Over SSL
    • [ThreatPost]
      Banking Apps Found Vulnerable to MITM Attacks
    • [InformationSecurityBuzz]
      University Of Birmingham Found a Security Flaw That Had 10 Million Banking App Users At Risk
    • [DarkReading]
      Man-in-the-Middle Flaw in Major Banking, VPN Apps Exposes Millions
    • [InfoSecurityMagazine]
      UK Researchers Find Major Bank App Bug Affecting 10 Million
    • [ZDNet]
      Man-in-the-middle flaw left smartphone banking apps vulnerable
  • WordPress Keylogger
    • [SecurityWeek]
      Keylogger Found on 5,500 WordPress Sites
    • [SecurityAffairs]
      Thousands of WordPress sites infected with a Keylogger and cryptocurrency miner scripts
    • [Sucuri]
      Cloudflare[.]Solutions Keylogger on Thousands of Infected WordPress Sites
  • Process Doppelgänging
    • [HackRead]
      Process Doppelgänging attack affects all Windows version & evades AV products
    • [SecurityWeek]
      ‘Process Doppelgänging’ Helps Malware Evade Detection
    • [SecurityAffairs]
      Process Doppelgänging Attack allows evading most security software on all Windows Versions
    • [TheHackerNews]
      Process Doppelgänging: New Malware Evasion Technique Works On All Windows Versions
    • [ZDNet]
      Doppelgänging: How to circumvent security products to execute code on Windows

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 지난 달 미 검찰에 의해 HBO에 대한 해킹으로 기소된 Behzad Mesri가 이란 스파이 그룹과 관련이 있다는 기사가 나왔다. 보안기업 ClearSKy가 새로운 리포트를 공개했다. 이 리포트에서는 Charming Kitten또는 Newscaster, NewsBeef라는 이름으로 알려진 스파이 그룹의 활동을 자세히 다뤘다. 이 그룹은 2014년 부터 활동해 왔으며, 이란, 미국, 이스라엘, 영국 및 기타 여러국가의 여러 단체들을 공격 대상으로 삼았다. 그리고 이들의 공격 대상에는 종종 학술 연구, 인권 및 언론과 관련된 개인들도 포함되었다. (7일에서 이어짐)

Detailed News List

  • HBO Hacking linked to Iranian Hacking Group Charming Kitten
    • [SecurityAffairs]
      HBO hacker linked to the Iranian Charming Kitten APT group
    • [InformationSecurityBuzz]
      Iranian Hacker Charged For HBO Breach Part Of Charming Kitten Group
    • [EHackingNews]
      Iranian Hacking Group Creates Fake News Agency

 

Vulnerability Patches/Software Updates

Summaries

  • OpenSSL의 취약점이 패치되었다. OpenSSL 프로젝트가 목요일에 구글 연구가가 발견한 두가지 취약점이 패치된 OpenSSL 1.0.2n 버젼을 공개했다. 이 취약점은 구글 연구가 David Benjamin이 앞서 발표했던 OSS-Fuzz라는 퍼싱 서비스를 사용해 발견한 취약점이다. (11월 3일자 뉴스모음) 취약점 중 하나는 CVE-2017-3737이며, 다른 하나는 CVE-2017-3738이다.
  • 치명적인 취약점이 마이크로소프트(Microsoft)의 악성코드 보호 엔진(MPE, Malware Protection Engine)에서 발견되어 마이크로소프트가 목요일에 이에 대한 패치를 공개했다. 이 취약점은 공격자가 공격대상 컴퓨터를 완전히 장악할 수 있게 한다. 윈도우즈10용 윈도우즈 디펜더(Windows Defender)를 포함한 다양한 마이크로소프트의 보안 제품들이 영향을 받는다. 마이크로소프트 악성코드 보호 엔진은 마이크로소프트의 모든 제품의들의 안티바이러스 및 안티스파이웨어 프로그램에 핵심 기능을 제공한다. 마이크로소프트에 따르면, 아직까지 이 취약점이 실제 공격에 사용되고 있다는 흔적은 발견되지 않았다.
  • 크롬이 63 업데이트에서 더욱 강력한 보호기능을 제공한다. 어제 공개된 크롬 63에서는 기업 마켓을 겨냥한 새로운 보안 기능 개선사항들이 포함되었다. 그 첫번째로는 사이트 고립(site isolation) 기능이다. 크롬이 처음부터 사용해왔던 다중 프로세스 모델(multiple process model)의 한층 더 엄격한 버젼이다. 크롬은 여러가지 보안 및 안정화 이유로 다중 프로세스를 사용한다. 안정성면에서는 하나의 탭이 충돌하더라도 기타 다른 탭이나 브라우저 그 자체는 영향을 받지 않는다. 보안적인 면에서는 다중 프로세스를 사용함으로 인해서 악성코드가 하나의 사이트에서 다른 사이트의 비밀번호 입력과 같은 정보를 훔치기 어려워진다.

