Security Newsletters, 2018 Mar 7th, 라이벌 종료시키는 채굴 악성코드 外

Posted on 2018-03-07 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Malwares

Summaries

Combojack이라 명명된, 가상화폐를 훔치는 새로운 악성코드가 Palo Alto Networks Unit 42와 Proofpoint 연구자들에 의해 확인되었다. 이 악성코드는 미국 및 일본의 사용자들에게 이메일 스팸 캠페인을 통해 유포되고 있다. 유포되는 악성 이메일은 “Re: Passport…”와 같은 제목을 사용하며, 여권을 스캔한 것 처럼 보이는 PDF파일을 첨부해 사용자에게 실수로 여권 사본이 전달된 것 처럼 가장한다. 이렇게 전달되는 파일을 통해서 DirectX 취약점 ^{CVE-2017-8579}를 공격하고 HTA 스크립트를 로드한다. 이 스크립트는 악성코드를 다운로드 하기 위해서 PowerShell 스크립트를 실행한다. ComboJack 악성코드는 클립보드에 존재하는 가상화폐 지갑 주소를 공격자의 주소로 바꿔치기해 돈을 가로챈다. 2017년 확인된 CryptoShuffler 악성코드와 동일한 방식이다.

Detailed News List

ComboJack
- _[HackRead]
  ComboJack Malware Steals Cryptocurrency by Modifying Addresses
- _{[SecurityWeek]}
  “ComboJack” Malware Steals Multiple Virtual Currencies
- _{[SecurityAffairs]}
  ComboJack Malware alters Windows clipboards to steal cryptocurrencies and payments
- _[ZDNet]
  ComboJack malware tries to steal your cryptocurrency by changing the data in your clipboard

Vulnerability Patches/Software Updates

Summaries

구글에서 이번주 안드로이드 운영체제에 존재하는 11개 취약점을 수정했다. 수정된 취약점 중 7건은 원격 코드 실행^{(RCE, Remote Code Execution)}버그였다. 전체적으로는 37개의 취약점이 수정되었으며, 26개가 high 등급으로 분류되었다.

Detailed News List

Google
- _[ThreatPost]
  Google Patches 11 Critical Bugs in March Android Security Bulletin
- _{[SecurityWeek]}
  Android’s March 2018 Patches Fix Critical, High Risk Flaws

Data Breaches/Info Leakages

Summaries

NIS^{(Nippon Ichi Software)}가 해킹을 당해, 그들의 미 온라인 상점중 두 곳의 고객들에 대한 신용카드 사기의 위험성이 있음을 인정했다. 지난 3월 1일 SNS와 이메일로 전달된 내용에 따르면, NIS는 침해사고가 nisamerica와 snkonlinestore에 영향을 미쳤으며 1월 23일에 발생해 지난 2월 26일에 발견되기까지 지속되었다고 밝혔다. 그리고 지불 정보^{(payment information)}을 포함한 개인정보가 침해당했을 가능성이 있다고 밝혔다. 침해사고에 대한 공개 이후, 피해자들에게 향후 구매시 $5를 할인해주는 바우처를 제공해 논란이 되고있다.
일부 애플비^(AppleBee)매장의 PoS에서 신용카드 정보가 유출되는 사건이 발생했다. RMH Franchise Holdings에서 Applebee 레스토랑의 PoS 시스템이 악성코드에 감염된 것을 지난 주 확인했다. 발견된 PoS 악성코드가 수집한 정보는 이름, 신용카드 번호, 만료일, 카드 식별 코드^{(card verification codes)}다. (6일에서 이어짐)

Detailed News List

$5 Voucher
- _{[InformationSecurityBuzz]}
  NIS America Hacked, Offers $5 To Next Purchase After Credit Card Data Stolen
- _[TripWire]
  Video Game Developer Gave Customers $5 Voucher after Data Breach
- _{[NakedSecurity]}
  Games site customers offered $5 voucher after credit card breach
Applebee
- _[ThreatPost]
  POS Malware Found at 160 Applebee’s Restaurant Locations
- _{[BankInfoSecurity]}
  167 Applebee’s Restaurants Hit With Payment Card Malware
- _{[InfoSecurityMagazine]}
  Applebee’s Hit by POS Malware
- _{[BankInfoSecurity]}
  172 Applebee’s Restaurants Hit With Payment Card Malware

Mobile/Cloud

Summaries

지난 2월 28일 이스라엘에 위치한 Cellebrite사가 모든 애플 기기의 잠금을 해제할 수 있는 기술을 개발했다는 기사 발표 이후, Grayshift라는 회사에서도 iPhone X와 8의 암호화를 깰 수 있다고 주장하는 기사가 나왔다. 리포트에 따르면, 미국에 위치한 Grayshift는 GrayKey라는 도구를 개발했으며 이 도구를 이용하면 iOS 장치에서 파일시스템 전체를 추출할 수 있고 비밀번호를 브루트포스 공격하여 알아내거나 잠금해제를 위해 보안기능을 우회할 수 있다.

