Security Newsletters, 2018 Mar 10th, Mikrotik 해킹 및 슬링샷 악성코드 外

Posted on 2018-03-10 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

카스퍼스키랩의 연구원들에 의해 복잡하고도 뛰어난 해킹 기법을 통해 최소 지난 2012년 이래로 비밀리에 해킹을 지속해온 APT 그룹이 드러났다. 이 해킹 그룹은 슬링샷^(Slingshot)이라 명명된 고도화된 악성코드를 사용해 중동 및 아프리카의 라우터 해킹을 통해 수많은 피해자들을 감염시켰다. 카스퍼스키랩이 공개한 25페이지 분량의 보고서에 따르면, 이 그룹은 라트비아의 네트워크 하드웨어 제작사인 미크로틱^(Mikrotik) 라우터의 알려지지 않은 취약점을 공격해 감염벡터의 첫번째 단계로 시용했으며, 이를 이용해 피해대상의 컴퓨터에 비밀리에 스파이웨어를 심었다.
최근 패치된 Adobe Flash의 제로데이 취약점이 터키의 금융 서비스 기관들에 대한 해킹에 악용되고 있다고 맥아피^(McAfee)가 경고했다. 맥아피는 추후 터키 금융기관에서의 절도를 목적으로 데이터를 수집하는 것으로 보이는 초기활동을 확인했다고 밝혔다. 이 캠페인에서 최근 Adobe Flash 제로데이 취약점을 사용한 것을 확인했다고 목요일 블로그포스트를 통해 밝혔다. 이 공격에서 사용된 악성코드는 뱅크샷^(Bankshot)이라 불리는 트로이다. 이 악성코드는 이전의 히든코브라^{(Hidden Cobra)}또는 라자러스^{(Lazarus Group)}, ^Reaper, ^{Group 123} 등 북한이 배후인 것으로 추정되는 해킹그룹과 관련되어있다.
평창 동계 올림픽에 대한 사이버 공격의 배후가 북한이 아니었으며, 북한으로 보이도록 의도적으로 위장한 공격이었다는 리포트가 이어졌다. 2018 동계 올림픽 인프라에 장애를 가져왔던 악성코드에 대한 면밀한 조사결과, 그 배후가 북한으로 보이도록 만들기 위한 의도가 있었는 리포트가 공개되었다. 평창동계올림픽 첫날 ^{Olympic Destroyer}라는 악성코드에 의해 매인 웹사이트가 다운되고 행사장 주변 WiFi 네트워크가 중단되며, 서버의 데이터가 지워지는 사태가 발생했었다. 그리고 이어지는 몇주간 여러 공격들이 ^{Lazarus Group}이라고도 알려진 북한 배후의 해킹그룹의 소행이라는 분석이 계속되었다. 그러나 이번에 카스퍼스키랩 엔지니어들은 ^{Lazarus Group}이 코드를 작성하지 않았다고 주장한다. (9일에서 이어짐)

Detailed News list

Slingshot APT
- _{[KasperskyLab]}
  Slingshot APT: Riding on a hardware Trojan horse
- _{[TheHackerNews]}
  APT Hackers Infect Routers to Covertly Implant Slingshot Spying Malware
- _{[DarkReading]}
  ‘Slingshot’ Cyber Espionage Campaign Hacks Network Routers
- _{[InfoSecurityMagazine]}
  Slingshot APT Actor Shoots onto the Scene
- _{[SecurityWeek]}
  Sophisticated Cyberspies Target Middle East, Africa via Routers
- _[Securelist]
  The Slingshot APT FAQ
Turkey
- _{[TheRegister]}
  Citizen Lab says Sandvine network gear aids government spyware
- _{[BankInfoSecurity]}
  Bankshot Trojan Targets Turkish Financial Sector
- _{[TheHackerNews]}
  ISPs Caught Injecting Cryptocurrency Miners and Spyware In Some Countries
- _{[SecurityWeek]}
  New North Korea-linked Cyberattacks Target Financial Institutions
- _[CyberScoop]
  ISPs inside Turkey and Egypt spread FinFisher spyware in massive espionage campaign
- _[Forbes]
  Did This American Tech Help Turkey Spy In Syria?
Olympic Destroyer
- _{[KasperskyLab]}
  Olympic Destroyer: who hacked the Olympics?
- _{[ITSecurityGuru]}
  The Olympic False Flag: How infamous Olympic Destroyer malware was designed to confuse cybersecurity community
- _{[SecurityAffairs]}
  Olympic Destroyer, alleged artifacts and false flag make attribution impossible