Detailed News List

  • OpenSSL patched
    • [SecurityWeek]
      Two Vulnerabilities Patched in OpenSSL
    • [OpenSSL]
      OpenSSL Security Advisory 07, Dec, 2017
  • Microsoft Releases Security Update
    • [US-CERT]
      Microsoft Releases Security Updates for its Malware Protection Engine
    • [CyberScoop]
      Critical vulnerability found in Microsoft Malware Protection Engine
  • Apple patches macOS, watchOS, tvOS
    • [TheRegister]
      Apple gets around to patching all the other High Sierra security holes
    • [SecurityWeek]
      Apple Patches Vulnerabilities in macOS, watchOS, and tvOS
    • [HelpNetSecurity]
      Apple users, it’s time for new security updates
    • [US-CERT]
      Apple Releases Security Updates
  • Chrome 63 offers even more protection
    • [TechRepublic]
      Google ups Chrome security for business users with new features and policies
    • [ARSTechnica]
      Chrome 63 offers even more protection from malicious sites, using even more memory
    • [US-CERT]
      Google Releases Security Update for Chrome
    • [SecurityWeek]
      Chrome Improves Security for Enterprise Use
    • [ZDNet]
      Chrome 63 vs Windows 10 Edge: Google steps up rivalry with site isolation security

 

Privacy

Summaries

  • 애플이 사용자의 프라이버시를 해치지 않으면서 사용자의 정보를 수집하고 있다고 주장했다. 애플은 최근 어떻게 사용자의 개인정보를 연관시키지 않으면서 정보를 수집하는지에 대해 밝혔다. 최근 애플의 머신러닝 저널에 공개된 포스트에 따르면, 애플은 민감 사용자 데이터를 그들 고객의 프라이버시를 지키면서도 수집할 수 있게하는 알고리즘을 개발했다. 사용자가 누군이지 드러내지 않으면서 정보를 얻기 위해서, 애플은 iOS10을 릴리즈하면서 차등 개인정보(local differential privacy)를 사용하는 시스템 구조(system architecture)를 개발했다. 포스트에 따르면 이 아이디어는 신중히 조정된 노이즈를 사용해 사용자 데이터를 가리는데 사용하는 것에 근원을 두고 있으며, 많은 사용자들이 데이터를 제공할 때, 추가된 잡음(noise)이 평균화되고(added averages out) 의미있는 정보가 나타난다. 지역 차등 프라이버시(local differential privacy)를 사용하면서 사용자 데이터는 장치에서 전송되기 전에 랜덤화(randomized)되고, 서버는 원본 데이터(raw data)를 보거나 수신할 수 없게 된다.

