Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] Ransomware

Security Newsletters, 2017 Dec 22nd, 암호화폐 채굴 봇 Digmine 유포 外

Posted on 2017-12-22 - 2017-12-22 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 은행간 거래 네트워크 시스템인 SWIFT를 공격했던 해커들이 러시아 국영 은행을 공격했다. 5,500만 루블(약 94만 달러 가량)을 러시아 은행 Globex로부터 훔치려 했다는 뉴스가 보도되었다. SWIFT는 국제 화폐 전송(global monetary transfers)을 위해 사용되는 국가간 지불 시스템(international payments system)이다. 2016년 2월에 해커들이 방글라데시의 중앙 은행에서 8,100만 달러를 훔친바 있다.
  • 작년 미 대선기간 동안의 민주당(Democratic National Committee) 침입으로 유명한 러시아의 사이버 위협 단체인 Fancy Bear가 더 위험해 졌다는 기사가 나왔다. Sedint나 APT28, Sofacy라고도 불리는 이 그룹이 최근들어, 그들이 주로 사용하는 악성코드 툴인 Xagent를 개선해 새로운 기능등을 추가했다. 이 추가된 기능들은 탐지하거 차단하는 것을 더 어렵게 만드는 기능들이다.
  • 북한이 워너크라이(WannaCry) 공격 사건에 대해서 다시 부인했다. 이번주 워너크라이에 대해서 백악관이 북한을 비난한데 이어 다른 국가들도 여기에 동참했다. 북한의 대변인은 사이버공격에 대한 미국의 혐의 제기가 어처구니 없는 일이라며 대응했다.
  • 중국 해커들이 미국의 군사 전략 문서를 훔치기 위해 싱크탱크(think tanks)를 감시하려 했다고 CrowdStrike가 밝혔다. 수요일에 발표된 블로그 포스트에서, CrowdStrike는 10월과 11월에 6개의 각기 다른 서방 기관들에 중국 해커들이 침입을 시도했다고 밝혔다. 특히 중국 경제 정책 연구(Chinese economic policy research)와 중국 경제(Chinese economy)와 관련된 외국인 개인들을 노렸다고 밝혔다.
  • 북한 해커들이 연휴 기간에 맞춰 이제는 암호화폐에서 PoS(Point-of-Sale) 시스템으로 눈길을 돌리고 있다고 Proofpoint와 RiskIQ가 밝혔다. 이번에 Proofpoint에 의해 새로이 탐지된 악성코드 프레임워크는 PowerRatankba라는 코드명이 붙었다. PowerRatankba는 다수의 최근 스피어피싱 캠페인과 관련이 있다.
  • 비너스라커(VenusLocker) 랜섬웨어 배후의 범죄자들이 이제 암호화폐 채굴로 전환했다고 FortiGuard Labs가 밝혔다. 대한민국 사용자들의 컴퓨터를 공격 대상으로 삼았던 지난번 공격에서, 이제 이 위협 그룹이 공격대상 PC에 모네로(Monero) 암호화폐를 채굴하는 악성코드를 심고있다고 밝혔다.

Detailed News list

  • SWIFT Hackers
    • [InfoSecurityMagazine]
      SWIFT Hackers Hit Russian State Bank
  • Fancy Bear APT Group
    • [DarkReading]
      Russia’s Fancy Bear APT Group Gets More Dangerous
  • NK denies role in WannaCry
    • [SecurityWeek]
      North Korea Denies Role in WannaCry Ransomware Attack
    • [ZDNet]
      WannaCry ransomware: North Korea labels US accusation as “absurd”
  • Chineese tried to spy on U.S think tanks
    • [CyberScoop]
      Chinese hackers tried to spy on U.S. think tanks to steal military strategy documents, CrowdStrike says
  • NK begins PoS Attacks
    • [InfoSecurityMagazine]
      North Korea Begins PoS Attacks with New Malware
    • [CyberScoop]
      North Korean hackers turn focus to cryptocurrency, point-of-sale systems during holiday season
  • From Ransomware to Cryptocurrency Mining
    • [ThreatPost]
      Crooks Switch from Ransomware to Cryptocurrency Mining

 

Malwares

Summaries

  • 페이스북 메신저를 통해 moniker기반의 암호화폐 채굴 봇(cryptocurrency-mining bot)인 Digmine이 유포되고 있다. Digmine은 대한민국에서 최초 탐지되었으나, 베트남, 아제르바이잔, 우크라이나, 필리핀, 태국(Thailand), 베네수엘라 등에서도 유포중임이 확인되었다. 페이스북 메신져는 여러 플랫폼에서 제공되고 있으나, Digmine은 페이스북 메신저의 데스크탑 및 웹 브라우저(크롬) 버젼에서만 영향을 미친다.
  • Heimdal Security에 따르면 Emotet 트로이가 사용자의 민감 금융 정보를 노리고 활동을 재개했다. 지난 며칠간 Emotet 뱅킹 트로이가 첨부된 스팸 캠페인이 목격되었다.
  • 워드프레스(WordPress) 플러그인 중 캡챠(Captcha) 플러그인에 백도어가 포함된 것으로 확인되면서 워드프레스 플러그인 목록에서 제거되었다. 약 30만개의 워드프레스 사이트들이 영향을 받은 것으로 보인다. 이 플러그인은 최초 BestWebSoft에 의해 개발되었으나, 몇달 전 백도어가 추가될 당시에는 이름이 확인되지 않은 개발자로 소유권이 변경된 것으로 확인되었다. (21일에서 이어짐)

Detailed News List

  • Digmine
    • [TrendMicro]
      Digmine Cryptocurrency Miner Spreading via Facebook Messenger
  • Emotet Trojan
    • [Heimdal]
      Security Alert: Emotet Trojan Returns with New Waves of Spam Campaigns
  • WordPress
    • [HackRead]
      WordPress Captcha Plugin Contains Backdoor- 300,000 Websites at Risk

 

Exploits/Vulnerabilities

Summaries

  • 구글이 더블클릭(DoubleClick) 고객들에게 XSS 취약점에 대해서 경고했다. 자사의 광고 플랫폼을 통해 제공되는 파일 중, 제3자 제공사들의 파일 일부에 크로스 사이트 스크립팅(XSS, Cross-site scripting) 취약점이 있다고 경고했다. 더블클릭은 이러한 XSS 공격에 취약한 몇몇 광고 회사들의 목록을 공개했으며, 웹사이트 소유자들 및 관리자들은 해당 파일들이 서버에 남아있는지 확인하라고 알렸다. 문제가 되는 제공사들은 더블클릭에 의해 비활성화되었다.
  • 아이폰 페이스아이디(FaceID)에 이어서 윈도우즈10의 얼굴인식(Facial recognition) 기능이 프린트한 사진으로 우회할 수 있음이 알려졌다. 헬로(Hello)라고 알려진 윈도우즈10의 얼굴인식 보안 기능이 해당 사용자의 사진만으로 통과될 수 있음이 알려졌다. (21일에서 이어짐)

Detailed News List

  • DoubleClick XSS
    • [SecurityWeek]
      Google Warns DoubleClick Customers of XSS Flaws
  • Windows10 Ficial recognition
    • [SecurityWeek]
      Windows Hello Face Recognition Tricked by Photo
    • [GrahamCluley]
      Fooling Windows 10 facial authentication with a photo

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • Keeper가 Ars Technica및 리포터 Dan Goodin을 구글 프로젝트 제로(Project Zero)의 한 보안연구가가 발견한 자사의 비밀번호 관리자(Password manager)의 취약점에 대해 공개한 기사에 대해 고소했다. Keeper Security는 24시간내에 패치를 릴리즈했다. 이들은 취약점이 브라우저 확장(browser extension)에만 영향이 있는 것이며, 데스크톱 버젼의 Keeper 응용프로그램은 영향을 받지 않았다고 명확히 했다. 또 Keeper는 이에대한 보도 기사가 의도적(was intended)으로 작성되었으며, “잘못되고 오해하게 만드는 문구들(false and misleading statements)로” 회사에 악영향을 끼쳤다며 주장했다. 재판을 요청한 Keeper는 Ars와 편집자 Dan Goodin에 대해서 기사를 삭제하는 것 뿐만 아니라, 손해보상과 법적 비용을 보상하라고 요구했다.
  • 두명의 루마니아인이 워싱턴DC의 65%의 감시카메라(Surveillance Camera) 컴퓨터들을 해킹한 혐의로 기소당했다. 12월 11일 두명의 용의자 Mihai Alexandru Isvanca와 Eveline Cismaru가 의도적으로 보호된 컴퓨터에 인증없이 접근한 등의 혐의로 고소당했다. USSS(United States Secret Service)가 포렌식으로 수집한 증거에 따르면, 이 두 루마니아인 용의자들은 콤럼비아 특별구 경찰청(Metropolitan Police Department of the District of Columbia, MPDC)이 운영하는 187개의 감시카메라 중 123의 운영을 돕는 컴퓨터들을 침해한 것으로 드러났다.
  • 영국 십대가 다수의 분산서비스거부(DDoS, Distributed Denial of Service) 공격으로 체포되었으나 감방신세는 면했다. 이번주 19살 학생인 Jack Chappell이 2015년과 2016년에 미국 및 영국의 대형 브랜드 웹사이트에 대해 진행되었던 대규모 DDoS 공격의 연루에 대한 징역형은 면하게 되었다. 이전에 보도된 vDoS 서비스의 관리자중 하나였다. Chappell은 2016년 4월, 수사관이 그의 IP주소를 추적해 체포되었다. (21일에서 이어짐)
  • 랜섬웨어를 유포하던 사이버 범죄자들 다섯명이 루마니아(Romania)에서 체포되었다. 루마니아 국적의 용의자 다섯명이 국제 사이버범죄 소탕작전으로 지난주 체포되었다. 이들 중 세명은 CTB-Locker(Curve-Tor-Bitcoin Locker) 랜섬웨어 유포 용의자들 이며, 다른 두명은 미국과 유로폴의 랜섬웨어 수사과정에서 함께 체포되었다. Bakovia 체포작전은 루마니아 경찰, 루마니아 및 네덜란드 검찰청, 네덜란드 경찰, 영국 국가범죄기관, 유로폴의 유럽사이버범죄센터의 지원을 받은 미 FBI, 합동 사이버범죄 대응 태스크포스에 의해 진행되었다. (21일에서 이어짐)