Detailed News List

Grayshift can crack iPhone
- _[HackRead]
  After Cellebrite, Grayshift Claims to Crack Encrypted iPhone X & 8

Service Outage/Malfunction

Summaries

지난주 아카마이^(Akamai)에서 관측한 GitHub에 대한 1.3Tbps의 대규모 DDoS 공격에 이어, 이번에는 NETSCOUT Arbor에 의해 1.7Tbps라는 사상 최대 규모의 DDoS가 관측되었다. 공격은 GitHub에 사용되었던 방식과 동일한 memcached reflection/amplification 공격 벡터를 이용했다. (6일에서 이어짐)
GitHub에 대한 1.35Tbps의 대규모의 분산서비스거부^{(DDoS, Distributed Denial of Service)} 공격이 있었다. GitHub이 28일 수요일에 일련의 대규모 DDoS 공격을 당했다. 첫번째 공격에서 Github의 웹사이트는 초당 1.35 테라바이트의의 공격을 받았고, 두번째 공격에서는 Github의 네트워크 모니터링 시스템에서 400Gbps를 기록했다. 공격은 8분간 지속되었고, 지금까지 확인된 DDoS 공격 중 가장 큰 규모의 공격이다. 프랑스의 통신회사 OVH와 Dyn DNS도 1Tbps의 DDoS 공격을 겪은 바 있다. 이 공격들은 IoT 장치를 감염시키는 Mirai에 의한 것이었다. 그러나 이번의 DDoS 공격은 Memcached 서버의 취약점으로 인한 것일 수 있다. (3일에서 이어짐)

Detailed News List

1.7Tbps DDoS Attack
- _[HackRead]
  World’s Largest DDoS Attack: US Firm Suffers 1.7 Tbps of DDoS Attack
- _{[GrahamCluley]}
  World record broken again! DDoS attack exceeds 1.7 terabits per second
- _[ZDNet]
  New world record DDoS attack hits 1.7Tbps days after landmark GitHub outage
- _[CyberScoop]
  Arbor Networks reports record-breaking 1.7Tbps DDoS attack
- _{[TheHackerNews]}
  1.7 Tbps DDoS Attack — Memcached UDP Reflections Set New Record
- _{[SecurityAffairs]}
  World’s largest DDoS attack record broken by a new memcached DDoS attack
- _{[TheRegister]}
  World’s biggest DDoS attack record broken after just five days
GitHub DDoS Attack
- _[Anomali]
  WTB: GitHub Survived the Biggest DDoS Attack Ever Recorded

Crypto Currencies/Crypto Mining

Summaries

라이벌 채굴 악성코드를 공격하는 채굴 악성코드가 발견되었다. 이 채굴 악성코드는 SANS Internet Storm Center의 Xavier Mertens에 의해 처음 확인되었다. Mertens는 이 파워쉘 스크립트를 3월 4일에 발견했으며, 이 스크립트가 실행되는 장치에서 CPU를 많이 점유하는 기타 다른 프로세스들을 종료시킨다고 말했다. 감염 전 단계에서, 이 공격 스크립트는 공격대상 기기가 32비트인지 64비트인지 확인하며, hpdriver.exe 또는 hpw64로 알려진 파일을 다운로드 한다. 성공적으로 설치한 이후에는, 실행중인 프로세스 목록을 확인하여 공격대상 프로세스들을 종료한다. 이 공격대상 프로세스 목록에는 평범한 윈도우즈 관련 내용과 더불어 라이벌 채굴 악성코드 관련된 내용들도 포함되어 있다.

Detailed News List

Miner vs Miner
- _{[TheRegister]}
  Miner vs miner: Attack script seeks out and destroys competing currency crafters

Security Newsletters, 2018 Feb 2nd, 멜트다운/스펙터 악성코드 시험중 外

Posted on 2018-02-02 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Malwares

Summaries

악성코드 제작자들이 멜트다운/스펙터^{(Meltdown/Spectre)} 취약점 사용을 시험중에 있다는 기사가 나왔다. 독일의 안티바이러스 테스트 기업인 AV-Test에서 Meltdown/Spectre CPU bugs를 공격하는 것으로 보이는 악성코드 샘플을 139개 식별해냈다. AV-Test는 트위터를 통해 최근 공개된 CPU 취약점인 ^{CVE-2017-5715, CVE-2017-5753, CVE-2017-5754}와 관련된 것으로 보이는 샘플을 139개 확인했다고 밝혔다. AV-Test는 최초로 브라우저를 공격하기 위한 자바스크립트 버젼의 개념증명^(PoC) 공격을 찾았다고 밝혔다. 대부분의 악성코드 샘플은 온라인에 공개된 PoC들이다. AV-Test가 수집하는 샘플들의 수가 1월 7일 최초 발견된 이후 지속적으로 증가하고 있으며, 1월 21일을 기점으로 그 수가 100개를 넘어섰다. 1월 말 기준으로 139개의 샘플이 수집되었다.

Detailed News List

Meltdown/Spectre Malware
- _[ZDNet]
  Meltdown-Spectre: Malware is already being tested by attackers
- _{[TheHackerNews]}
  Meltdown/Specter-based Malware Coming Soon to Devices Near You, Are You Ready?
- _{[EHackingNews]}
  Researchers discover Malware Samples Designed to Exploit CPU Vulnerabilities
- _{[SecurityAffairs]}
  Malware exploiting Spectre and Meltdown flaws are currently based on available PoC