Detailed News List

  • Apple collect your data
    • [TechRepublic]
      Apple claims it can collect your data without violating your privacy; here’s how
    • [ZDNet]
      Apple to iPhone, Mac users: Here’s why our data gathering doesn’t invade your privacy
    • [Apple Machine Learning Journal]
      Learning with Privacy at Scale

 

Data Breaches/Info Leakages

Summaries

  • 나이스해시(NiceHash)가 해킹당해 수천 비트코인을 도둑맞았다. 암호화폐 채굴 마켓인 나이스해시(NiceHash)가 해킹으로 전체 비트코인 지갑을 잃게 되었다고 발표했다. 나이스해시는 사용자들이 자신의 컴퓨터 사이클을 암호화폐 채굴을 위해 사고파는 마켓이다. 나이스해시는 수요일 정오에 성명을 발표했는데 NiceHash 웹 사이트에 보안 침해가 있었으며, 지불 시스템이 완전히 침해당해 나이스해시의 비트코인 지갑을 도둑맞았다고 발표했다. 나이스해시가 정확한 금액을 밝히지는 않았지만, 추정되는 금액은 약 6천만 달러에 달할 것으로 보인다.
  • 우버(Uber)가 해킹한 사람을 확인하고 추가 사고를 막기위해 정보 공개를 하지 않겠다는 약속을 받는 목적으로 10만 달러의 금액을 그들의 버그바운티 프로그램(bug bounty program)에서 지불한 것으로 로이터 통신이 보도했다. 로이터 통신이 이 침해사고에 대해 잘 알고있는 익명의 소식통으로부터 입수한 바에 따르면, 해커는 20세의 플로리다의 남성으로 우버는 이 사람의 컴퓨터에서 포렌식 수사를 진행했으며, 훔친 정보를 삭제한 것이 맞는지 확인하는 과정을 거쳤다.
  • 유명 키보드 앱이 3100만명의 사용자 개인정보를 수집하고 이 정보를 유출시키는 사고가 있었다. 문제는 앱 제조사의 데이터베이스가 비밀번호로 보호되고 있지 않았기 때문이었다. 서버는 전세계 4000만명 이상의 사용자가 사용하는 개인화 가능한 온스크린(on-screen) 키보드 앱인 AI.type의 공동설립자 Eitan Fitusi의 소유다. 서버가 비밀번호로 보호되어있지 않아서 누구나 사용자 레코드에 접근이 가능했고, 데이터베이스에는 577기가바이트 이상의 민감 정보가 존재했다. 해당 내용을 발견한 Kromtech Security Center에서 연락을 취한 후 보안설정이 되었으나, Fitusi는 이에대한 답변을 하지 않았다. 노출된 데이터는 사용자 이름, 이메일 주소, 앱 설치기간 이었고, 사용자의 도시와 국가와 같은 위치정보도 포함되어 있었다. 무료버젼을 사용하는 사용자 정보는 더 자세한 정보도 존재했다. 장치의 IMSI와 IMEI 번호, 장치의 제조번호 및 모델정보, 화면 해상도, 안드로이드 정보와 같은 중요 정보들도 존재했다. (6일에서 이어짐)