Exploits/Vulnerabilities

Summaries

오라클 웹로직^(WebLogic) 취약점을 공격하는 채굴 공격이후, 아파치 Solr 취약점을 공격하는 새로운 공격이 확인되었다. 2월의 마지막에 해커들이 1,400대의 아파치 Solr 서버들을 공격하여 랜섬웨어가 아닌 암호화폐 채굴기를 심는 일이 발생했다. 1월에 있었던 오라클 웹로직의 패치되지 않은 취약점을 공격해 암호화폐를 채굴했던 일과 유사한 사건이다. Morphus Labs에 따르면, Apache Solr 공격자들은 ^{CVE-2017-12629} 원격 코드 실행^{(RCE, Remote Code Execution)} 취약점을 사용하고 있다. 이 취약점은 아파치 소프트웨어 재단이 지난 10월에 패치를 공개했다.

Detailed News List

Solr
- _[ZDNet]
  After Oracle WebLogic miner attack, critical Apache Solr bug is now targeted
- _{[HelpNetSecurity]}
  Vulnerable Apache Solr, Redis, Windows servers hit with cryptominers

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

중국의 취약점 데이터베이스가 중국정부의 영향력을 감추기 위해서 취약점 공개를 늦춰왔음이 밝혀졌다. 미 보스턴에 위치한 보안기업 Recorded Future에 따르면, 중국 국영 취약점 데이터베이스가 중국과 연관된 해킹그룹들이 취약점 사용에 있어 이익을 취할 수 있도록 조작되어왔다. 중국 취약점 데이터베이스인 CNNVD가 위치한 MSS에서 취약점을 공개하기에 앞서 첩보작전에 사용할 수 있을지를 평가하고 공개했다는 것이다.

Detailed News List

China’s Vulnerability Database
- _{[DarkReading]}
  China’s Vulnerability Database Altered to Hide Govt. Influence
- _{[TheSecurityLedger]}
  China caught pushing Vulnerability Reporting Delays down the Memory Hole
- _{[InfoSecurityMagazine]}
  China Backdated Bug Disclosures to Hide State Hacking: Report
- _[CyberScoop]
  China’s national vulnerability database is merely a tool for its intelligence agencies

Social Engineering/Phishing/Con/Scam

Summaries

브라질 카드 사기꾼들에 의한 카드 복제가 확인되었다. 최근 미국에서는 신용카드 및 직불카드의 안전하지 않은 마그네틱 띠^(stripe)로부터, EMV 표쥰으로 규제되는 보다 더 안전한 칩 및 PIN카드로의 전환이 있었다. 이는 신용카드 사기를 줄이고 거래의 보안성을 향상시키는데 큰 진전이며, 카드 복제에 의존하는 카드사기를 종식시키는데 근접했다는 생각이 있었다. 그러나 카스퍼스키랩의 연구원들이 최근 밝혀낸 바에 따르면, 브라질의 사이버범죄자들이 chip-and-PIN 카드의 데이터를 훔쳐 성공적으로 복제할 수 있는 방법을 개발했다.

Detailed News List

Cloning Chip-and-PIN cards
- _{[KasperskyLab]}
  Cloning chip-and-PIN cards: Brazilian job
- _[Securelist]
  Goodfellas, the Brazilian carding scene is after you

Security Newsletters, 2018 Feb 22nd, uTorrent RCE 취약점 발견 外

Posted on 2018-02-22 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

APT37또는 Reaper, Group123, ScarCruft로 불리는 북한의 APT 그룹이 그 활동 범위를 넓히고 있다. 이 그룹은 2012년부터 활동을 해 오고 있으며, 플래쉬 제로데이를 사용한 공격으로 뉴스 기사에 언급된 바 있다. 이 그룹의 주 공격 대상은 대한민국의 정부, 국방, 군사 및 미디어 기관이다.