Detailed News List

  • Keeper
    • [SecurityWeek]
      Keeper Sues Ars Technica Over Reporting on Critical Flaw
  • DC Surveillance Camera Computers
    • [TheRegister]
      US capital’s surveillance cam network allegedly hijacked by Romanian ransomware suspects
    • [TripWire]
      Two Romanians Charged with Hacking 65% of DC Surveillance Camera Computers
  • UK Teen
    • [KrebsOnSecurity]
      U.K. Man Avoids Jail Time in vDOS Case
  • Five Ransomware Suspects in Romania
    • [NakedSecurity]
      5 Romanian ransomware distributors arrested after police raid
    • [SecurityAffairs]
      Operation Bakovia – Romanian authorities arrest 5 individuals for Spreading CTB Locker and Cerber Ransomware
    • [TheRegister]
      Euro ransomware probe: Five Romanians cuffed

 

Vulnerability Patches/Software Updates

Summaries

  • VMWare 제품들에 존재하던 코드실행(code execution) 취약점이 패치되었다. 어제(20일자) 뉴스기사 정리에서 VMWare 제품들에 존재하는 VNC 구현 오류로 인한 코드실행 취약점이 패치되었다. VMWare가 ESXi와 vCenter Server Appliance, Workstation, Fusion 제품에 4개의 취약점을 수정하는 패치를 공개했다. (21일에서 이어짐)

Detailed News List

  • VMWare
    • [SecurityAffairs]
      VMWare addressed severe Code Execution vulnerabilities in several products

 

Cyber Intelligence/Open Source Intelligence

Summaries

  • 거대 기술 기업들이 뭉쳐 라자러스(Lazarus) 그룹에 대응하기 위한 움직임을 보이고 있다. 마이크로소프트와 페이스북은 각각 이번주에 자신들이 사이버범죄 그룹에 대응하기 위해 취한 조치들에 대해 설명을 발표했다. 페이스북은 해당 그룹의 활동을 어렵게 만들기 위해서, ZINC로도 알려진 그룹과 관계된 것으로 확인된 계정들을 삭제했다고 밝혔다. 마이크로소프트가 지난주 취한 조치들은 조금 더 악성코드에 집중한 것으로 보인다. 이 그룹이 의존하고 있는 악성코드를 방해하기 위해 감염된 고객들의 컴퓨터를 치료하고, 사이버공격에 사용되는 것으로 보이는 계정들을 비활성화 했으며, 재 감염을 막기위해 보안을 강화하는 조처들을 했다고 설명했다.

Detailed News List

  • Tech Giants Take Steps
    • [InfoSecurityMagazine]
      Tech Giants Take Steps to Disrupt Lazarus Group

 

Data Breaches/Info Leakages

Summaries

  • 미국 1억 2,300만 가정의 민감 데이터가 Alteryx의 아마존 S3로 부터 유출되는 사고가 발생했다. 이번에도 잘못 설정된(misconfigured) 아마존 웹서비스 S3 클라우드 스토리지 버킷이 이유였다. UpGuard의 블로그 포스트에 따르면, 노출된 데이터는 미 인구 통계국(US Census Bureau)와 Alteryx의 것으로 보인다. 연구자들은 이 데이터가 Alteryx가 Experian으로부터 구매한 데이터로 보고있다. (21일에서 이어짐)

Detailed News List

  • Households exposed
    • [DarkReading]
      Census Records Leaked in Marketing Firm’s Exposure of 123 Million Households
    • [DarkReading]
      US Census Bureau: Data Exposed in Alteryx Leak Already Public

 

Crypto Currencies/Crypto Mining

Summaries

  • 안드로이드 플레이 마켓에서 가짜 비트코인 지갑(Wallet) 앱이 여럿 발견되었다. 구글플레이 스토어에서 Lookout의 보안연구원들에 의해 세가지 가짜 비트코인 지갑 앱이 발견되었다. 사용자의 비트코인 관련 데이터를 훔치려는 목적으로 작성된 앱이었다.
  • 코인베이스(CoinBase)가 비트코인캐시(Bitcoin Cash) 가격 폭등 이후 내부자 거래(insider trading)에 대해서 조사에 나섰다. 샌프란시스코에 위치한 디지털 통화 거래소인 코인베이스(CoinBase)가 비트코인 캐시 거래 가능 내용을 발표하기 직전 비트코인캐시 가격이 폭등했던 사건 이후로, 해당 문제에 대한 조사를 진행한다고 발표했다.
  • 이더델타(EtherDelta) 암호화폐 거래소의 가짜 웹사이트 사기 사건이 벌어졌다. 리포트에 따르면, 유명 암호화폐 거래소인 이더델타(EtherDelta)가 해킹당해서 사용자들이 토큰을 해커들에게 보낸 것으로 추정된다. 지금까지 약 308ETH(26만달러 가량)가 도난당했다. 이더델타가 관리하는 Smart contracts은 안전한 것으로 알려졌으며, 해커들은 이더델타의 DNS 서버를 장악해 사용자들에게 가짜 웹사이트를 서비스했다.
  • 사이버 범죄 조직이 암호화폐 채굴에 사용할 새로운 봇넷 구성을 위해 데이터베이스 서비스들을 노리고있다. GuardiCore Labs의 연구자들에 의해 탐지된 이 공격은 Hex-Men 공격이라 이름 붙었다. 이 공격은 지난 3월부터 점차적으로 확대되어왔다. 이 공격엔 크게 3가지 변형이 있는데 각각 Hex, Hanako, Tayler 라 부른다. 각각은 서로 다른 SQL 서버를 노리며, 고유의 특정 목적, 규모, 목표 서버들을 가진다. 수집된 정보에 따르면, 공격자들은 중국에 기반하여 활동하며 중국 외에도 태국, 미국, 일본 및 기타 전세계 국가들을 공격 대상으로 하고있다. (20일에서 이어짐)

Detailed News List

  • Fake Bitcoin Wallet Apps
    • [HackRead]
      Fake Bitcoin Wallet Apps Found on Google Play Store
    • [ThreatPost]
      Google Play Boots 3 Fake Bitcoin Wallet Apps
    • [SecurityWeek]
      Fake Bitcoin Wallet Apps Removed from Google Play
  • CoinBase
    • [NakedSecurity]
      Coinbase investigates insider trading after Bitcoin Cash price spike
  • EtherDelta
    • [HackRead]
      EtherDelta cryptocurrency exchange hacked in fake website scam
  • Database botnet
    • [SecurityAffairs]
      Chinese crime group targets database servers for mining cryptocurrency
    • [TheHackerNews]
      Hackers Targeting Servers Running Database Services for Mining Cryptocurrency

 

Posted in Security, Security NewsTagged Backdoor, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, Cyber Espionage, Data Breach, DDoS, Digmine, Distributed Denial of Service, Emotet, Fancy Bear, Information Leakage, Infrastructure, Lazarus, Malware, Patches, POS, Ransomware, SWIFT, Vulnerability, XSSLeave a comment

Security Newsletters, 2017 Dec 19th, vBulletin 치명적 취약점 발견 外

Posted on 2017-12-19 - 2017-12-19 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 구글, 애플, 페이스북, 마이크로소프트 및 기타 대기업의 트래픽이 러시아로 흘러들어가고 있었다. 지난주 구글, 페이스북, 애플과 같은 거대 기술 기업들의 트래픽이 알려지지 않은 러시아 인터넷 서비스 제공사(Russian internet provider)로 향한 수상한 사건이 있었다. 이 사건은 수요일에 일어났으며, 이 사건을 조사한 연구자들은 이 트래픽이 의도적으로 납치(hijacking) 되었다고 믿고있다. 이 사건은 인터넷 백본과 ISP, 기타 거대 네트워크 사이에서 트래픽 경로를 결정하는데 사용하는 BGP(Border Gateway Protocol)과 연관되었다. 유사한 사건이 마스터카드, 비자와 같은 스무개 이상의 기타 금융 서비스들에 대한 막대한 양의 트래픽이 러시아 정부의 관리하게 있는 통신 사업자(telecom operator)로 흘러들어가는 일이 있었다.
  • 드래곤 플라이 작전(Operation Dragonfly)이 이전의 공격들과 연관되는 지점들이 발견되었다. 지난 9월 6일 시만텍은 Dragonfly 캠페인에 대한 정보를 공개한 바 있다. 2017년에 걸쳐 에너지 기업 십여곳을 대상으로한 공격이었다. 이 공격은 2014년에 시작된 공격의 개선 버젼인 Dragonfly2.0 이었다. 이 공격은 선세계 에너지 기업들을 대상으로 스피어 피싱 이메일을 활용하며, 성공시 트로이 소프트웨어를 다운로드 하게 해 피해 시스템 및 네트워크에 공격자가 접근할 수 있게 한다. 최초 리포트는 Dragonfly 공격이 에너지 부문을 공격대상으로 했지만, 맥아피 랩과 Advanced Threat Research팀이 밝혀낸 바에 따르면 제약(phamaceutical) 및 금융(financial), 회계(accounting) 산업도 공격 대상으로 하고 있다. 그리고 피해 대상에 대한 공격을 실행하기 전에 정찰을 수행한다. 그리고 피해 대상의 네트워크에 대한 발판(foothold)을 마련하기 위해, 스피어피싱, 워터링 홀(watering holes), 이전 캠페인을 통한 서플라이체인(supply-chain) 공격과 같은 다양한 기법들이 사용되는 것을 확인했다.
  • 맥아피(McAfee)가 랜섬웨어 공격자들에 대한 연구조사 결과를 발표했다. 맥아피는 포럼등을 직접 뒤지는 시간소모적인 방법보다 랜섬노트(ransom note)를 분석하는 방법을 사용했다. 2017년 동안 다양한 랜섬 노트들이 이메일 주소를 지불방식에 대한 문의나 파일 복구 문의용으로 포함하고 있었다. 세달간의 랜섬웨어 샘플들을 관찰하여 이러한 주소를 추출했고. 새로운 랜섬웨어 종류들이 추가될때마다 주소를 추출했다. 새로 확인된 메일에는 대학교 박사과정에 있는 학생으로 위장하여 공격자들에게 몇가지 질문에 답해줄 수 있는가를 물었고, 약 30%의 이메일이 가짜이거나 존재하지 않는 이메일이었다. 이 경우는 피해자들이 몸값을 지불하고 증거를 보내려 해도, 돈만 사라지고 아무런 쓸모가 없어지는 경우다. 대부분의 메일이 무시된 반면에, 주차가 지나가면서 많은 수의 대화에 성공했다. 그 대화 내용과 수집된 결과에 대해 블로그 포스트로 공개했다.
  • 질럿 캠페인(Zealot Campaign)이 NSA의 익스플로잇을 사용해 모네로(Monero) 채굴기를 윈도우즈 및 리눅스 서버에 유포하고 있다. F5 Networks의 보안연구가들이 정교한 악성코드 캠페인을 탐지해냈다. Zealot 캠페인으로 명명된 이 공격은 공격대상 서버에 드랍되는 zealot.zip 파일이름을 따라 지어졌다. 이 공격은 리눅스와 윈도우즈 서버를 공격 대상으로 하며, 모네로(Monero) 암호화폐 채굴기를 설치한다. 이 공격자들은 인터넷에 패치되지 않은 서버들을 스캔하며, 이 서버들을 두가지 익스플로잇을 사용해 해킹한다. 하나는 아파치 스트러츠(CVE-2017-5638) 취약점이며, 하나는 NotNetNuke ASP.NET CMS(CVE-2017-9822)취약점이다. (18일에서 이어짐)
  • 북한이 배후에 있는 것으로 추정되는 라자러스(Lazarus) 그룹이 런던의 암호화폐 기업을 공격했다. 악명높은 APT 그룹중 하나인 라자러스(Lazarus) 그룹이 복귀하며 런던의 암호화폐 기업의 직원 인증정보(credentials)를 훔치기 위한 스피어피싱(spearphishing) 캠페인을 진행하고 있다. 라자러스 그룹의 활동은 2014년과 2015년에 급등했는데, 이 그룹의 일원이 맞춤형 악성코드를 공격에 사용했으며, 이들에 대해 조사했던 보안전문가들은 이를 아주 정교한 악성코드로 평가하고 있다. 이들은 최소 2009년 부터 활동해 왔으며, 이르면 2007년까지도 생각할 수 있다. 그리고 사이버 스파이 행위와 데이터 및 시스템 장애를 목적으로 한 파괴행위까지 모두 연관되어 있다. 보안연구가들은 복한의 라자러스 APT 그룹이 최근 방글라데시 사이버 절도사건을 포함한 은행공격의 배후임을 밝혀냈다. 이들에 따르면, 이 라자러스 그룹이 전세계를 대상으로 하는 기타 다른 대규모의 사이버 스파이 작전들의 배후이기도 하다. 여기에는 Troy Operation, DarkSeoul Operation, Sony Pictures 해킹도 포함된다. (16일에서 이어짐)