Exploits/Vulnerabilities

Summaries

대한민국 사용자들을 노린 공격에서 플래시^(Flash)의 제로데이 익스플로잇이 확인되었다. KISA에 따르면, 최신의 플래시 플레이어 28.0.0.137과 그 이전버젼을 공격 대상으로 삼는 북한 해커들의 플래시 제로데이 취약점 공격이 확인되었다. 이 제로데이 취약점은 문서파일이나, 웹페이지, 플래시 파일을 포함한 이메일을 여는 것으로 공격당할 수 있다. 2017년 11월 중순부터 이러한 공격이 이어졌다.
Oracle Micros의 PoS^{(Point-of-Sale)}에서 기업의 전체 비즈니스 데이터를 침해하고 다운로드받을 수 있는 취약점이 발견되었다. 이 취약점은 인증받지 않은 원격의 공격자가 PoS 서버의 데이터베이스를 읽고 쓸수 있는 접근권한을 획득할 수 있게한다. Oracle은 이 취약점이 이달 초의 분기^(Quarterly) 패치 스케쥴에서 패치되었다고 밝혔다. (31일에서 이어짐)

Detailed News List

Flash Zero-Day Exploit
- _{[DarkReading]}
  Adobe to Patch Flash Zero-Day Discovered in South Korean Attacks
- _{[SecurityAffairs]}
  South Korea Warns of Flash Zero-Day flaw exploited by North Korea in surgical attacks
- _{[TheRegister]}
  Nork hackers exploit Flash bug to pwn South Koreans. And Adobe will deal with it next week
- _[ThreatPost]
  Adobe Flash Player Zero-Day Spotted in the Wild
- _{[SecurityWeek]}
  South Korea Warns of Flash Zero-Day Exploited by North Korea
Oracle PoS
- _{[EHackingNews]}
  Security Flaw in Oracle POS systems discovered
- _[ThreatPost]
  Oracle MICROS POS Vulnerability Puts 300,000 Systems at Risk

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

지멘스^(Siemens)에서 플랜트 관리 제품의 취약점 패치를 릴리즈했다. 지멘스에서 TeleControl Basic 제품이 다수의 취약점에 영향을 받으며, 공격자가 권한 상승 및 인증 우회, 서비스거부^{(DoS, Denial-of-Service)} 공격이 가능하다고 밝혔다. 지멘스의 TeleControl Basic은 플랜트 공정을 모니터하고 관리할 수 있는 시스템이다. 이 제품은 수처리^{(water trreatment)}, 트래픽 모니터링, 에너지 분배 등의 시설들의 운영을 최적화 하는데 사용되기도 한다. TeleControl Server Basic은 TeleControl Basic control center에 사용되는 소프트웨어다. Siemens에 따르면 TeleControl Server Basic 시스템은 세가지 취약점이 존재한다. 첫번째 취약점인 CVE-2018-4836은 가장 심각한 취약점이다. 낮은 권한의 공격자가 TCP 포트 8000을 통해 권한상승이 가능하고 관리 작업^{(administrative tasks)}를 실행할 수 있다. 나머지 취약점은 CVE-2018-4835, CVE-2018-4837 이다.

Detailed News List

Siemens
- _{[SecurityWeek]}
  Siemens Patches Flaws in Plant Management Product
- _{[SecurityAffairs]}
  Siemens fixed three flaws in plant management product Siemens TeleControl Basic system

Crypto Currencies/Crypto Mining

Summaries

모네로^(Monero) 암호화폐를 채굴하는 Smominru 봇넷이 해커에게 360만 달러를 벌어주었다는 리포트가 나왔다. Proofpoint의 연구에 따르면, Smominru라는 이름의 모네로 채굴 봇넷이 감염된 기기들에서 몰래 모네로 코인을 채굴해 봇넷을 운영하는 해커에게 수백만 달러를 벌어주었다. 봇넷 운영자는 8,900 모네로 코인을 채굴했으며, 이는 360만 달러 규모로, 주당 24모네로(8500달러)를 번 셈이다. 연구가들은 Smominru 봇넷이 확산되는 것을 2017년 5월에 확인했다. 현재는 윈도우즈 호스트를 526,000대 이상의 감염시켰으며, Smominru 봇넷은 NSA에서 개발하고 Shadow brokers 해킹그룹이 유출한 EternalBlue 익스플로잇을 사용한다. 이 봇넷의 C&C 인프라는 SharkTech라는 호스팅 및 DDoS 보호 서비스를 이용하고있다. SharkTech에서는 이에 대하여 아무런 반응도 내놓지 않았다. (1일에서 이어짐)

Detailed News List

Smominru / WannaMine
- _{[PandaSecurity]}
  WannaMine – new cryptocurrency malware exposes failings of traditional anti-virus tools
- _{[SecurityWeek]}
  WannaMine Malware Spreads via NSA-Linked Exploit
- _{[SecurityAffairs]}
  WannaMine, the sophisticated crypto miner that spreads via NSA EternalBlue exploit
- _[ThreatPost]
  Massive Smominru Cryptocurrency Botnet Rakes In Millions
- _[TripWire]
  Smominru! Half a million PCs hit by cryptomining botnet
- _[ZDNet]
  A giant botnet is forcing Windows servers to mine cryptocurrency
- _{[SecurityAffairs]}
  Mining Smominru botnet used NSA exploit to infect more than 526,000 systems
- _{[TheHackerNews]}
  Cryptocurrency Mining Malware Infected Over Half-Million PCs Using NSA Exploit
- _{[InfoSecurityMagazine]}
  Cisco: Crypto-Mining Botnets Could Make $100m Annually