Detailed News list

NK APT Group
- _[ZDNet]
  North Korean Reaper APT uses zero-day vulnerabilities to spy on governments
- _{[SecurityAffairs]}
  North Korean APT Group tracked as APT37 broadens its horizons
- _{[InfoSecurityMagazine]}
  North Korean Threat Widens to Target Multinationals

Exploits/Vulnerabilities

Summaries

구글 프로젝트 제로^{(Project Zero)}의 연구자가 유명 비트토렌트 클라이언트 프로그램인 uTorrent^(μTorrent)의 원격코드실행^{(RCE, Remote Code Execution)}취약점에 대하여 경고했다. 연구자들에 따르면, 이 취약점은 해커가 사용자 컴퓨터에 악성코드를 심거나, 과거의 다운로드 이력을 조회할 수 있게 한다. 이 취약점 정보는 90일의 유예기간이 지나 공개되었다.
사용자에게 지속적으로 매크로^(Macro) 활성화를 요구하는 악성 RTF 문서가 확인되었다. 매크로가 들어있는 엑셀 시트가 RTF 문서 내에 포함되어있는 파일이 확인되었다. 이 RTF문서는 doc 확장자를 가지고 있어 마이크로소프트 워드^(Word)를 사용해 문서를 열게 된다. 이렇게 문서를 여는 경우, 사용자에게 매크로를 활성화 할 것인지 여부를 묻는 매크로 경고 팝업이 표시된다. 그런데 조작된 악성 RTF 문서는 여기서 사용자가 비활성화를 선택하더라도, 반복적으로 경고 팝업을 표시한다. 끊임없이 경고를 표시해서 사용자가 해당 매크로를 실행하게 될 확률을 높인다.

Detailed News List

uTorrent
- _[ThreatPost]
  uTorrent Users Warned of Remote Code Execution Vulnerability
- _{[SecurityWeek]}
  Google Researcher Finds Critical Flaws in uTorrent Apps
Malicious RTF
- _{[SecurityWeek]}
  Malicious RTF Persistently Asks Users to Enable Macros

Vulnerability Patches/Software Updates

Summaries

인텔이 Spectre 취약점에 대하여 더 다양한 CPU의 마이크로코드^(Microcode) 패치를 릴리즈했다. 인텔이 최신의 프로세서들에 대한 패치를 공개했다. 그 대상은 Kaby Lake, Coffee Lake, Skylake로 OEM 고객이나 파트너사에게 제공되었다.

Detailed News List

Intel Spectre
- _[ThreatPost]
  Intel Issues Updated Spectre Firmware Fixes For Newer Processors
- _{[TheRegister]}
  Intel hurls Spectre 2 microcode patch fix at world
- _{[SecurityWeek]}
  Intel Releases Spectre Patches for More CPUs
- _[ZDNet]
  Intel’s new Spectre fix: Skylake, Kaby Lake, Coffee Lake chips get stable microcode

Security Newsletters, 28, Oct, 2017

Posted on 2017-10-28 - 2017-10-28 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 포함하거나 함께 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operation/Cyber Intelligence

Summaries

빠르고 무지막지했던 Bad Rabbit 랜섬웨어가 도둑맞은 NSA 익스플로잇을 사용했다고 DarkReading이 전했다. 연구자들의 초기 분석결과는 Bad Rabbit 랜섬웨어가 Petya나 NotPetya의 수정된 코드를 사용한 반면에, 확산을 위해서는 WannaCry같은 익스플로잇을 사용하지 않았다는 것이었다. 시스코 시스템즈의 탈로스^(Talos) 그룹은 이 랜섬웨어가 확산을 위해 EternalRomance라고 부르는 익스플로잇을 사용했다고 말했다. 이 익스플로잇은 도난당해 유출된 NSA 도구 중 일부로, 이번 여름 피해대상기관 내부에 유포하기 위해 사용된 Nyetya (또는 Petwrap, Goldeneye) 랜섬웨어 공격 도구였다. 최근 밝혀진 내용에 따르면, Bad Rabbit은 웜 처럼 확산하기 위해서 SMB 로컬 네트워크를 사용한다. 분석가들은 하드코딩된 자격증명^(credential) 목록과 Mimikatz의 비밀번호 추출 방법을 확인했다. EternalRomance는 NSA의 Equation Group이라 부르는 해킹팀의 것으로 여겨지는 많은 해킹도구중 하나이며, Shadow Brokers라 부르는 해킹팀에 의해 유출되었다. EternalRomance는 원격 코드 실행 익스플로잇으로 마이크로소프트의 SMB^{(Server Message Block)} 취약점인 CVE-2017-0145를 공격한다.
어나니머스^(Anonymous)가 카탈로니아 독립에 대한 논쟁에서 스페인 정부의 웹사이트를 공격했다. 어나니머스 해커들이 스페인의 공공근로 및 교통부^{(Ministry of Public Works and Transport)}가 운영하는 웹사이트를 카탈로니아 독립운동을 지지하며 공격했다. 공격대상 사이트들이 DDoS 공격에 시달리는 동안, 일부 사이트는 “Free Catalonia” 문구로 디페이스^(deface) 되었다.
오클라호마의 공공시설위원회, 사이버 공격 감지. 오클라호마의 공공시설물위원회에 이루어진 사이버공격이 정보시스템에 영향을 입혔다고 밝혔다. 웹사이트 및 이메일 서비스, 기타 네트워크의 운영이 월요일 일찍 해킹 공격이 일어난 이후 중단되었다.