Detailed News list

  • BGP hijacking
    • [SecurityAffairs]
      BGP hijacking – Traffic for Google, Apple, Facebook, Microsoft and other tech giants routed through Russia
  • Operation Dragonfly
    • [McAfee]
      Operation Dragonfly Analysis Suggests Links to Earlier Attacks
  • Ransomware Actors
    • [McAfee]
      Looking Into the World of Ransomware Actors Reveals Some Surprises
    • [McAfee]
      McAfee Labs Reports All-Time Highs for Malware in Latest Count
  • Zealot campaign
    • [SecurityWeek]
      “Zealot” Apache Struts Attacks Abuses NSA Exploits
  • Lazarus
    • [CyberScoop]
      North Korean hackers are impersonating a cryptocurrency company to target Bitcoin fans
    • [BankInfoSecurity]
      Lazarus Hackers Phish For Bitcoins, Researchers Warn

 

Malwares

Summaries

  • Loapi 악성코드가 안드로이드 스마트폰을 공격하고 있다. 이 Loapi 트로이를 광고를 클릭하거나 가짜 AV나 성인 콘텐츠 앱을 다운로드하며 설치하게 된다. 설치 후, Loapi는 관리자 권한을 끊임없이 요구한다. 사용자가 관리자 권한을 박탈하려 하면, 이 트로이는 화면을 잠가버리고 설정 윈도우를 닫아버린다. 그리고 사용자가 장치 보호를 위한 안티바이러스 앱과 같은 응용프로그램을 다운로드하려 하면 Loapi는 이 프로그램을 악성이라 분류하고 삭제할 것을 요구한다. 이러한 알림 팝업이 끊임없이 반복된다.
  • 메두사(Medusa)가 HTTP DDoS 툴로 다시 돌아왔다. 메두사HTTP는 2017년 초반 등장한 닷넷(.Net)으로 작성된 HTTP 기반의 분산서비스거부(DDoS, Distributed Denial of Service) 공격 봇넷이다. MedusaHTTP는 IRC를 명령/제어 통신 방식으로 사용하는 MedusaIRC를 기반으로 한다. MedusaIRC 봇넷은 다양한 언더그라운드 해커 마켓에서 2015년부터 광고를 해왔으며, MedusaHTTP는 2017년에 등장했다.
  • 새로운 GnatSpy 모바일 악성코드 종이 발견되었다. 올해 초 중동의 여러 부문을 노린 공격이 탐지된 바 있다. 이 공격자는 Scorpion이나 APT-C-23으로 불린다. 이후 VAMP라 불리는 새로운 모바일 컴포넌트가 발견되었으며, FrozenCell이라 명명된 변종이 10월에 발견되었다. VAMP는 피해 스마트폰에서 다양한 종류의 데이터를 노린다. 최근 트렌드마이크로 연구자들에 의해 GnatSpy 모바일 악성코드 종이 발견되었다. 이 악성코드는 VAMP의 새로운 변종으로 추정되며, APT-C-23 배후의 공격자들이 아직도 활동중이며 악성코드를 계속적으로 개선해 나가고 있는 것으로 보인다. 일부 VAMP의 C&C 도메인이 최근 GnatSpy 변종에서 재사용되었다.
  • 악성 크롬 확장기능이 쿠키 및 은행 고객 인증정보를 훔치고 있다. 브라질 사용자들을 노리는 델파이(Delphi)로 작성된 악성코드가 유포되고 있다. 이 트로이의 주 행위는 다음과 같다. 크롬 확장 파일을 txt 형태로 다운로드 받아 설치한다. 모든 구글 크롬 바로가기를 찾아 악성 확장프로그램을 읽어들이도록 수정한다. 구글크롬의 개발자모드 확장 경고를 비활성화한다. Banco do Brasil 고객들을 공격 대상으로 삼아 쿠키와 인증정보를 훔친다.

Detailed News List

  • Loapi malware
    • [KasperskyLab]
      Loapi — this Trojan is hot!
    • [CSOOnline]
      Loapi malware capable of destroying Android phones
  • MedusaHTTP DDoS
    • [ArborNetworks]
      MedusaHTTP DDoS Slithers Back into the Spotlight
  • GnatSpy Mobile Malware
    • [TrendMicro]
      New GnatSpy Mobile Malware Family Discovered
  • Malicious Chrome Extension
    • [Zscaler]
      Malicious Chrome Extension Steals Cookies and Credentials of Bank Customers

 

Exploits/Vulnerabilities

Summaries

  • 온라인 포럼을 만들 수 있는 도구인 vBulletin에서 치명적인 취약점 두개가 발견되었다. 이탈리아의 보안기업 TRUELIT의 연구자 및 개인 연구가들에 의해, 인터넷에서 광범위하게 사용되고있는 vBulletin에서 두가지 보안 취약점이 발견되었다. 취약점 중 하나는 file inclusion 취약점으로, 공격자가 원격으로 악의적인 코드를 vBulletin의 서버에서 실행시킬 수 있다. vBulletin 5버젼이 이 취약점에 영향을 받는다. 이 취약점은 2017년 11월 말에 발견되어 vBulletin 측에 전달되었으나, 아직 명확한 반응은 없었다. 두번째 취약점은 CVE-2017-17672로, deserialization 문제로 알려졌다. 사용자 입력값에 대한 unserialize 함수의 안전하지 않은 적용으로 인해, 공격자는 vBulletin의 특정 파일을 삭제할 수 있고 특정 상황에서는 악의적인 코드를 실행할 수 있다.
  • 윈도우즈(Windows) 10에 내장된 Keeper 비밀번호 관리자가 저장된 비밀번호를 노출시키는 취약점이 있는것으로 나타났다. 키퍼(Keeper)는 Windows 10에 함께 포함되어있는 비밀번호 관리자다. 그런데 구글 프로젝트 제로(Google Project Zero)의 연구자인 Travis Ormandy가 새로운 버젼의 Keeper에서 치명적인 버그를 찾아냈다. 이 버그는 MSDN(Microsoft Developer Network)에서 바로 다운로드한 깨끗한 Windows 10에서 발견되었다. 이 버그는 콘텐츠 스크립트를 통해 신뢰할 수 없는 웹페이지에 trusted UI를 주입하는데, 결과적으로 이 웹페이지들은 클릭재킹(Clickjacking)이나 유사 기법들을 통해 사용자 인증정보(credential)를 훔칠 수 있다. (17일에서 이어짐)
  • 팔로 알토 네트웍스(Palo Alto Networks)의 보안 플랫폼에서 치명적인 보안 취약점이 발견되었다. 이 취약점은 관리 인터페이스(management interface)의 여러 취약점들의 조합으로, 원격으로 인증되지 않은 공격자가 방화벽에서 임의의 코드를 실행할 수 있다. PAN-OS 6.1.18, 7.0.18, 7.1.13, 8.0.5와 이전 버젼들이 영향을 받으며, 이 취약점의 번호는 CVE-2017-15944다. 또 다른 취약점은 CVE-2017-15940으로, 인증받은 공격자가 임의의 명령을 주입(inject)할 수 있다. (14일에서 이어짐)

Detailed News List

  • vBulletin flaws
    • [HackRead]
      Two critical and unpatched flaws identified in vBulletin
    • [SecurityAffairs]
      Researchers discovered two serious code execution flaws in vBulletin not yet unpatched
    • [TheHackerNews]
      Two Critical 0-Day Remote Exploits for vBulletin Forum Disclosed Publicly
    • [SecurityWeek]
      vBulletin to Patch Disclosed Code Execution, File Deletion Flaws
  • Windows Password Manager
    • [SecurityWeek]
      Google Researcher Finds Critical Flaw in Keeper Password Manager
    • [TheRegister]
      Windows 10 bundles a briefly vulnerable password manager
  • PAN-OS Networks Security Platform
    • [SecurityAffairs]
      Expert found critical issues in Palo Alto PAN-OS Networks Security Platform