Security Newsletters, 2018 Feb 1st, Monero 채굴하는 Smominru Botnet 外

Posted on 2018-02-01 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

Lizard Squad 그룹이 그룹을 만든 Zachary Buchta가 체포되며 끝난 것으로 여겨졌었으나, BitBotPein이라는 이름으로 여전히 활동중이라는 리포트가 발표되었다. ZingBox의 연구가들이 BigBotPein 그룹이 Lizard Squad의 새로운 이름이며, 이들과 Mirai 악성코드와 연관되어 있다는 강한 증거를 가지고 있다는 리포트를 발표했다. Lizard Squad는 소니 플레이스테이션 및 Xbox Live, Blizzard의 Warcraft의 네트워크 장애를 일으킨 사건에 책임이 있다. 수년간 많은이들이 Lizard Squad가 서비스했던 LizardStresser DDoS 서비스를 이용했으며, 운영진이 체포되면서 끝이났다. ZingBox의 연구가들이 수집한 정보에 따르면, Lizard Squad 해커들과 Mirai는 둘다 같은 우크라이나^(Ukrainian) 호스팅 서비스를 사용했다. 그리고, 연구가들은 BigBotPein이 Lizard Squad와 관린되어 있다는 점을 2017년 말에 있었던 또다른 Mirai 사건과 관련된 도메인을 분석하여 찾아냈다. 이 도메인이 Lizard Squad와 관련된 개인의 이름으로 등록되어 있었던 것이다.

Detailed News list

Lizard Squad
- _[HackRead]
  Lizard Squad is alive and continuing activities as BigBotPein: Report

Exploits/Vulnerabilities

Summaries

CT나 MRI와 같은 의료기기가 치명적인 위협에 노출되어 있다. MRI나 CT와 같은 핵심 의료기기들이 사이버공격에 취약하다고 보안연구가들이 경고했다. PC외에도 네트워크에 연결된 의료기기들에 대한 사이버 보안에 대해 주목한 것은 심박조절기에 치명적인 쇼크를 일으킬 수 있는 버그가 발견된 2012년으로 거슬러 올라간다. 그 후로 수년간 수천개의 의료기기들에서 취약점들이 발견되었다. 이번에 이스라엘의 Beersheba의 Ben-Gurion 대학교의 연구가들이 발표한 리포트에서는, MRI^{(Magnetic Resonance Imaging)}나 CT^{(Computed Tomography)}와 같은 의료 영상 장비들이 더욱더 사이버 공격에 취약해지고 있다고 밝혔다.
멜트다운 및 스펙터 취약점과 그 패치에 대한 기사가 계속해 이어지고 있다.

Detailed News List

Medical equipment
- _{[InformationSecurityBuzz]}
  Medical Imaging Devices Are Vulnerable To Cyber-Attacks
- _[ZDNet]
  CT, MRI machines face the greatest risk of cyberattack, researchers warn
- _{[InfoSecurityMagazine]}
  Vulnerable Medical Imaging Devices Open the Door to Death
Meltdown/Spectre
- _{[SecurityWeek]}
  Malware Exploiting Spectre, Meltdown Flaws Emerges
- _{[InfoSecInstitute]}
  Meltdown and Spectre Patches: a story of delays, lies, and failures
- _[ZDNet]
  AMD vs Spectre: Our new Zen 2 chips will be protected, says CEO
- _{[SecurityWeek]}
  New AMD Processors to Include Protections for Spectre-like Exploits

Vulnerability Patches/Software Updates

Summaries

모질라에서 파이어폭스^(FireFox) 브라우저의 원격 코드 실행 취약점을 패치했다. 모질라에서 파이어폭스 브라우저 58버젼에 대한 보안 업데이트 릴리즈를 통해, 원격 공격자가 임의의 코드를 실행할 수 있는 치명적인 취약점을 수정했다. 이 취약점은 CVE-2018-5124으로 파이어폭스 56버젼부터 58버젼까지 영향을 미친다.
시스코 시스템즈^{(Cisco Systems)}에서 월요일에 VPN의 치명적인 취약점을 수정하는 패치를 릴리즈했다. 시스코에 따르면, 이 취약점은 인증받지않은 원격의 공격자가 영향을 받는 장치에서 코드를 실행시킬 수 있다. 게다가 이 취약점 CVE-2018-0101은 CVSS 점수 10점을 받아서 더 주목을 받고있다. (31일에서 이어짐)
Oracle Micros의 PoS^{(Point-of-Sale)}에서 기업의 전체 비즈니스 데이터를 침해하고 다운로드받을 수 있는 취약점이 발견되었다. 이 취약점은 인증받지 않은 원격의 공격자가 PoS 서버의 데이터베이스를 읽고 쓸수 있는 접근권한을 획득할 수 있게한다. Oracle은 이 취약점이 이달 초의 분기^(Quarterly) 패치 스케쥴에서 패치되었다고 밝혔다. (31일에서 이어짐)

Detailed News List

Mozilla
- _{[SecurityAffairs]}
  Mozilla fixes a critical remote code execution vulnerability in Firefox
- _{[TheHackerNews]}
  Update Your Firefox Browser to Fix a Critical Remotely Exploitable Flaw
- _[ZDNet]
  Firefox 58.0.1: Mozilla releases fix for critical HTML hijack flaw
- _{[HelpNetSecurity]}
  Mozilla plugs critical and easily exploitable flaw in Firefox
- _{[SecurityWeek]}
  Mozilla Patches Critical Code Execution Flaw in Firefox
- _[CyberScoop]
  Firefox vulnerability allowing for arbitrary code execution is fixed
- _{[TheRegister]}
  Unsanitary Firefox gets fix for critical HTML-handling hijack flaw
Oracle PoS
- _{[SecurityWeek]}
  Remotely Exploitable Vulnerability Could Impact 300,000 Oracle PoS Systems
- _{[TheHackerNews]}
  Critical Oracle Micros POS Flaw Affects Over 300,000 Payment Systems
- _{[TheRegister]}
  Oracle point-of-sale system vulnerabilities get Big Red cross
- _{[SecurityAffairs]}
  Once again, Oracle MICROS PoS have been breached
Cisco VPN
- _{[InformationSecurityBuzz]}
  Cisco Warns Of A Critical Vulnerability In Its SSL VPN Solution