Detailed News list

Bad Rabbit
- ^{[DarkReading]} Bad Rabbit, 도둑맞은 NSA 익스플로잇 사용
  Bad Rabbit Used Pilfered NSA Exploit
- ^{[theHackerNews]} Bad Rabbit, 유출된 NSA의 EternalRomance 익스플로잇을 확산을 위해 사용
  Bad Rabbit Ransomware Uses Leaked ‘EternalRomance’ NSA Exploit to Spread
- ^[HackRead] NSA의 EternalRomance 익스플로잇, Bad Rabbit 랜섬웨어 대혼란에서 사용
  EternalRomance NSA Exploit a Key Player in Bad Rabbit Ransomware Mayhem
- ^[ThreatPost] EternalRomance 익스플로잇, Bad Rabbit 랜섬웨어에서 발견
  ETERNALROMANCE EXPLOIT FOUND IN BAD RABBIT RANSOMWARE
Anonymous & Catalonia
- ^[SCMagazine] 어나니머스, 카탈로니아 독립 논쟁에서 스페인 정부 웹사이트 공격
  Anonymous targets Spanish government sites in Catalan independence controversy
Oklahoma
- ^{[TheSacramentoBee]} 오클라호마 공공시설위원회 사이버공격 감지
  Oklahoma’s public utilities commission detects cyberattack

Deep Web/DarkNet/Onion

Summaries

범죄자들에 국제 RDP 서비스 제공하는 다크넷 마켓. 다크넷 마켓들이 장악한 RDP 서버들에 대한 접근권한을 사이버범죄 생태계에 돈을받고 파는 일이 지난 몇년간 계속 증가하고 있다. UAS^{(Ultimate Anonymous Services)}라는 마켓은 유명한 RDP 마켓으로, 2016년 2월 16일부터 온라인으로 활동을 해 왔다. UAS는 SOCKs 프록시 및 35,000개의 브루트포스^(Bruteforce)한 RDP 정보를 제공한다. 이 RDP들은 중국, 브라질, 인도, 스페인, 콜롬비아 등 전 세계에 걸쳐 존재한다.

Detailed News List

Ultimate Anonymity Services
- ^[Flashpoint] 범죄자들에게 RDP 서비스 제공하는 다크넷 마켓 UAS
  “Ultimate Anonymity Services” Shop Offers Cybercriminals International RDPs

Security Breach/Info Leakage

Summaries

가장 유명한 자바스크립트 라이브러리인 jQuery의 공식 블로그가 해킹당했다. 그러나 아직 jQuery에서 호스팅하는 jQuery 라이브러리 파일들이 공격받았다는 증거는 없다. 해킹당했다는 블로그 포스트를 올린 Leah Silber의 계정이 해킹당했거나, 아직 알려지지 않은 워드프레스의 취약점을 사용한 것으로 추정된다. jQuery 블로그에 등록되었던 해킹 포스트는 삭제되었고 아직 공식 발표는 없다.