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 결국 카스퍼스키랩(KasperskyLab)이 연방 기관들에서 자사 소프트웨어 사용이 금지당한 것에 대하여 미 국토안전부(DHS, Department of Homeland Security)를 고소했다. 카스퍼스키랩은 이 고소장에서 연방 기관들의 이러한 금지 조치가 상당수 루머와 정체를 알 수 없는 출처에 기반한 미디어 리포트에 기반하고 있다고 주장했다.
  • 미 공군의 버그바운티 프로그램(Bug Bounty Program)에서 취약점 발견에 대한 보상으로 총 2만 6,883달러를 해커들에게 지불했다. 이중 하나의 상금은 10,650달러로 정부의 버그바운티로 지불된 금액 중 역대 가장 큰 금액도 나왔다. Bret Buerhaus와 Mathias Karlsson이 이 상금을 차지했으며, 공군 웹사이트에서 취약점을 찾은 대가다. 7개국의 25명의 해커들과 7명의 미 공군들이 55개의 취약점을 9시간의 해킹을 통해 찾아냈다.
  • 우버(Uber)에 대한 범죄사실 조사가 이루어지고 있다고 미 법무부가 밝혔다. 우버와 웨이모(Waymo)의 자가 주행 기술(self-driving technology) 도난 사건에 대해 공방이 치열한 가운데, 22일자 비공개 서한에서 우버의 전 직원(former employee)은 우버가 의도적으로 비 귀속 전자장치(non-attributable)를 사용해, 무인 차량 기술(driverless vehicle technology)과 같이 부당하게 획득한 지적 재산(intellectual property)들의 사용을 숨기려 했다고 주장했다.
  • Dridex 악성코드를 사용해 수백만 달러를 훔친 범인을 도운 혐으로 한 남성이 감옥에 가게되었다. 2017년 12월 12일 화요일, 바클레이즈(Barclays)은행에서 일하던 29세의  Jinal Pethad가 두명의 몰도바인(Moldovan) 사이버 범죄자들의 3백만 달러(£2.5 million) 이상의 자금을 그가 일했던 Barclays Ealing 런던 지점에서 돈세탁하는 것을 도운 죄로 6년 4개월 형에 처해졌다. 두명의 사이버 범죄자는 Ion Turcan과 Pavel Gincota로 밝혀졌으며, Dridex 뱅킹 악성코드를 사용한 것과 Pethad에게 도움을 댓가로 보수를 지불한 점으로 각각 5년 8개월과 7년형에 처해졌다. (14일에서 이어짐)

Detailed News List

  • Kaspersky Lab Files DHS
    • [CBSNews]
      Moscow-based cybersecurity firm appeals DHS decision to ban its software
    • [TheRegister]
      SCOLD WAR: Kaspersky drags Uncle Sam into court to battle AV ban
    • [SecurityWeek]
      Kaspersky Sues U.S. Government Over Product Ban
    • [DarkReading]
      Kaspersky Lab Files Lawsuit Over DHS Ban of its Products
    • [CyberScoop]
      Kaspersky Lab takes U.S. government to court over federal software ban
  • U.S. Air Force Bug Bounty Program
    • [InfoSecurityMagazine]
      Hack the Air Force 2.0 Bug Bounty Kicks Off with $10K Payout
    • [DarkReading]
      US Government Pays $10,650 Bug Bounty in ‘Hack the Air Force’ Event
    • [SecurityWeek]
      Pentagon Hacked in New U.S. Air Force Bug Bounty Program
  • Uber
    • [NakedSecurity]
      DOJ confirms Uber is under criminal investigation
  • Barclays
    • [SecurityWeek]
      Barclays Bank Employee Jailed for Role in Malware Scheme

 

Vulnerability Patches/Software Updates

Summaries

  • 구글이 크롬 68.0.3239.108버젼을 안정화 채널(stable channel)을 통해 배포했다. 이 버젼에서는 두개의 보안 취약점이 수정되었다. 하나는 CVE-2017-15429로 구글 크롬 및 크로미움에서 사용되는 오픈소스 자바스크립트 엔진인 V8의 Universal Cross-site Scripting(UXSS) 취약점이다. 또 다른 하나는 내부 팀에 의해 발견되었는데, 아직 취약점에 대한 정보를 공개하지 않았다.

Detailed News List

  • Chrome 63
    • [InfosecIsland]
      Google Patches High Risk Flaw in Chrome 63

 

Privacy

Summaries

  • 중국이 신장(Xinjiang) 지구의 성인 영주권자의 DNA 데이터베이스를 구축하려 하고 있다. 이번년도 초 TechDirt에 의해 신장지구에서 모든 차량에 추적장치(tracking device)가 부착되어야 한다는 감시 기술에 대한 기사가 있었던 것에 이어서, 이제는 국제인권감시기구 Human Rights Watch가 그 지역 2,400만명 주민들에 대한 더 강력한 감시조치가 이루어지고 있다는 리포트를 내놓았다. 당국이 정치적인 위협으로 간주하는 “집중 대상(focus personnel)“이라 부르는 개인들은, 나이와 상관없이 가족 구성원 모두의 생체 지표(biometrics)를 측정한다.
  • 훔친 인증정보를 거래하기 위한 마켓에 대한 크렙스의 기사가 공개되었다. 훔친 인증정보의 가격과 기업 인증정보 절도범들이 이러한 계정을 어떻게 팔아 수익을 얻는가에 대한 설명을 포함되어있다.

Detailed News List

  • DNA Database in China
    • [TechDirt]
      China Is Building The Ultimate Surveillance Tool: A DNA Database Of Every Adult Resident In Troubled Xinjiang Region
  • The market for stolen credentials
    • [KrebsOnSecurity]
      The Market for Stolen Account Credentials

 

Data Breaches/Info Leakages

Summaries

  • 캘리포니아 투표자 1,900만명의 기록이 몽고(Mongo)DB 공격에 의해 몸값 지급을 요구당하고 있다. 이 기록은 보안설정이 되어있지 않은 MongoDB 데이터베이스에서 유출되었다. 이 사건을 발견한 Kromtech의 보안연구가에 따르면, 1,920만명이 넘는 캘리포니아 거주자 투표 등록 데이터가 보안이 되어있지 않은 MongoDB 데이터베이스에 존재하다가 삭제당하는 사건이 벌어졌고 공격자는 이 데이터를 가지고 몸값을 요구하고 있다.(16일에서 이어짐)

Detailed News List

  • California Voters
    • [SecurityWeek]
      California Voter Data Stolen from Insecure MongoDB Database

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 러시아에 의한 수중 인터넷 인프라 공격에 대한 우려가 높아지고 있다. 많은 언론 매체에서 보도된 바와 같이, 영국 공군 대장(Air Chief Marshal) 스튜어트 피치 경(Sir Stuart Peach)이 영국 왕립 서비스 연구소(Royal United Services Institute)에서의 연설을 통해 러시아가 수중 통신 케이블을 손상시켜 전세계 금융 경제에 심각한 타격을 입힐 수 있다고 경고했다.
  • 러시아의 송유관 제어 컴퓨터가 해킹되어 모네로(Monero) 암호화폐 채굴 작업에 동원되었다. 12월 15일 금요일에 러시아 당국이 밝힌 바에 따르면, 세계에서 제일 큰 국영 파이프라인 기업인 Transneft가 사이버 공격을 당했으며 컴퓨터들이 해킹되어 모네로를 채굴했다. Reuters에 따르면, 회사 대변인 Igor Demin은 Transneft의 컴퓨터들이 자동으로 모네로 채굴 코드를 웹에서 다운로드 했다. 제한된 정보만이 제공되어 이렇게 침해당한 장치들에서 얼마나 많은 코인이 생성되었는지는 알려지지 않았다. (17일에서 이어짐)
  • 새로운 트라이톤(Triton) 악성코드가 주요 사회기반시설(critical infrastructure)에 대한 공격을 준비하고 있는 것이 탐지되었다. 산업 제어 시스템(ICS, Industrial Control Systems)을 노리는 새로운 Triton 악성코드가 파이어아이(FireEye) 연구자들에 의해 발견되었다. 트라이톤(Triton)이라 명명된 이 악성코드는 이름이 알려지지 않은 주요 사회기반시설 기관(critical infrastructure organization)을 노린 공격에 사용되어왔다. 보안전문가들은 금전적인 동기가 부족한 점과 공격의 정교한 수준으로 보았을때, 국가가 배후에 있는(state-sponsored) 공격자가 사보타주를 목적으로 한 것으로 보고있다. 파이어아이는 아직까지 Triton 공격을 어떠한 APT 그룹과도 연관짓지 않았다. 보안 전문가들은, 그들이 탐지한 행위들이 작전의 정찰단계 일부(part of the reconnaissance phase)였을 것이라 추정하고 있다. Triton 악성코드는 Schneider Electric의 Triconex Safety Instrumented System(SIS) 컨트롤러를 공격 대상으로 만들어졌다. 이 제품들은 산업 환경에서 프로세스 상태를 모니터하고 잠재적으로 위험한 상황에서 안전하게 복구하거나 차단하기 위한 제품이다. (15일에서 이어짐)

Detailed News List

  • Underwater Internet Critical Infrastructure
    • [SecurityAffairs]
      Information Warfare At Bay – The Dangers of Russian Menace to Underwater Internet Critical Infrastructure
  • Monero miner in Oil Pipeline
    • [TripWire]
      Monero Mining Software Found on Oil Transport Company’s Systems
  • Triton Malware
    • [CyberScoop]
      Triton malware shines light on threat facing energy production companies
    • [InfosecInstitute]
      Triton Malware Hits Critical Infrastructure in Saudi Arabia

 

Internet of Things

Summaries

  • 사용자의 무관심으로 인해 수백종의 Lexmark 프린터들이 온라인에 공격받기 쉬운 상태로 무방비로 노출되고 있다. NewSky의 보안연구자들이 수백종의 Lexmark 프린터들이 잘못 설정되어 있는 것을 발견했다. 프린터들이 공공 인터넷에 공개되어있어 쉽게 접근 가능하고, 누구나 대상 장비를 제어할 수 있는 것이다. 연구자들은 1,123개의 Lexmark 프린터들이 기업이나 대학교, 미 정부 사무실에 위치한 것을 확인했다. 이런 취약한 프린터들을 사용해서 백도어를 추가하거나 프린트 작업을 캡쳐하고, 동작이 불가능한 상태로 만들거나, 쓰레기 내용을 출력해 작업을 방해하는 등의 다양한 악의적 행위들이 가능하다.

Detailed News List

  • Lexmark Printers
    • [ThreatPost]
      User ‘Gross Negligence’ Leaves Hundreds of Lexmark Printers Open to Attack

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 가짜 기술지원 사기(tech support scam)가 계속적으로 벌어지고 있으며, 크리스마스까지 계속될 것으로 보인다. 이런 사기는 꽤 오래 지속되어온 방식이다. 최근의 방법은 감염된 웹사이트로부터 시작된다. 종종 악성코드 감염등의 이유로 범죄자들에게 전화하라고 부추기는 팝업 경고 메시지를 띄우는 형태다.
  • 호주의 백만장자 중 한명이 비즈니스 메일 침해(BEC, Business Email Compromise) 사기에 당했다고 알려졌다. 호주의 백만장자 중 하나가, 그의 비서가 전형적인 비즈니스 메일 침해사기를 당해 1백만 달러의 손해를 본 것으로 알려졌다. Twynam Agricultural Group의 설립자인 John Kahlbetzer의 순 자산은 9억 5천만 달러다. 사기꾼들은 그의 비서 Christine Campbell에게 지인의 이메일과 유사한 한글자만 빠진 주소로 이메일을 보냈다. David Aldridge라는 영국 남성의 계좌로 총합 1백만 달러의 이체를 요구했다.