Data Breaches/Info Leakages

Summaries

호주의 차량 공유 서비스 GoGet의 사용자 데이터베이스에 침입하고 서비스를 불법으로 이용한 해커가 체포되었다. 1월 30일 수사관들이 가택 수색영장을 집행했고, 37세의 남성을 체포해 기소했다. 그리고 컴퓨터 및 노트북 등을 압수했다고 밝혔다.
Fortune 500 기업의 유출된 인증정보^{(Credentials)}가 웹상에 올라온 것이 발견되었다는 연구 결과가 나왔다. 인증정보 모니터링 기업인 Vericlouds에 따르면, 포춘 500대 기업의 직원들의 계정정보가 유출되어 온라인에 존재한다. 이 연구에서 포춘 500 개입들 직원들의 10%의 이메일 인증정보가 유출된 것으로 나타났다. (31일에서 이어짐)

Detailed News List

Car Sharing Service
- _[ZDNet]
  Security consultant granted bail after ‘hacking’ GoGet systems
- _[HackRead]
  Hacker compromised user data & illegally used car sharing service 33 times
- _[TripWire]
  Man Arrested for Allegedly Hacking Car-Sharing Company Database
- _[ZDNet]
  GoGet fleet booking system accessed, alleged attacker charged
- _{[TheRegister]}
  Car-share biz GoGet became data share biz after 2017 hack attack
Fortune 500
- _{[InformationSecurityBuzz]}
  Dark Web Contains Trove Of Over 2.7 Million Leaked Email Credentials Of Fortune 500 Employees

Social Engineering/Phishing/Con/Scam

Summaries

사이버 범죄자들이 동업자(?)들의 랜섬웨어에 지불된 몸값을 훔치는 일이 벌어지고 있다. 랜섬웨어 제작자들은 TOR 브라우저를 설치할 수 없거나, 설치하기 원치 않는 사람들을 위해서 onion.top, onion.to와 같은 서비스를 통해 일반 브러우저로 TOR 네트워크를 사용할 수 있는 프록시^(Proxy) 서비스로 피해자들을 유도한다. 그런데 onion.top 프록시에서 MITM^{(Man-in-the-Middle)} 공격을 통해 특정 랜섬웨어에서 사용하는 비트코인 지갑 주소를 자신들의 비트코인 주소로 바꿔치기 하는 것이 보안기업 Proofpoint에 의해 확인되었다. (31일에서 이어짐)

Detailed News List

TOR Proxy
- _{[InfoSecurityMagazine]}
  Hackers Steal Ransomware Payments from Fellow Crims
- _{[SecurityAffairs]}
  Cybercriminals Stealing From Cybercriminals Ransomware Victims Left Stranded
- _{[GrahamCluley]}
  Bitcoin hijack steals from both ransomware authors AND their victims
- _[HackRead]
  Tor Proxy Used By Cybercriminals To Initiate Bitcoin Theft

Crypto Currencies/Crypto Mining

Summaries

모네로^(Monero) 암호화폐를 채굴하는 Smominru 봇넷이 해커에게 360만 달러를 벌어주었다는 리포트가 나왔다. Proofpoint의 연구에 따르면, Smominru라는 이름의 모네로 채굴 봇넷이 감염된 기기들에서 몰래 모네로 코인을 채굴해 봇넷을 운영하는 해커에게 수백만 달러를 벌어주었다. 봇넷 운영자는 8,900 모네로 코인을 채굴했으며, 이는 360만 달러 규모로, 주당 24모네로(8500달러)를 번 셈이다. 연구가들은 Smominru 봇넷이 확산되는 것을 2017년 5월에 확인했다. 현재는 윈도우즈 호스트를 526,000대 이상의 감염시켰으며, Smominru 봇넷은 NSA에서 개발하고 Shadow brokers 해킹그룹이 유출한 EternalBlue 익스플로잇을 사용한다. 이 봇넷의 C&C 인프라는 SharkTech라는 호스팅 및 DDoS 보호 서비스를 이용하고있다. SharkTech에서는 이에 대하여 아무런 반응도 내놓지 않았다.

Detailed News List

Smominru
- _[CyberScoop]
  Monero mining botnet ‘Smominru’ earns hackers $3.6 million

Security Newsletters, 2017 Dec 22nd, 암호화폐 채굴 봇 Digmine 유포 外

Posted on 2017-12-22 - 2017-12-22 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