Detailed News List

jQuery
- ^{[theHackerNews]} jQuery 공식 블로그 해킹당해
  jQuery Official Blog Hacked — Stay Calm, Library is Safe!
- ^[HackRead] jQuery 블로그 해킹 당했다
  jQuery Blog Gets Hacked – Hackers Compromise CoinHive’s DNS

Crypto Currency

Summaries

실제 이더리움^(Ethereum) 지갑 서비스인 MyEtherWallet.com에서 보낸 것 처럼 위장한 피싱메일이 다가오는 하드포크^{(hard fork)}에 대해 언급하면서 메일에 포함된 링크를 클릭하여 사용자 계정에 대한 잠금을 해제하고 계좌 잔액을 확인하라고 사용자들을 속였다. 유니코드를 사용해 실제 사이트처럼 꾸민 피싱사이트에서 사용자들이 속아 비밀번호를 입력하면 그 비밀번호를 이용해 이더리움 잔액을 공격자의 지갑으로 이체했고, 짧은 2시간 동안 공격자들은 약 15,000 달러의 이더리움^(52.56ETH)을 훔쳐냈다.
코인하이브^(Coinhive)의 사고가 오래된 비밀번호의 재사용으로 인해 일어났다고 밝혔다. 코인하이브는 최근 침해사고에서 DNS 서비스 제공사인 CloudFlare의 계정을 탈취당해 공격자에 의해 변경된 자바스크립트를 배포했다. 이 Cloudflare 계정은 이전 Kickstarter 사고에서 유출된 계정의 비밀번호를 동일하게 사용하고 있었다.

Detailed News List

Ethereum Phishing
- ^{[BleepingComputer]} 이더리움 피싱 공격, 두시간반에 범죄자들에게 1.5만의 순수익 안겨
  Ethereum Phishing Attack Nets Criminals 15K in Two Hours
CoinHive
- ^{[HelpNetSecurity]} 코인하이브, 오래되고 재사용한 비밀번호 때문에 해킹당했다
  Coinhive breached due to old, reused password

Malware/Exploit/Vulnerability

Summaries

지난달 스팸 메일로 악성코드를 유포하기 시작한 온라인 작전의 배후에있는 해커들이 일본을 우선순위로 삼고 공격하고 있다. 몇년간 Ursnif^(Gozi)는 일본 및 북미, 유럽, 호주를 대상으로 해왔다. 그러나 최근 IBM X-Force 분석가에 따르면, 일본에서의 작전이 새로운 대상과 회피기술로 한 단계 더 발전했다. 최근 탐지된 Ursnif 악성코드 변종들의 샘플을 분석한 결과 더이상 은행 및 은행 자격증명^(Credential)정보만을 노리는 것이 아니라 일본의 웹메일, 클라우드 저장소, 암호화폐 거래 플랫폼, e커머스 사이트의 사용자 인증정보^(Credential)를 노리고 있다.
클라우드 기반 통신 플랫폼인 슬랙이 SAML 사용자 인증에 있던 심각한 취약점을 패치했다.

Detailed News List

URSNIF
- ^[ThreatPost] Ursnif 뱅킹 트로이가 일본에서 확산중
  URSNIF BANKING TROJAN SPREADING IN JAPAN
SLACK
- ^[ThreatPost] SLACK, SAML 사용자 인증에 심각한 취약점 패치
  SLACK PLUGS ‘SEVERE’ SAML USER AUTHENTICATION HOLE

Legislation/Politics/Policy/Regulation/Law Enforcement

Summaries

Detailed News List

Internet of Things

Summaries

Reaper IoT 봇넷이 DDoS 서비스를 위한 도구인 것으로 보인다. 최근 10,000 ~ 20,000개의 명령 장치와, 봇넷 노드로 보이는 추가적인 2백만개의 호스트가 식별되었다. 2백만개의 호스트가 왜 봇넷에 흡수되지 않았는지는 아직까지 확실치 않지만, Arbot Network의 ASERT^{(Arbor’s Security Engineering & Response Team)}는 중국 내부의 DDoS서비스 시장에서 사용될 것으로 추측했다.
체크포인트(Check Point)의 보안연구가의 연구결과에 따르면, LG SmartThinQ 스마트 홈디바이스에서 취약점을 발견했다. 이 취약점은 LG에서 생산된 냉장고, 오븐, 식기세척기, 에어컨, 드라이어, 세탁기 등의 인터넷 연결을 가로챌 수 있게 한다. 그리고 원격으로 LG의 홈봇이나 카메라가 내장된 로봇청소기를 조종할 수 있고 비디오 영상을 실시간으로 확인 할 수 있었다.