Detailed News List

  • Fake support scam
    • [NakedSecurity]
      Watch out – fake support scams are alive and well this Christmas
  • BEC Scam in Austrailia
    • [InfosecurityMagazine]
      Aussie Multi-Millionaire Hit by BEC Scam

 

Service Outage

Summaries

  • 비트피넥스(Bitfinex) 암호화폐 거래소가 또 다시 분산서비스거부(DDoS, Distributed Denial of Service) 공격을 당했다. 2017년 12월 12일에 세계 최대 암호화폐 거래소중 하나인 Bitfinex가 DDoS 공격을 당하고 있다고 발표한 바 있다. 그리고 12월 17일 또다시 막대한 DDoS 공격에 시달리고 있다고 다시 트윗으로 언급했다.

Detailed News List

  • Bitfinex
    • [HackRead]
      Bitfinex cryptocurrency exchange hit by “heavy DDoS” attack again

 

Crypto Currencies/Crypto Mining

Summaries

  • 영국의 기업들이 랜섬웨어 몸값으로 비트코인을 지불하기 위해 비트코인을 ‘비축’하고 있다. 랜섬웨어 공격이 매 40초마다 한번씩 일어난다. 2017년 1분기에는 10건의 악성코드 페이로드 중 6건에 랜섬웨어가 포함되어 있었으며, 사용자의 PC를 사용불가능 하게 잠그고 드라이브 및 파일을 암호화 하며 비트코인과 같은 암호화폐를 요구한다. 영국의 국방부(Ministry of Defence) 전 사이버 책임자(former cyber chief) 폴 테일러(Paul Taylor)는 기업들이 몸값 지불을 위해 비트코인을 비축(stockpiling)하고 있는게 확실하다고 언급했다.

Detailed News List

  • Stockphile
    • [ZDNet]
      UK firms ‘stockpile’ Bitcoin to pay off ransomware hackers

 

Posted in Security, Security NewsTagged BEC Scammers, BGP, Border Gateway Protocol, Bug Bounty Program, Crypto Currency, Cryptocurrency Exchanges, CVE-2017-15429, CVE-2017-17672, Cyber Espionage, Data Breach, DDoS, Distributed Denial of Service, GnatSpy, Industrial Control System, Information Leakage, Infrastructure, Lazarus, Loapi, Malware, MedusaHTTP, MedusaIRC, Operation Dragonfly, Outage, Patches, Privacy, Ransomware, Scam, Tech Support Scam, Traffic Hijacking, Triton Malware, Vulnerability, Zealot CampaignLeave a comment

Security Newsletters, 2017 Dec 7th, TeamViewer 취약점 外

Posted on 2017-12-07 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats

Summaries

  • 펩시(PepsiCo)가 러시아의 농업 감시단체가 주장한 다국적 음료 및 식품 거대기업이 그들의 컴퓨터 네트워크를 해킹해 내부 문건을 훔치려 했다는 주장에 대해서 부인했다. 이 이상해 보이는 주장은 월요일에 러시아의 Rosselkhoznadzor가 미국기반의 기업이 ‘국가기관으로부터 정보를 얻기위해 불법적인 방법’을 사용했다는 공개설명을 내면서 시작되었다. 특히 이 기관은 문제가되는 회사가 ‘for official use’ 도장이 찍힌 문서를 취득했다고 말했다.
  • 첼야빈스크(Chelyabinsk) 법원 웹사이트가 데이터 암호화 악성코드로 공격을 당했다. 해커들이 유럽과 아시아 국경에 있는 러시아의 첼야빈스크 중재법원(Arbitration court)의 웹사이트를 해킹해 서버를 데이터 암호화 악성코드로 감염시키는 사건이 발생했다. 이 악성코드는 서버의 정보와 파일들을 암호화 시켰다. 이 사건은 10월 4일에 발생했고, 10월 10일에 전문가가 이전 백업데이터로 웹사이트를 복구했다. 그러나 백업이 1월에만 실시되어 있어, 법원은 웹사이트에서 올해 발행한 모든 데이터를 잃고 말았다.

Detailed News list

  • Pepsi denies claim
    • [CyberScoop]
      Pepsi denies claim that it hacked Russian government watchdog
  • Chelyabinsk
    • [EHackingNews]
      Website of Chelyabinsk court hits by data-encrypting malware

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 팀뷰어(TeamViewer) 제품에서 완전히 컴퓨터를 장악할 수 있는 취약점이 발견되었다. 최근 Gellin이라는 GitHub 사용자가 팀뷰어에서 공격자가 사용자 동의없이, 몰래 원격으로 컴퓨터를 장악할 수 있는 취약점을 발견했다. GitHub에 발표된 개념증명(PoC, Proof-of-Concept)에 따르면, Naked inline hooking과 메모리 직접 변경(direct modification)을 사용하는 주입가능한(injectable) C++ dll으로 사용자는 알지 못한채로 팀뷰어의 권한을 변경할 수 있다. 이 취약점은 팀뷰어 x86 13.0.5058 버젼에서 이루어졌고, 공격자는 데스크탑 세션중 상대방의 PC를 장악할 수 있다. 원래는 클라이언트가 수동으로 상대방이 사용하도록 허가해야 하지만, 취약점을 통해 마우스와 컨트롤 설정, 권한을 허가할 수 있는 것이다.
  • 이제는 패치된 인텔 마이크로프로세서 ME(Management Engine)의 취약점에 대한 상세 정보가 Black Hat Europe에서 공개되었다. 이 취약점을 발견한 연구가는 2015년 부터 대부분의 인텔 칩에 포함된, 자체 운영체제를 가지고 있는 인텔 Management Engine(ME) 11 시스템의 스택 버퍼오버플로우 버그에 대한 상세 정보를 공개했다. 그리고 인텔이 11월 20일 이 취약점에 대한 보안 권고와 업데이트를 내놓았지만, 보안연구가 Emolov와 Goryachy는 공격자가 인텔이 최근 ME 업데이트에서 수정한 다른 취약점을 사용해 공격하는 것을 막지 못한다고 말했다. 여기엔 ME kernel(CVE-2017-5705), Intel Server Platform Services Firmware kernel(CVE-2017-5706), Intel Trusted Execution Engine Firmware kernel(CVE-2017-5707)의 버퍼오버 플로우 취약점이 포함된다.
  • 30개 이상의 유명 이메일 클라이언트에 영향을 미치는 Email 스푸핑 취약점이 발견되었다. 다른 사람이 보낸 메일인 것처럼 위장할 수 있는 취약점이 발견되었다. MailSploit이라는 이름이 붙은 이 취약점은 Apple Mail(macOS, iOS, watchOS), Mozilla Thunderbird, Microsoft email clients, Yahoo Mail, ProtonMail 및 기타 메일클라이언트들에 영향을 미친다. 이 클라이언트들에 DKIM이나 DMARC와 같은 스푸핑 방지 메커니즘이 구현되어 있지만, MailSploit은 이메일 클라이언트와 웹 인터페이스가 From 헤더를 파싱하는 것을 이용한다. (6일에서 이어짐)

Detailed News List

  • TeamVierer
    • [MalwarebytesLabs]
      Use TeamViewer? Fix this dangerous permissions bug with an update
    • [HackRead]
      TeamViewer Vulnerability Lets Attackers Take Full Control of PCs
    • [ZDNet]
      TeamViewer issues emergency fix for desktop access vulnerability
    • [TheHackerNews]
      New TeamViewer Hack Could Allow Clients to Hijack Viewers’ Computer
    • [SecurityAffairs]
      TeamViewer fixes a flaw that allows users sharing a desktop session to gain control of the other’s PC
    • [ThreatPost]
      TeamViewer Rushes Fix for Permissions Bug
  • Intel’s Management Engine
    • [DarkReading]
      How the Major Intel ME Firmware Flaw Lets Attackers Get ‘God Mode’ on a Machine
    • [TheRegister]
      Intel Management Engine pwned by buffer overflow
    • [BlackHatEurope]
      How to hack a turned off computer or running unsigned code in intel management engine
  • MailSploit
    • [SecurityAffairs]
      MailSploit vulnerabilities allow email spoofing with more than 30 email clients
    • [SecurityWeek]
      Mailsploit: Popular Email Apps Allow Spoofing, Code Injection
    • [TheRegister]
      Mailsploit: It’s 2017, and you can spoof the ‘from’ in email to fool filters
    • [InfoSecurityMagazine]
      Mailsploit Allows Spoofed Mails to Fool DMARC

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 지난 달 미 검찰에 의해 HBO에 대한 해킹으로 기소된 Behzad Mesri가 이란 스파이 그룹과 관련이 있다는 기사가 나왔다. 보안기업 ClearSKy가 새로운 리포트를 공개했다. 이 리포트에서는 Charming Kitten또는 Newscaster, NewsBeef라는 이름으로 알려진 스파이 그룹의 활동을 자세히 다뤘다. 이 그룹은 2014년 부터 활동해 왔으며, 이란, 미국, 이스라엘, 영국 및 기타 여러국가의 여러 단체들을 공격 대상으로 삼았다. 그리고 이들의 공격 대상에는 종종 학술 연구, 인권 및 언론과 관련된 개인들도 포함되었다.
  • 유출된 인증정보에 대한 유료 서비스를 제공했던 LeakBase가 주말을 지나며 서비스를 종료했다. 이 서비스는 작년 9월 서비스를 시작했고, 주요 해킹사건에서 유출된 20억건의 계정정보를 제공한다고 주장했다. 이 서비스는 2017년 1월에 LeakdSource가 중단되면서 주목을 받았었다. LeakBase는 트위터를 통해 유료서비스에 대한 환불을 진행할 것이라 밝혔다. 서비스를 중단하는 이유는 아직 확실히 밝혀진 것이 없지만, 브라이언 크렙스(Brian Krebs)는 LeakBase 소유자중 한명이 다크웹 마켓 Hansa와 관련이 있을 것으로 보고있다. (5일에서 이어짐)
  • 친구를 조기석방 시키려던 미시건 주의 남성이 체포되어 감옥신세를 지게 됐다. Konrads Voits라는 27세의 남성은 Washtenaw Country 정부 컴퓨터 시스템에 친구를 조기석방 시키려는 목적으로 악성코드를 설치한 혐의에 대해 유죄를 인정했다. 시도는 성공하지 못했고 그는 경찰에 의해 체포되었다. 법원 문서에 따르면, Voits는 1월에 Washtenaw와 유사한 피싱 도메인 ewashtenavv.org w대신 v두개를 사용해 만들었다. 그리고 피싱 이메일과 소셜 엔지니어링으로 악성코드를 설치하게 했다. 계속적인 공격으로 죄수를 감시하는 Xjail 컴퓨터 시스템을 포함해 직원 1,600여명의 로그인 정보를 획득했으나, 이러한 시도들이 탐지되어 결국 체포되었다. (5일에서 이어짐)
  • 여러 영국 하원(MP, Member of Parliament)의원들이 자신들의 해이한 보안의식을 드러내면서 정부의 사이버보안 규정에 대한 의문이 일고있다. Mid Bedfordshire의 하원의원인 Nadine Dorries는 지난 주말 여러 트윗을 통해 그녀의 직원이 자신의 비밀번호를 사용해 자신의 의회 사무실 컴퓨터에 로그인 한 것을 드러냈다. 그리고 “교환 프로그램의 인턴까지” 포함해 그녀의 직원들이 그녀 인증정보를 사용해 Nadine의 이름으로 이메일을 보내기도 한다고 덧붙였다. (5일에서 이어짐)
  • 역사상 가장 오래되고 널리 퍼진 봇넷 중 하나였던 안드로메다(Andromeda) 봇넷이 지난주 FBI가 이끈 국제적인 법 집행 작전에 의해 운영이 종료되었다. 유로폴에 따르면, 안드로메다 봇넷의 악성코드 기반구조는 해체되었고, 신원이 확인되지 않은 한명의 용의자가 벨라루스에서 체포되었다. 2011년에 처음 등장한 안드로메다는 마이크로소프트에 따르면, 지난 6개월간 매달 평균 100만개의 장치들에서 발견되었다. 이 악성코드는 2016년 최고 스팸 캠페인들중 하나의 배후이며, 침해당한 웹사이트나 광고 네트워크에서 자주 발견되는 악성코드 최대 80 종(families)과 관련이 있는 봇넷이다. (5일에서 이어짐)