은행간 거래 네트워크 시스템인 SWIFT를 공격했던 해커들이 러시아 국영 은행을 공격했다. 5,500만 루블^{(약 94만 달러 가량)}을 러시아 은행 Globex로부터 훔치려 했다는 뉴스가 보도되었다. SWIFT는 국제 화폐 전송^{(global monetary transfers)}을 위해 사용되는 국가간 지불 시스템^{(international payments system)}이다. 2016년 2월에 해커들이 방글라데시의 중앙 은행에서 8,100만 달러를 훔친바 있다.
작년 미 대선기간 동안의 민주당^{(Democratic National Committee)} 침입으로 유명한 러시아의 사이버 위협 단체인 Fancy Bear가 더 위험해 졌다는 기사가 나왔다. Sedint나 APT28, Sofacy라고도 불리는 이 그룹이 최근들어, 그들이 주로 사용하는 악성코드 툴인 Xagent를 개선해 새로운 기능등을 추가했다. 이 추가된 기능들은 탐지하거 차단하는 것을 더 어렵게 만드는 기능들이다.
북한이 워너크라이^(WannaCry) 공격 사건에 대해서 다시 부인했다. 이번주 워너크라이에 대해서 백악관이 북한을 비난한데 이어 다른 국가들도 여기에 동참했다. 북한의 대변인은 사이버공격에 대한 미국의 혐의 제기가 어처구니 없는 일이라며 대응했다.
중국 해커들이 미국의 군사 전략 문서를 훔치기 위해 싱크탱크^{(think tanks)}를 감시하려 했다고 CrowdStrike가 밝혔다. 수요일에 발표된 블로그 포스트에서, CrowdStrike는 10월과 11월에 6개의 각기 다른 서방 기관들에 중국 해커들이 침입을 시도했다고 밝혔다. 특히 중국 경제 정책 연구^{(Chinese economic policy research)}와 중국 경제^{(Chinese economy)}와 관련된 외국인 개인들을 노렸다고 밝혔다.
북한 해커들이 연휴 기간에 맞춰 이제는 암호화폐에서 PoS^{(Point-of-Sale)} 시스템으로 눈길을 돌리고 있다고 Proofpoint와 RiskIQ가 밝혔다. 이번에 Proofpoint에 의해 새로이 탐지된 악성코드 프레임워크는 PowerRatankba라는 코드명이 붙었다. PowerRatankba는 다수의 최근 스피어피싱 캠페인과 관련이 있다.
비너스라커^{(VenusLocker)} 랜섬웨어 배후의 범죄자들이 이제 암호화폐 채굴로 전환했다고 FortiGuard Labs가 밝혔다. 대한민국 사용자들의 컴퓨터를 공격 대상으로 삼았던 지난번 공격에서, 이제 이 위협 그룹이 공격대상 PC에 모네로^(Monero) 암호화폐를 채굴하는 악성코드를 심고있다고 밝혔다.

Detailed News list

SWIFT Hackers
- _{[InfoSecurityMagazine]}
  SWIFT Hackers Hit Russian State Bank
Fancy Bear APT Group
- _{[DarkReading]}
  Russia’s Fancy Bear APT Group Gets More Dangerous
NK denies role in WannaCry
- _{[SecurityWeek]}
  North Korea Denies Role in WannaCry Ransomware Attack
- _[ZDNet]
  WannaCry ransomware: North Korea labels US accusation as “absurd”
Chineese tried to spy on U.S think tanks
- _[CyberScoop]
  Chinese hackers tried to spy on U.S. think tanks to steal military strategy documents, CrowdStrike says
NK begins PoS Attacks
- _{[InfoSecurityMagazine]}
  North Korea Begins PoS Attacks with New Malware
- _[CyberScoop]
  North Korean hackers turn focus to cryptocurrency, point-of-sale systems during holiday season
From Ransomware to Cryptocurrency Mining
- _[ThreatPost]
  Crooks Switch from Ransomware to Cryptocurrency Mining

Malwares

Summaries

페이스북 메신저를 통해 moniker기반의 암호화폐 채굴 봇^{(cryptocurrency-mining bot)}인 Digmine이 유포되고 있다. Digmine은 대한민국에서 최초 탐지되었으나, 베트남, 아제르바이잔, 우크라이나, 필리핀, 태국^(Thailand), 베네수엘라 등에서도 유포중임이 확인되었다. 페이스북 메신져는 여러 플랫폼에서 제공되고 있으나, Digmine은 페이스북 메신저의 데스크탑 및 웹 브라우저(크롬) 버젼에서만 영향을 미친다.
Heimdal Security에 따르면 Emotet 트로이가 사용자의 민감 금융 정보를 노리고 활동을 재개했다. 지난 며칠간 Emotet 뱅킹 트로이가 첨부된 스팸 캠페인이 목격되었다.
워드프레스^(WordPress) 플러그인 중 캡챠^(Captcha) 플러그인에 백도어가 포함된 것으로 확인되면서 워드프레스 플러그인 목록에서 제거되었다. 약 30만개의 워드프레스 사이트들이 영향을 받은 것으로 보인다. 이 플러그인은 최초 BestWebSoft에 의해 개발되었으나, 몇달 전 백도어가 추가될 당시에는 이름이 확인되지 않은 개발자로 소유권이 변경된 것으로 확인되었다. (21일에서 이어짐)

Detailed News List

Digmine
- _[TrendMicro]
  Digmine Cryptocurrency Miner Spreading via Facebook Messenger
Emotet Trojan
- _[Heimdal]
  Security Alert: Emotet Trojan Returns with New Waves of Spam Campaigns
WordPress
- _[HackRead]
  WordPress Captcha Plugin Contains Backdoor- 300,000 Websites at Risk