Detailed News List

  • NiceHash got Hacked
    • [InfoSecurityMagazine]
      $64m in Bitcoin Stolen from NiceHash Mining Platform
    • [SecurityAffairs]
      NiceHash: security breach leads to 60 million lost – Iceman is behind?
    • [NakedSecurity]
      NiceHash cryptomining exchange hacked; everything’s gone
    • [DarkReading]
      Bitcoin Miner NiceHash Hacked, Possibly Losing $62 Million in Bitcoin
    • [InformationSecurityBuzz]
      $60 Million Worth Of Bitcoin Stolen From Cryptocurrency Site
    • [TripWire]
      NiceHash Temporarily Ceases Operations Following Security Breach
    • [ZDNet]
      Bitcoin exchange NiceHash hacked, $68 million stolen
    • [SecurityAffairs]
      NiceHash Hacked – Crooks have allegedly stolen $60m worth of Bitcoin
    • [TheHackerNews]
      Largest Crypto-Mining Exchange Hacked; Over $70 Million in Bitcoin Stolen
    • [HelpNetSecurity]
      NiceHash suffers security breach, around $70 million in Bitcoin stolen
    • [HackRead]
      Cryptocurrency mining market NiceHash hacked; $67m might be stolen
    • [TheRegister]
      NiceHash diced up by hackers, thousands of Bitcoin pilfered
  • Uber Hacking
    • [DarkReading]
      Uber Used $100K Bug Bounty to Pay, Silence Florida Hacker: Report
    • [ZDNet]
      Uber paid 20-year-old man to hide hack, destroy data
    • [TheHackerNews]
      Uber Paid 20-Year-Old Florida Hacker $100,000 to Keep Data Breach Secret
    • [Reuters]
      Exclusive: Uber paid 20-year-old Florida man to keep data breach secret – sources
  • Keyboard App
    • [GrahamCluley]
      Oops! This Android keyboard app accidentally leaked 31 million users’ personal details
    • [WeLiveSecurity]
      Virtual keyboard app exposes personal data of 31 million users
    • [EHackingNews]
      Misconfigured Ai.Type Virtual Keyboard Database Exposes 31 Million Users’ Personal Data
    • [EHackingNews]
      Personal data of 31 million Android users of virtual keyboard app revealed

 

Industrial/Infrastructure/Physical System/HVAC/SCADA

Summaries

  • 다수의 산업용 지멘스(Siemens) 제품들에서 심각한 취약점이 발견되었다. 다수의 산업용 장비들에서 공격자가 원격으로 시스템을 서비스거부(DoS, Denial-of-Service) 상태로 만들 수 있는 취약점이 발견되었다. 이 취약점은 CyberX의 연구가들에 의해 지멘스에 보고되었으며, CVE-2017-12741로 높은 심각성(high severity)등급으로 분류되었다. 지멘스에 따르면 영향받는 제품들은 SIMATIC S7-200 Smart micro-PLCs for small automation applications, 일부 SIMATIC S7 CPUs, SIMATIC WinAC RTX 소프트웨어 컨트롤러(software controllers), SIMATIC ET 200 PROFINET 인터페이스 모듈(interface modules), SIMATIC PN/PN 커플러(couplers), SIMATIC Compact field units, PROFINET IO의 개발 도구(development kits), SIMOTION 동작 제어 시스템(motion control systems), SINAMICS 컨버터(converters), SINUMERIK CNC 자동화 제품(automation solutions), SIMOCODE 모터 관리 시스템(motor management systems), SIRIUS 3RW motor soft starters 다.

Detailed News List

  • Siemens Products
    • [SecurityWeek]
      Serious Flaw Found in Many Siemens Industrial Products
    • [Siemens]
      SSA-346262: Denial-of-Service in Industrial Products(PDF)

 

Internet of Things

Summaries

  • 다수의 차량을 포함한 온갖 기기들이 점차 더 많이 네트워크에 연결되기 시작하면서, 이를 걱정하는 기사들이 이어지고 있다. 해커들이 인터넷에 접속된 차량에 침입하게 되면 에어백이나 브레이크, 잠금장치 등을 무력화 할 수 있고 차량을 훔칠 수도 있다. 최근에 테슬라(Tesla)차량이 중국 해커들에 의해 해킹된 최근의 사건에 주목할만 하다.
  • 사토리(Satori)봇넷이라 이름 붙은, 라우터(Router)의 제로데이에 기반한 봇넷 공격이 임박했다고 하는 기사가 나왔다. 새로운 Mirai 변종이 공격준비가 끝났다는 것이다. 14개월 전 소스코드가 공개된 이후, 봇넷 운영자들은 새로운 버젼을 계속적으로 릴리즈해 왔다. 가장 최근의 변종에서는 근래에 발견된 가정 및 소규모 사무실용으로 많이 사용되는 라우터를 취약점을 공격하는 기능이 들어가있다. 이 취약점은 강력한 암호를 설정해 놓고너 원격 관리기능(remote administration)을 꺼 놓아도 공격가능하다. 영향을 받는 화웨이(Huawei) 장치 중 하나는 EchoLife Home Gateway이고 다른 하나는 Huawei Home Gateway다. 약 90,000에서 100,000대의 새로 감염된 장치들이 두 화웨이 라우터 모델 중 하나다. 새로운 악성코드는 다른 장치들을 대상으로 공격하기 위한 65,000개의 사용자 이름 및 비밀번호 사전을 갖추고있다. (6일에서 이어짐)