Detailed News List

  • HBO Hacking linked to Iranina Spy Group
    • [SecurityWeek]
      HBO Hacker Linked to Iranian Spy Group
  • LeakBase goes dark
    • [InformationSecurityBuzz]
      Leakbase.pw Hacked Password Service Goes Dark
    • [NakedSecurity]
      Questions linger as data breach trading site LeakBase disappears
  • Facing Jail for Hacking Jail
    • [NakedSecurity]
      Hacker who tried to free inmate early may soon join him in jail
  • MPs’ lax cybersecurity practices
    • [InformationSecurityBuzz]
      MPs Sharing Log-In Credentials
  • Andromeda(Gamarue) Botnet Take Down
    • [EHackingNews]
      Andromeda botnet taken down, Belarusian involved arrested
    • [HackRead]
      Authorities dismantle Andromeda Botnet that infected millions of devices

 

Vulnerability Patches/Software Updates

Summaries

  • 안드로이드 응용프로그램 개발자 도구에서 취약점이 발견되었다. 안드로이드 스튜디오, 이클립스, IntelliJ-IDEA에 취약점이 존재한다고 체크포인트 보안연구가들이 밝혔다. 안드로이드 어플리케이션 패키지 툴(APKTool), 쿠쿠드로이드(Cuckoo-Droid) 서비스, 기타 안드로이드 어플리케이션 리버스 엔지니어링(reverse-engineering) 도구들 역시 취약점이 존재한다. APKTools의 XML External Entity(XXE) 취약점은 전체 OS 파일 시스템을 사용자에게 노출시킬 수 있다. 공격자는 악의적인 AndroidManifest.xml 파일을 사용해 XXE 취약점을 공격할 수 있다. (6일에서 이어짐)

Detailed News List

  • Android Application Developer Tools
    • [SecurityWeek]
      Android Development Tools Riddled with Nasty Vulnerabilities
    • [TheHackerNews]
      Critical Flaw in Major Android Tools Targets Developers and Reverse Engineers
    • [TheRegister]
      Google and pals rush to repair Android dev tools, block backdoor risks
    • [TheRegister]
      Beware the IDEs of Android: three biggies have vulnerabilities

 

Privacy

Summaries

  • 이디오피아(Ethiopia) 정부가 반체제인사 및 기자들을 감시하기 위해 이스라엘 스파이웨어를 사용한 것으로 드러났다. 이스라엘 정부가 이스라엘 회사 Cyberbit이 개발한 스파이웨어로 전세계의 반체제 인사들을 노린 것으로 토론토의 Citizen Lab의 연구결과에서 드러났다. 미국, 영국 그리고 약 20개 국가의 반체제 인사가 어도비 플래시 업데이트 및 PDF 플러그인으로 위장한 스파이웨어를 포함한 피싱 이메일의 공격 대상이 되었다. 공격 대상에는 이디오피아의 언론, 변호사, 박사과정 학생도 포함되었다. Citizen Lab의 연구가 Bill Marczak도 조사과정에서 공격 대상이 되었다.
  • 미국, 영국, 유럽의 자동차 렌트 회사들이 고객 개인정보 보호를 위한 충분한 노력을 기울이지 않는다는 리포트가 나왔다. 유럽 및 영국, 미국의 렌트 회사를 조사한 결과에 따르면, 일련의 자동차들을 임대하고 이 차량의 인포테인먼트 시스템에 의해 수집된 데이터를 조사한 결과, 과거 사용자들의 개인정보와 동행자들에 대한 정보가 모든 차량에서 발견되었다. 여기에는 사용자들의 과거 위치들 및 스마트폰 식별자, 그들이 입력한 위치, 학교등이 포함된다.

Detailed News List

  • Ethiopian Government used spyware
    • [CyberScoop]
      Ethiopia using Israeli spyware to spy on dissidents, journalists
  • Rental Cars Leaks Personal Data
    • [InfoSecurityMagazine]
      Connected Rental Cars Leak Personal Driver Data
    • [ZDNet]
      Connected cars: What happens to your data after you leave your rental car behind?

 

Data Breaches/Info Leakages

Summaries

  • 홍콩의 여행사가 데이터 사고에 시달리고 있다. 하나의 해커 그룹이 WWPKG Holding Company 여행사의 시스템에 접근권한을 얻었으며, 엄청난 양의 고객 데이터를 훔쳐냈다. 이 해커들은 클라이언트 데이터베이스의 원격 접속 권한을 얻었으며, 수천명의 고객 정보를 침해했다고 밝혔다. 유출된 정보는 고객의 이름, 홍콩ID 번호, 여권번호, 고객의 이메일, 전화번호, 신용카드까지 포함된 것으로 알려졌다. 훔친 데이터에 대한 몸값은 비트코인으로 지불할 것이 요구되었다.
  • 유명 키보드 앱이 3100만명의 사용자 개인정보를 수집하고 이 정보를 유출시키는 사고가 있었다. 문제는 앱 제조사의 데이터베이스가 비밀번호로 보호되고 있지 않았기 때문이었다. 서버는 전세계 4000만명 이상의 사용자가 사용하는 개인화 가능한 온스크린(on-screen) 키보드 앱인 AI.type의 공동설립자 Eitan Fitusi의 소유다. 서버가 비밀번호로 보호되어있지 않아서 누구나 사용자 레코드에 접근이 가능했고, 데이터베이스에는 577기가바이트 이상의 민감 정보가 존재했다. 해당 내용을 발견한 Kromtech Security Center에서 연락을 취한 후 보안설정이 되었으나, Fitusi는 이에대한 답변을 하지 않았다. 노출된 데이터는 사용자 이름, 이메일 주소, 앱 설치기간 이었고, 사용자의 도시와 국가와 같은 위치정보도 포함되어 있었다. 무료버젼을 사용하는 사용자 정보는 더 자세한 정보도 존재했다. 장치의 IMSI와 IMEI 번호, 장치의 제조번호 및 모델정보, 화면 해상도, 안드로이드 정보와 같은 중요 정보들도 존재했다. (6일에서 이어짐)

Detailed News List

  • Hong Kong Travel Agency
    • [DarkWebNews]
      Hong Kong Travel Agency Suffers Major Data Hack
  • Keyboard App
    • [InfoSecurityMagazine]
      Israeli Start-Up Leaks Data on 31m Users
    • [SecurityAffairs]
      31 Million of client records belonging to the virtual keyboard app AI.type leaked online
    • [HackRead]
      Keyboard app caught collecting users data after 31M records leaked online
    • [TheRegister]
      Data-slurping keyboard app makes Mongo mistake with user data

 

Industrial/Infrastructure/Physical System/HVAC/SCADA

Summaries

  • 독일에 기반을 둔 WAGO의 PLC(Programmable Login Controller)에서 취약점이 발견되었다. SEC Consult의 보안연구가에 의해 발견된 이 취약점은, 리눅스 기반의 WAGO PFC200 PLC 시리즈에 영향을 미친다. 보안 취약점은 CODESYS 런타임 툴킷 2.4.7.0 버젼 때문인데, 이 임베디드 소프트웨어는 3S(Smart Software Solutions)에 의해 개발되었고 기타 산업 컨트롤러와 수백개의 PLC들을 제조하는 여러 제조사에서 사용한다. (6일에서 이어짐)

Detailed News List

  • WAGO PLCs
    • [SecurityAffairs]
      17 models of WAGO PFC200 PLC Vulnerable to Unauthenticated Remote Access Exploit

 

Internet of Things

Summaries

  • 사토리(Satori)봇넷이라 이름 붙은, 라우터(Router)의 제로데이에 기반한 봇넷 공격이 임박했다고 하는 기사가 나왔다. 새로운 Mirai 변종이 공격준비가 끝났다는 것이다. 14개월 전 소스코드가 공개된 이후, 봇넷 운영자들은 새로운 버젼을 계속적으로 릴리즈해 왔다. 가장 최근의 변종에서는 근래에 발견된 가정 및 소규모 사무실용으로 많이 사용되는 라우터를 취약점을 공격하는 기능이 들어가있다. 이 취약점은 강력한 암호를 설정해 놓고너 원격 관리기능(remote administration)을 꺼 놓아도 공격가능하다. 영향을 받는 화웨이(Huawei) 장치 중 하나는 EchoLife Home Gateway이고 다른 하나는 Huawei Home Gateway다. 약 90,000에서 100,000대의 새로 감염된 장치들이 두 화웨이 라우터 모델 중 하나다. 새로운 악성코드는 다른 장치들을 대상으로 공격하기 위한 65,000개의 사용자 이름 및 비밀번호 사전을 갖추고있다. (6일에서 이어짐)

Detailed News List

  • Satori Botnet
    • [GrahamCluley]
      Satori botnet rears its head, exploiting IoT vulnerabilities

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • 영국의 사법당국이 엑스터시(Ecstasy, MDMA) 알약에 의한 연쇄 사망사고에 긴급하게 경고를 발표했다. 다크웹의 판매자를 통해 엑스터시 알약을 구매한 사용자들은 자동차 이름을 사용하는 브랜드를 멀리하라는 경고를 받았다. 최근 리포트에 따르면, 다크웹의 판매자들은 대부분 영국의 십대들에게 위험한 마약을 팔아왔다. 이 강력한 MDMA 알약은 롤스로이스(Rolls Royce), 테슬라(Tesla)와 같은 차량  브랜드 이름을 본따 만들어졌다. 이 마약들은 암스테르담과 독일에서 영국으로 보내지는 것으로 보도되었으며, 다크넷을 통해 십대들이 쉽게 구매한 것으로 알려졌다. 이번년도 10월에는 십대 소년이 할로윈 레이브 파티(rave party) 이후 사망하는 사건이 있었다. 이 소년은 핑크 롤스로이스 엑스터시 알약을 먹은것으로 알려져있다. 같은 달 16세 십대역시 사망했는데, 이 피해자는 빨간 부가티 베이론(Bugatti Veyron) 또는 보라색 닌자터틀(Ninja Tutles)을 복용한 것으로 추정된다.