Exploits/Vulnerabilities

Summaries

구글이 더블클릭^{(DoubleClick)} 고객들에게 XSS 취약점에 대해서 경고했다. 자사의 광고 플랫폼을 통해 제공되는 파일 중, 제3자 제공사들의 파일 일부에 크로스 사이트 스크립팅^{(XSS, Cross-site scripting)} 취약점이 있다고 경고했다. 더블클릭은 이러한 XSS 공격에 취약한 몇몇 광고 회사들의 목록을 공개했으며, 웹사이트 소유자들 및 관리자들은 해당 파일들이 서버에 남아있는지 확인하라고 알렸다. 문제가 되는 제공사들은 더블클릭에 의해 비활성화되었다.
아이폰 페이스아이디^(FaceID)에 이어서 윈도우즈10의 얼굴인식^{(Facial recognition)} 기능이 프린트한 사진으로 우회할 수 있음이 알려졌다. 헬로^(Hello)라고 알려진 윈도우즈10의 얼굴인식 보안 기능이 해당 사용자의 사진만으로 통과될 수 있음이 알려졌다. (21일에서 이어짐)

Detailed News List

DoubleClick XSS
- _{[SecurityWeek]}
  Google Warns DoubleClick Customers of XSS Flaws
Windows10 Ficial recognition
- _{[SecurityWeek]}
  Windows Hello Face Recognition Tricked by Photo
- _{[GrahamCluley]}
  Fooling Windows 10 facial authentication with a photo

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

Keeper가 Ars Technica및 리포터 Dan Goodin을 구글 프로젝트 제로^{(Project Zero)}의 한 보안연구가가 발견한 자사의 비밀번호 관리자^{(Password manager)}의 취약점에 대해 공개한 기사에 대해 고소했다. Keeper Security는 24시간내에 패치를 릴리즈했다. 이들은 취약점이 브라우저 확장^{(browser extension)}에만 영향이 있는 것이며, 데스크톱 버젼의 Keeper 응용프로그램은 영향을 받지 않았다고 명확히 했다. 또 Keeper는 이에대한 보도 기사가 의도적(was intended)으로 작성되었으며, “잘못되고 오해하게 만드는 문구들^{(false and misleading statements)}로” 회사에 악영향을 끼쳤다며 주장했다. 재판을 요청한 Keeper는 Ars와 편집자 Dan Goodin에 대해서 기사를 삭제하는 것 뿐만 아니라, 손해보상과 법적 비용을 보상하라고 요구했다.
두명의 루마니아인이 워싱턴DC의 65%의 감시카메라^{(Surveillance Camera)} 컴퓨터들을 해킹한 혐의로 기소당했다. 12월 11일 두명의 용의자 Mihai Alexandru Isvanca와 Eveline Cismaru가 의도적으로 보호된 컴퓨터에 인증없이 접근한 등의 혐의로 고소당했다. USSS(United States Secret Service)가 포렌식으로 수집한 증거에 따르면, 이 두 루마니아인 용의자들은 콤럼비아 특별구 경찰청^{(Metropolitan Police Department of the District of Columbia, MPDC)}이 운영하는 187개의 감시카메라 중 123의 운영을 돕는 컴퓨터들을 침해한 것으로 드러났다.
영국 십대가 다수의 분산서비스거부^{(DDoS, Distributed Denial of Service)} 공격으로 체포되었으나 감방신세는 면했다. 이번주 19살 학생인 Jack Chappell이 2015년과 2016년에 미국 및 영국의 대형 브랜드 웹사이트에 대해 진행되었던 대규모 DDoS 공격의 연루에 대한 징역형은 면하게 되었다. 이전에 보도된 vDoS 서비스의 관리자중 하나였다. Chappell은 2016년 4월, 수사관이 그의 IP주소를 추적해 체포되었다. (21일에서 이어짐)
랜섬웨어를 유포하던 사이버 범죄자들 다섯명이 루마니아^(Romania)에서 체포되었다. 루마니아 국적의 용의자 다섯명이 국제 사이버범죄 소탕작전으로 지난주 체포되었다. 이들 중 세명은 CTB-Locker^{(Curve-Tor-Bitcoin Locker)} 랜섬웨어 유포 용의자들 이며, 다른 두명은 미국과 유로폴의 랜섬웨어 수사과정에서 함께 체포되었다. Bakovia 체포작전은 루마니아 경찰, 루마니아 및 네덜란드 검찰청, 네덜란드 경찰, 영국 국가범죄기관, 유로폴의 유럽사이버범죄센터의 지원을 받은 미 FBI, 합동 사이버범죄 대응 태스크포스에 의해 진행되었다. (21일에서 이어짐)

Detailed News List

Keeper
- _{[SecurityWeek]}
  Keeper Sues Ars Technica Over Reporting on Critical Flaw
DC Surveillance Camera Computers
- _{[TheRegister]}
  US capital’s surveillance cam network allegedly hijacked by Romanian ransomware suspects
- _[TripWire]
  Two Romanians Charged with Hacking 65% of DC Surveillance Camera Computers
UK Teen
- _{[KrebsOnSecurity]}
  U.K. Man Avoids Jail Time in vDOS Case
Five Ransomware Suspects in Romania
- _{[NakedSecurity]}
  5 Romanian ransomware distributors arrested after police raid
- _{[SecurityAffairs]}
  Operation Bakovia – Romanian authorities arrest 5 individuals for Spreading CTB Locker and Cerber Ransomware
- _{[TheRegister]}
  Euro ransomware probe: Five Romanians cuffed

Vulnerability Patches/Software Updates

Summaries

VMWare 제품들에 존재하던 코드실행^{(code execution)} 취약점이 패치되었다. 어제(20일자) 뉴스기사 정리에서 VMWare 제품들에 존재하는 VNC 구현 오류로 인한 코드실행 취약점이 패치되었다. VMWare가 ESXi와 vCenter Server Appliance, Workstation, Fusion 제품에 4개의 취약점을 수정하는 패치를 공개했다. (21일에서 이어짐)