Detailed News List

Reaper Botnet
- ^{[DarkReading]} Reaper 봇넷, 유료 DDoS 서비스 도구로 보여
  ‘Reaper’ IoT Botnet Likely a DDoS-for-Hire Tool
- ^[360NetLab] IoT Reaper
  IoT_reaper: A Few Updates
LG Smart Appliances
- ^{[theHackerNews]} 해커에 의해 LG 스마트 기기가 원격조종되는 스파이 로봇이 될 수 있다
  Hackers Could Turn LG Smart Appliances Into Remote-Controlled Spy Robot
- ^[HackRead] 보안연구가, 청소기를 해킹해 스파이 도구로 만들다
  Researchers hack vacuum cleaner; turn it into perfect spying device
- ^[Phys.org] 보안취약점으로 해커가 스마트 오븐을 켤 수 있다
  Security flaw could have let hackers turn on smart ovens

Industrial/Infrastructure/Physical System/HVAC

Summaries

활동가들에 의해 소가 제기된지 며칠 후에 선거서버가 지워졌다. 조지아 선거 메인서버가 7월에 지워졌고, 두개의 백업은 8월에 세번이나 자기소거^(degaussing) 됐다. 현재 조지아 선거 관리 공무원들에 대하여 제기된 연방 소송의 핵심으로 여겨지는 서버와 백업들이 완전히 지워진 것으로 알려졌다. 한 보안연구가에 의해 투표시스템의 심각한 문제가 발견된 이후, 조지아는 아주 엄격한 정밀조사 과정에 있었다. 그후 소송이 이어졌고, 법원에는 6월 20일 의회 특별선거 결과의 취소에 대한 요청 및 컴퓨터기반의 투표시스템이 다시 사용되는 것을 막아달라는 요청이 있었다. 이 사건은 7월 3일 Fulton County Superior Court에 접수되었다. 그러나 지난 목요일 APNews 소식에 따르면, 데이터는 7월 7일 Kennesaw State University의 the Center for Elections Systems에 의해 파괴되었다. 그리고 이메일로 확인된 내용에 따르면 두개의 백업 서버는 세 차례 자기소거^(degaussing)된 것으로 확인됐다. 이에 대해서는 Kennesaw State University의 Tammy Demel 대변인은 다음과 같이 답변을 했다. 2017년 3월에 데이터 침해에 연관된 것으로 여겨지는 서버들이 연방수사국^(FBI)에 제출되었고, 데이터는 수사과정에서 포렌식 이미지와 모든데이터의 복사본으로 만들어져 수사국에 보관되었다는 것이다. 그리고 그 이후 연방수사국으로부터 어떤 데이터도 침해당하지 않았다는 연락을 받았으며 수사는 종료되었다고 한다. 수사 종료 후에는, 해당 장비의 재활용을 위해 일상적인 업무절차를 거쳐 드라이브의 소거작업 등이 진행되었다고 밝혔다.
선박의 AmosConnect 8 웹 플랫폼의 두가지 취약점에 대한 보고서가 발표되었다. 이 플랫폼은 IT 및 네비게이션시스템에 대한 모니터링 및 선원들을 위한 메시징, 이메일, 웹브라우징 등의 기능을 제공하는 플랫폼이다. 보고서에서는 이 취약점이 공격받을 경우 선원들의 개인정보 및 광범위한 운영데이터의 노출, 고립되어 운영되어야 하는 선박의 주요 시스템들의 손상이 발생 할 수 있다고 밝혔다.
NATO 사무총장이 동맹국들이 러시아의 전화네트워크 마비^(Jamming) 기술에 대한 우려가 높아지고 있다고 밝혔다. 나토의 사무총장인 Jens Stoltenberg가 2017년 10월 26일 브뤼셀의 나토 본부에서 열린 나토-러시아 협의 회의^{(Nato-Russia Council)}에서, 지난달 군사훈련간 사용된 전자전 종류의 무기에 의한 일부 전화 네트워크의 장애에 대하여 동맹국들의 우려가 커지고 있다고 밝혔다. 최소한 두 동맹국이 그런사실을 알려왔다고 말했으며, 러시아가 워게임에 대하여 더욱 투명하게 대처할 필요가 있다고 강조했다. 지난 9월 14에서 20일까지 러시아가 벨라루스와 함께 진행했던 Zapad 훈련 진행중에 라트비아, 노르웨이, 스웨덴의 Oeland 섬의 전화 서비스가 몇 시간 동안 중단되었다. 이 장애는 발틱해^{(Baltic Sea)}에 있던 러시아의 통신선에 의해 발생한 것으로 추측된다.