Detailed News List

  • Driverless cars
    • [UpstateBusinessJournal]
      Cybersecurity concerns surround the promise of driverless cars
    • [ZDNet]
      No, we’re not trying to get backdoors in smart homes, cars, says Germany
    • [EHackingNews]
      Rising peril of autonomous vehicles due to cyber attacks
  • Satori Botnet
    • [InformationSecurityBuzz]
      Satori Botnet

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • 안드로이드 랜섬웨어 킷(Android Ransomware Kits)이 다크넷에서 붐이 일고 있다. 이번해에 지금까지 5,000개 이상의 안드로이드 랜섬웨어 킷이 존재하는 것이 확인되었으며, 평균 가격은 $200이다. 대다수의 랜섬웨어 키트는 여전히 윈도우즈 시스템을 대상으로 하고있다. 그러나 새로나온 리포트에 따르면, 안드로이드 랜섬웨어 키트가 비싼 값에 거래되고 있으며, 그 판매량과 가격이 증가할 것으로 예상된다. 안드로이드 랜섬웨어 키트는 윈도우즈 랜섬웨어 키트가 평균 $10라는 가격에 판매되는 것에 비해 평균 $200라는 20배 높은 가격으로 판매되고 있다고 카본블랙(Carbon Black)이 발표했다. 이 랜섬웨어 키트의 가격은 $250에서 $850선이다.

Detailed News List

  • Android Ransomware Kit
    • [DarkReading]
      Android Ransomware Kits on the Rise in the Dark Web

 

Crypto Currencies/Crypto Mining

Summaries

  • StorageCrypt 랜섬웨어가 SambaCry 익스플로잇을 사용해 NAS 장치들을 노리고있다. 새로운 종류의 랜섬웨어가 5월에 패치된 SambaCry 취약점을 사용해 NAS(Network-Attached Storage) 장치를 노리고 있다. StorageCrypt라 명명된 이 랜섬웨어는 0.4에서 2비트코인을 암호화 파일을 풀어주는 것에 대한 몸값으로 요구한다. NAS 장치를 감염시키기 위해서 StroageCrypt는 리눅스 삼바(Samba) 취약점(CVE-2017-7494)을 이용한다. (7일에서 이어짐)

Detailed News List

  • StorageCrypt
    • [SecurityAffairs]
      The StorageCrypt ransomware is the last malware in order of time exploiting SambaCry to target NAS Devices

 

Posted in Security, Security NewsTagged Adwind RAT, Android Ransomware Kits, APT34, Bug Bounty Program, Charming Kitten, cloudflare.solutions, Conficker, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, CVE-2017-0199, CVE-2017-11882, CVE-2017-3737, CVE-2017-3738, CVE-2017-7494, Cyber Espionage, DarkNet, Deep web, Industrial Control System, Information Leakage, Internet of Things, IoT, Keylogger, Malware, Malware Protection Engine, Man-in-the-Middle Attack, Mirai, MITM, NewsBeef, Newscaster, OilRig, OpenSSL, OSS-Fuzz, Patches, PLC, Privacy, Process Doppelgänging, SambaCry, Satori Botnet, StorageCrypt, Underground Market, VulnerabilityLeave a comment

글 내비게이션

이전 글

Search

Recent Posts

  • Exploit PoC for CVE-2023-20887 VMWare Aria Operations for Networks
  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外

Categories

  • Diet (7)
  • Exploit (1)
  • Flaw (2)
  • Hacking (1)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2023년 6월 (1)
  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.