Detailed News List

  • Ecstasy Pills on the Dark Web
    • [DarkWebNews]
      Teens Being Sold ‘Killer’ Ecstasy Pills on the Dark Web

 

Service Outage

Summaries

  • Bitfinex 서비스가 DDoS 공격으로 잠시 중단되는 사고가 있었다. 암호화폐 교환소인 Bitfinex가 월요일 분산서비스거부(DDoS, Distributed Denial of Service)에 의해 잠시 오프라인이 되었다. DDoS 공격에 대한 첫번째 트윗 메시지 이후, 홍콩 기반의 암호화폐 거래소 플랫폼은 오프라인이 되었고. 정상적인 작동은 1시간 이후 재개되었다. 이러한 공격은 11월 26일에도 있었다. 이 공격의 배후나 의도에 대해서는 아직 불분명하다.
  • Macklenburg 카운티의 컴퓨터 시스템이 랜섬웨어에 감염되어, 복호화 키에 대한 몸값으로 2만3천 달러를 요구하고 있다. 12월 5일에 North Carolina의 Macklenburg 카운티 정부는 트위터에 컴퓨터 시스템 장래를 겪고 있다고 알렸다. Macklenburg의 웹사이트에 올라온 내용에 따르면, 이 사고로 인해 추후 통지가 있을 때 까지 전국 정보기술서비스(Country-wide Information Technology Services, ITS)시스템이 중단될 것이며, 이에따라 이메일, 프린팅 및 대부분의 카운티 사무실에서의 업무 수행을 포함한 카운티 서비스에 영향이 있을 것이라 밝혔다. 아직까지 복구 시간이 얼마나 걸릴지는 모른다고 전했다.

Detailed News List

  • Bitfinex
    • [WeLiveSecurity]
      Cryptocurrency exchange Bitfinex plagued by DDoS attacks
  • Macklenburg Country
    • [TripWire]
      Ransomware Attacker Demands $23K from Mecklenburg County

 

Crypto Currencies/Crypto Mining

Summaries

  • 가상 고양이인 크립토키티즈(CryptoKitties)에 대한 열풍으로 가장 큰 암호화폐중 하나인 이더리움(Ethereum)의 거래가 느려지고 있다는 기사가 나왔다. 크립토키티즈는 사용자가 이더리움의 블록체인(blockchain) 네트워크 기반에서 가상 암호애완동물(crypto-pets)을 구매하고 기를 수 있는 서비스다. Etherscan은 이 게임이 릴리즈되고 난 후 Ethereum에 대한 거래가 6배 증가했다고 밝혔다. ETH Gas Station에 따르면, 크립토키티 게임이 이더리움의 10% 이상의 네트워크 트래픽을 차지하고 있다. 트래픽이 늘어날 수록 거래가 빨리 진행되기 어려워진다.
  • 암호화폐 거래소를 노리는 분산서비스거부(DDoS, Distributed Denial of Service) 공격이 증가하고 있다. 비트코인 가격의 엄청난 유동성은 투기꾼들이 극단 사이에서 이득을 취할 수 있게 하는데, 규제되지 않는 암호화폐 생태계의 본질로 인해 유명한 금융관련 인사의 발언 같은 것들이 가격에 큰 영향을 미칠 수 있다. 이런 가격에 영향을 미칠 수 있는 또다른 방법은 거래소에 대한 DDoS 공격이다. Imperva의 최근 리포트에 따르면 2017년 3분기에 비트코인 거래소 및 그들의 서비스를 사용하는 관련 사이트들의 3/4이 DDoS 공격을 당했다.
  • StorageCrypt 랜섬웨어가 SambaCry 익스플로잇을 사용해 NAS 장치들을 노리고있다. 새로운 종류의 랜섬웨어가 5월에 패치된 SambaCry 취약점을 사용해 NAS(Network-Attached Storage) 장치를 노리고 있다. StorageCrypt라 명명된 이 랜섬웨어는 0.4에서 2비트코인을 암호화 파일을 풀어주는 것에 대한 몸값으로 요구한다. NAS 장치를 감염시키기 위해서 StroageCrypt는 리눅스 삼바(Samba) 취약점(CVE-2017-7494)을 이용한다.
  • Quant 트로이가 중요한 업데이트를 진행했다. 암호화폐 지갑 및 그 지갑에 들어있는 비트코인을 대상으로 하는 공격기능이 추가되었다. 화요일 Forcepoint Security Labs의 연구가들은 Quant 악성코드가 업데이트 된 것을 발견했다. 러시아의 언더그라운드 포험에서 구매할 수 있는 Quant는 MrRaiX 또는 DamRaiX라는 사용자가 광고를 하고 있으며 지정학적 타겟팅(geographical targeting)과 EXE 및 DLL을 다운로드하고 실행할 수 있는 간단한 로더(loader)였다. 그러나 이번 분석결과 블로그 포스트에서 Forcepoint 연구가들은, 다수의 우려스러운 기능이 이 악성코드에 추가되었다고 밝혔다. 새로운 파일은 암호화폐를 훔치는 bs.dll.c와 인증정보를 훔치는 zs.dll.c에서 사용하는 SQLite 라이브러리 파일 sql.dll.c다.

Detailed News List

  • CryptoKitties
    • [BBC]
      CryptoKitties Craze Slows Down Transactions On Ethereum
  • DDoS against Exchanges
    • [HelpNetSecurity]
      DDoS attackers increasingly targeting cryptocurrency exchanges
  • StorageCrypt
    • [SecurityWeek]
      StorageCrypt Ransomware Targets NAS Devices via SambaCry Exploit
  • Quant Trojan
    • [ZDNet]
      Quant Trojan upgrade targets Bitcoin, cryptocurrency wallets

 

Posted in Security, Security NewsTagged Andromeda Botnet, Crypto Currency, Cryptocurrency Exchanges, CVE-2017-5705, CVE-2017-5706, CVE-2017-5707, CVE-2017-7494, Cyber Espionage, DarkNet, Data Breach, DDoS, Distributed Denial of Service, IME, Industrial Control System, Information Leakage, Intel Management Engine, Internet of Things, IoT, MailSploit, Malware, Mirai, Outage, Privacy, Quant Trojan, Ransomware, SambaCry, Satori Botnet, StorageCrypt, Vulnerability, XML External Entity, XXELeave a comment

Security Newsletters, 2017 Dec 5th, 안드로메다 봇넷 차단 外

Posted on 2017-12-05 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Note

주말을 지나 월요일에서 화요일로 넘어가는 기간에는 주말간 묵혀두었던 뉴스들과 후속보도들이 나오면서 분량이 늘어난다. 이번주 역시 그렇다. 페이팔의 TIO Networks에 대한 후속보도가 이루어지며, 많은 뉴스가 올라왔다. 전세계적인 작전으로는 FBI와 마이크로소프트, 보안기업 등 국제적인 협력을 통해 안드로메다 봇넷을 차단한 일이 있었다. GDPR로 계속적으로 보안 규정에 대한 기사가 이어지는 영국에서는 실상 하원의원이 비밀번호를 공유하다가 발각되기도 했다. 구글은 안드로이드 앱에 대한 보안정책을 강화하는 단계를 계속 밟아나가고 있으며, RankWatch의 데이터 유출 사실이 공개되었고 유료 서비스를 제공하던 LeakBase는 문을 닫았다.

 

 

Newsletters

Malwares/Exploits/Vulnerabilities

Summaries

  • 새로운 Shadow BTCware 랜섬웨어 변종이 발견되었다. Michael Gullespie에 의해 새로운 BTCware 랜섬웨어가 발견되었다. 이 악성코드는 보안이 제대로 설정되지 않은 원격 데스크탑 서비스를 통해 사이버 범죄자들이 직접 설치하는 식으로 퍼지고 있다. 새로운 Shadow BTCware 랜섬웨어는 암호화한 파일에 .(이메일)-id-id.shadow 형식의 피해자들이 몸값을 지불하기위해 연락해야하는 이메일 주소를 확장자에 붙인다.
  • RSA에서 두개의 치명적인 인증(Authentication) 버그가 발견되었다. 취약점 번호 CVE-2017-14377은 아파치 웹 서버를 위한 RSA 인증 에이전트(authentication agent)의 입력값 검증 실수(input validation flaw)로 인해 인증을 우회(Bypass)할 수 있다. UDP를 사용하도록 설정된 인증은 문제가 없고, TCP를 사용한다면 검증에 오류를 일으킬 수 있는 조작된 패킷을 보내 접근 권한을 얻을 수 있다. 다른 취약점은 C언어용 RSA 인증 에이전트 개발킷에 존재한다. SDK 8.5와 8.7버젼이 에러핸들링 취약점이 있으며, 취약점 번호는 CVE-2017-14378이다. 이 취약점은 자바버젼의 SDK에는 존재하지 않는다.