Detailed News List

VMWare
- _{[SecurityAffairs]}
  VMWare addressed severe Code Execution vulnerabilities in several products

Cyber Intelligence/Open Source Intelligence

Summaries

거대 기술 기업들이 뭉쳐 라자러스^(Lazarus) 그룹에 대응하기 위한 움직임을 보이고 있다. 마이크로소프트와 페이스북은 각각 이번주에 자신들이 사이버범죄 그룹에 대응하기 위해 취한 조치들에 대해 설명을 발표했다. 페이스북은 해당 그룹의 활동을 어렵게 만들기 위해서, ZINC로도 알려진 그룹과 관계된 것으로 확인된 계정들을 삭제했다고 밝혔다. 마이크로소프트가 지난주 취한 조치들은 조금 더 악성코드에 집중한 것으로 보인다. 이 그룹이 의존하고 있는 악성코드를 방해하기 위해 감염된 고객들의 컴퓨터를 치료하고, 사이버공격에 사용되는 것으로 보이는 계정들을 비활성화 했으며, 재 감염을 막기위해 보안을 강화하는 조처들을 했다고 설명했다.

Detailed News List

Tech Giants Take Steps
- _{[InfoSecurityMagazine]}
  Tech Giants Take Steps to Disrupt Lazarus Group

Data Breaches/Info Leakages

Summaries

미국 1억 2,300만 가정의 민감 데이터가 Alteryx의 아마존 S3로 부터 유출되는 사고가 발생했다. 이번에도 잘못 설정된^{(misconfigured)} 아마존 웹서비스 S3 클라우드 스토리지 버킷이 이유였다. UpGuard의 블로그 포스트에 따르면, 노출된 데이터는 미 인구 통계국^{(US Census Bureau)}와 Alteryx의 것으로 보인다. 연구자들은 이 데이터가 Alteryx가 Experian으로부터 구매한 데이터로 보고있다. (21일에서 이어짐)

Detailed News List

Households exposed
- _{[DarkReading]}
  Census Records Leaked in Marketing Firm’s Exposure of 123 Million Households
- _{[DarkReading]}
  US Census Bureau: Data Exposed in Alteryx Leak Already Public

Crypto Currencies/Crypto Mining

Summaries

안드로이드 플레이 마켓에서 가짜 비트코인 지갑^(Wallet) 앱이 여럿 발견되었다. 구글플레이 스토어에서 Lookout의 보안연구원들에 의해 세가지 가짜 비트코인 지갑 앱이 발견되었다. 사용자의 비트코인 관련 데이터를 훔치려는 목적으로 작성된 앱이었다.
코인베이스^(CoinBase)가 비트코인캐시^{(Bitcoin Cash)} 가격 폭등 이후 내부자 거래^{(insider trading)}에 대해서 조사에 나섰다. 샌프란시스코에 위치한 디지털 통화 거래소인 코인베이스^(CoinBase)가 비트코인 캐시 거래 가능 내용을 발표하기 직전 비트코인캐시 가격이 폭등했던 사건 이후로, 해당 문제에 대한 조사를 진행한다고 발표했다.
이더델타^(EtherDelta) 암호화폐 거래소의 가짜 웹사이트 사기 사건이 벌어졌다. 리포트에 따르면, 유명 암호화폐 거래소인 이더델타^(EtherDelta)가 해킹당해서 사용자들이 토큰을 해커들에게 보낸 것으로 추정된다. 지금까지 약 308ETH(26만달러 가량)가 도난당했다. 이더델타가 관리하는 Smart contracts은 안전한 것으로 알려졌으며, 해커들은 이더델타의 DNS 서버를 장악해 사용자들에게 가짜 웹사이트를 서비스했다.
사이버 범죄 조직이 암호화폐 채굴에 사용할 새로운 봇넷 구성을 위해 데이터베이스 서비스들을 노리고있다. GuardiCore Labs의 연구자들에 의해 탐지된 이 공격은 Hex-Men 공격이라 이름 붙었다. 이 공격은 지난 3월부터 점차적으로 확대되어왔다. 이 공격엔 크게 3가지 변형이 있는데 각각 Hex, Hanako, Tayler 라 부른다. 각각은 서로 다른 SQL 서버를 노리며, 고유의 특정 목적, 규모, 목표 서버들을 가진다. 수집된 정보에 따르면, 공격자들은 중국에 기반하여 활동하며 중국 외에도 태국, 미국, 일본 및 기타 전세계 국가들을 공격 대상으로 하고있다. (20일에서 이어짐)

Detailed News List

Fake Bitcoin Wallet Apps
- _[HackRead]
  Fake Bitcoin Wallet Apps Found on Google Play Store
- _[ThreatPost]
  Google Play Boots 3 Fake Bitcoin Wallet Apps
- _{[SecurityWeek]}
  Fake Bitcoin Wallet Apps Removed from Google Play
CoinBase
- _{[NakedSecurity]}
  Coinbase investigates insider trading after Bitcoin Cash price spike
EtherDelta
- _[HackRead]
  EtherDelta cryptocurrency exchange hacked in fake website scam
Database botnet
- _{[SecurityAffairs]}
  Chinese crime group targets database servers for mining cryptocurrency
- _{[TheHackerNews]}
  Hackers Targeting Servers Running Database Services for Mining Cryptocurrency