Detailed News List

  • Shadow BTCware variant
    • [SecurityAffairs]
      Experts discovered a new variant of Shadow BTCware Ransomware Variant
  • RSA Authentication Bugs
    • [SecurityAffairs]
      RSA Authentication SDK affected by two critical vulnerabilities, patch it now!
    • [TheRegister]
      RSA coughs to critical-rated bug in its authentication SDK

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 유출된 인증정보에 대한 유료 서비스를 제공했던 LeakBase가 주말을 지나며 서비스를 종료했다. 이 서비스는 작년 9월 서비스를 시작했고, 주요 해킹사건에서 유출된 20억건의 계정정보를 제공한다고 주장했다. 이 서비스는 2017년 1월에 LeakdSource가 중단되면서 주목을 받았었다. LeakBase는 트위터를 통해 유료서비스에 대한 환불을 진행할 것이라 밝혔다. 서비스를 중단하는 이유는 아직 확실히 밝혀진 것이 없지만, 브라이언 크렙스(Brian Krebs)는 LeakBase 소유자중 한명이 다크웹 마켓 Hansa와 관련이 있을 것으로 보고있다.
  • 역사상 가장 오래되고 널리 퍼진 봇넷 중 하나였던 안드로메다(Andromeda) 봇넷이 지난주 FBI가 이끈 국제적인 법 집행 작전에 의해 운영이 종료되었다. 유로폴에 따르면, 안드로메다 봇넷의 악성코드 기반구조는 해체되었고, 신원이 확인되지 않은 한명의 용의자가 벨라루스에서 체포되었다. 2011년에 처음 등장한 안드로메다는 마이크로소프트에 따르면, 지난 6개월간 매달 평균 100만개의 장치들에서 발견되었다. 이 악성코드는 2016년 최고 스팸 캠페인들중 하나의 배후이며, 침해당한 웹사이트나 광고 네트워크에서 자주 발견되는 악성코드 최대 80 종(families)과 관련이 있는 봇넷이다.
  • 친구를 조기석방 시키려던 미시건 주의 남성이 체포되어 감옥신세를 지게 됐다. Konrads Voits라는 27세의 남성은 Washtenaw Country 정부 컴퓨터 시스템에 친구를 조기석방 시키려는 목적으로 악성코드를 설치한 혐의에 대해 유죄를 인정했다. 시도는 성공하지 못했고 그는 경찰에 의해 체포되었다. 법원 문서에 따르면, Voits는 1월에 Washtenaw와 유사한 피싱 도메인 ewashtenavv.org w대신 v두개를 사용해 만들었다. 그리고 피싱 이메일과 소셜 엔지니어링으로 악성코드를 설치하게 했다. 계속적인 공격으로 죄수를 감시하는 Xjail 컴퓨터 시스템을 포함해 직원 1,600여명의 로그인 정보를 획득했으나, 이러한 시도들이 탐지되어 결국 체포되었다.
  • 여러 영국 하원(MP, Member of Parliament)의원들이 자신들의 해이한 보안의식을 드러내면서 정부의 사이버보안 규정에 대한 의문이 일고있다. Mid Bedfordshire의 하원의원인 Nadine Dorries는 지난 주말 여러 트윗을 통해 그녀의 직원이 자신의 비밀번호를 사용해 자신의 의회 사무실 컴퓨터에 로그인 한 것을 드러냈다. 그리고 “교환 프로그램의 인턴까지” 포함해 그녀의 직원들이 그녀 인증정보를 사용해 Nadine의 이름으로 이메일을 보내기도 한다고 덧붙였다.

Detailed News List

  • LeakBase goes dark
    • [SecurityWeek]
      Leaked Credentials Service Shuts Down
    • [HackRead]
      Data Breach Index Website “Leakbase” Shut Down
    • [KrebsOnSecurity]
      Hacked Password Service Leakbase Goes Dark
  • Andromeda(Gamarue) Botnet
    • [Microsoft]
      Microsoft teams up with law enforcement and other partners to disrupt Gamarue (Andromeda)
    • [WeLiveSecurity]
      ESET helps law enforcement worldwide to disrupt Gamarue botnet
    • [WeLiveSecurity]
      ESET takes part in global operation to disrupt Gamarue
    • [SecurityAffairs]
      Global operation allowed law enforcement agencies to take down the Andromeda Botnet
    • [CyberScoop]
      International law effort takes down long-running Andromeda botnet
    • [TheHackerNews]
      Feds Shut Down ‘Longest-Running’ Andromeda Botnet
    • [SecurityWeek]
      Authorities Take Down Andromeda Botnet
    • [HelpNetSecurity]
      Andromeda botnet dismantled in international cyber operation
  • Facing Jail for Hacking Jail
    • [TheRegister]
      Prison hacker who tried to free friend now likely to join him inside
  • MPs’ lax cybersecurity practices
    • [EHackingNews]
      Nadine Dorries faces backlash over lax attitude to cybersecurity
    • [ZDNet]
      Password-sharing politicians prompt security row
    • [TheRegister]
      Brit MP Dorries: I gave my staff the, um, green light to use my login
    • [ITProPortal]
      MPs slammed for lax cybersecurity practices
    • [GrahamCluley]
      The lax computer security of British MPs – as detailed in their own tweets
    • [SiliconRepublic]
      UK politicians criticised for lax cybersecuritypractices

 

Vulnerability Patches/Software Updates

Summaries

  • RSA에서 두개의 치명적인 인증(Authentication) 버그가 발견되었다. 취약점 번호 CVE-2017-14377은 아파치 웹 서버를 위한 RSA 인증 에이전트(authentication agent)의 입력값 검증 실수(input validation flaw)로 인해 인증을 우회(Bypass)할 수 있다. UDP를 사용하도록 설정된 인증은 문제가 없고, TCP를 사용한다면 검증에 오류를 일으킬 수 있는 조작된 패킷을 보내 접근 권한을 얻을 수 있다. 다른 취약점은 C언어용 RSA 인증 에이전트 개발킷에 존재한다. SDK 8.5와 8.7버젼이 에러핸들링 취약점이 있으며, 취약점 번호는 CVE-2017-14378이다. 이 취약점은 자바버젼의 SDK에는 존재하지 않는다.

Detailed News List

  • RSA Authentication Bugs
    • [SecurityAffairs]
      RSA Authentication SDK affected by two critical vulnerabilities, patch it now!
    • [TheRegister]
      RSA coughs to critical-rated bug in its authentication SDK

 

Privacy

Summaries

  • 구글이 엿보는 기능을 가진 앱을 엄중 단속할 계획을 발표했다. 안드로이드 개발자들은 60일의 여유기간이 주어졌다. 구글이 안드로이드 개발자들에게 그들의 앱이 데이터를 어떻게 수집하는지에 대해 더 나은 경고를 제공해야 한다고 경고했다. 지난 금요일 구글은 Safe Browsing 규칙과 구글의 원치않는 소프트웨어 정책의 확대 적용(expanded enforcement of Google’s Unwanted Software Policy)의 개정안(revisions)을 발표했다. 만약 개발자들이 60일 안에 이를 따르지 않으면, 구글이 구글 플레이 프로텍트(Google Play Protect)를 통하거나, 앱이 접속하는 웹페이지를 통해 사용자에게 경고할 것이라 전했다. 구글 세이프 브라우징이 앱과 웹사이트에서 사용자 개인정보를 그들의 동의(consent)없이 수집하고 있다는 경고를 보여줄 것이라 밝혔다.

Detailed News List

  • Google crack down on apps that snoop
    • [ThreatPost]
      Google Cracks Down On Nosy Android Apps
    • [SecurityWeek]
      Google to Warn Android Users on Apps Collecting Data
    • [SecurityAffairs]
      Google Unwanted Software Policy – It’s a fight against snooping apps
    • [ZDNet]
      Google cracks down on apps that snoop on you, even if they’re not in Play Store
    • [TheRegister]
      Google to crack down on apps that snoop

 

Data Breaches/Info Leakages

Summaries

  • HaveIBeenPwned에 따르면, 2016년 11월경 검색엔진 최적화 관리 회사인 RankWatch의 몽고DB(MongoDB)가 비밀번호 없이 공개되어 있었다가 해킹당해 데이터가 유출되었고, 이어서 온라인 포럼에 공개되었다. 이 데이터에는 740만개의 이메일 주소와 이름, 전화번호, 직업이 포함되어있다.
  • (4일에서 이어짐) TIO Networks 침해사고에 대한 기사가 이어지고 있다. 페이팔(PayPal)이 소유한 회사중 하나인 TIO Networks가 보안 침해사고로 160만명의 고객이 영향을 받았다고 인정했다. TIO Networks는 최근 페이팔에 2억 3천 8백만 달러에 인수되었다. TIO는 캐나다 기업으로, 북미 전역에 걸쳐 생활요금 등을 징수하는 60,000개 이상의 키오스크(Kiosk) 네트워크를 운영한다. 11월 10일에 페이팔은 TIO 플랫폼에 영향을 미칠 수 있는 취약점을 발견하고, TIO의 데이터 보안 프로그램이 페이팔의 보안 표준을 따르지 않아 TIO의 네트워크 운영을 중단한바 있다. 12월 1일 페이팔은 해킹에 대한 더 자세한 세부정보를 공개했다.

Detailed News List

  • RankWatch
    • [HaveIBeenPwned]
      RankWatch – 7,445,067 breached accounts
  • TIO Networks
    • [DarkReading]
      PayPal’s TIO Networks Suffered Data Breach Exposing Data on 1.6 Million Customers
    • [HackRead]
      PayPal’s TIO Networks breach affects millions of customers
    • [ZDNet]
      PayPal’s TIO Networks reveals data breach impacted 1.6 million users
    • [InfoSecurityMagazine]
      PayPal Admits Acquired Company Suffered Major Breach
    • [TheRegister]
      PayPal paid $US233m for company that leaked 1.6 million records
    • [SecurityWeek]
      Breach at PayPal Subsidiary Affects 1.6 Million Customers
    • [TheHackerNews]
      PayPal Subsidiary Data Breach Hits Up to 1.6 Million Customers
    • [SecurityAffairs]
      PayPal-owned company TIO Networks data breach affects 1.6 million customers

 

Social Engineering/Phishing/Con/Scam

Summaries

  • PayPal 사용자들을 노리는 ‘거래 실패(failed transaction)‘이메일 피싱이 이루어지고 있다. 연말에 많은 사람들이 구매한 선물이 제때 도착할 수 있을지를 놓고 걱정하는 가운데, 이를 노리는 피싱 캠페인이 벌어지고 있다. 거래가 실패했다는 스팸 메일의 “Resolution Center” 버튼을 클릭하면 범죄자들이 구축해놓은 피싱사이트로 이동하게 된다. 이 사이트에서는 페이팔 계정정보 및 실제 주소, 전화번호, 어머니의 처녀적 이름, 생일, 지불카드 정보를 물어본다.

Detailed News List

  • PayPal Phishing Campaign
    • [InformationSecurityBuzz]
      New PayPal Phishing Campaign Targeting Users
    • [TripWire]
      Scammers Disseminating Unverified PayPal Transaction Phishing Emails
    • [HelpNetSecurity]
      Phishers target panicking PayPal users with fake “failed transaction” emails
    • [HackRead]
      A Tricky PayPal Phishing Scam That Comes From Official PayPal Email

 

Posted in Security, Security NewsTagged Andromeda Botnet, CVE-2017-14377, CVE-2017-14378, Data Breach, Gamarue Botnet, Information Leakage, Malware, Patches, Phishing, Privacy, Ransomware, Scam, Shadow BTCware, VulnerabilityLeave a comment

글 내비게이션

이전 글

Search

Recent Posts

  • Exploit PoC for CVE-2023-20887 VMWare Aria Operations for Networks
  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外

Categories

  • Diet (7)
  • Exploit (1)
  • Flaw (2)
  • Hacking (1)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2023년 6월 (1)
  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.