Detailed News List

조지아 선거 서버 삭제
- ^{[arsTechnica]} 소송제기 며칠 뒤, 조지아 선거서버 지워져
  Days after activists sued, Georgia’s election server was wiped clean
- ^{[TheRegister]} 미 투표서버 의문스러운 삭제
  US voting server in election security probe is mysteriously wiped
- ^[APNews] 조지아 선거 서버, 소송 제기후 삭제
  APNewsBreak: Georgia election server wiped after suit filed
해상 통신 시스템 취약점
- ^[Wired] 유명 해상통신 플랫폼의 버그로 선박 노출
  A BUG IN A POPULAR MARITIME PLATFORM LEFT SHIPS EXPOSED
- ^[ThreatPost] Inmarsat의 위성통신 시스템의 치명적인 두가지 버그 발견
  TWO CRITICAL VULNERABILITIES FOUND IN INMARSAT’S SATCOM SYSTEMS
- ^{[TheRegister]} 해상 통신시스템 취약점 발견
  Maritime comms flaws exposed: It’s OK cuz we canned it, says vendor
- ^[ZDNet] 내장백도어로 인해 해상 선박 데이터에 해커가 접근 가능
  Hackers can gain access to maritime ship data through a built-in backdoor
- ^{[CMU CERT]} Inmarsat AmosConnec8 메일 클라이언트 SQL Injection 및 백도어계정 취약점
  Inmarsat AmosConnect8 Mail Client Vulnerable to SQL Injection and Backdoor Account
Zapad & Phone Jamming
- ^[C4ISRNet] 나토 사무총장, 동맹국들의 러시아 전화 마비공격에 대한 우려 언급
  NATO chief says allies concerned about Russian phone jamming

Technology/Technical Document/Report

Summaries

구글이 HTTPS와 같은 일을 DNS 쿼리에서도 하려는 중이다. 2015년 IEFE^{(Internet Engineering Task Force)}에 제출된, DNS 질의를 암호화하는 DNS-over-TLS에 대한 내용이 AOSP^{(Android Open Source Project)}에 등록되었다. 일반 DNS 질의는 인터넷에 평문 평태로 전송되기 때문에 중간자공격^{(MitM, Man-in-the-Middle Attack)}에 의해 추적되거나 변경될 수 있다. 그래서 방문하는 모든 사이트들의 정보가 ISP나 VPN 제공사에 의해 기록될 수 있다.

Detailed News List

DNS
- ^{[NakedSecurity]} 암호화되지 않은 DNS를 노리는 안드로이드
  Android takes aim at ISP surveillance with DNS privacy

Social Engineering

Summaries

Detailed News List

Privacy

Summaries

사생활 침해로 이어질 수 있는 iOS의 기능이 이슈다. 앱이 카메라에 접근할 권한을 허용하기만 하면, 실제 사용자가 알지 못하는 순간에 LED 노출이나 불빛등의 특징 없이도 전/후방 카메라로 스냅사진을 찍어 그 데이터가 인터넷에 업로드되고 안면인식 등의 분석이 이루어질 수 있다는 것이다. 거기에는 애플의 iOS11에서 소개한 새로운 기능인 CoreML이라는 신경망에 의한 사생활 침해 가능성이 큰 논란이 되고 있는데, CoreML 권한을 사용하는 앱에서 사용자의 마이크, 달력등의 데이터 스트림에 접근하여 안면인식, 자연어처리, 대상인식 등 신경망과 의사결정트리 등 온갖 머신러닝 도구들을 사용할 수 있는 것이다.

Detailed News List

iOS privacy
- ^{[NakedSecurity]} iOS의 사생활 침해
  The iOS privacy loophole that’s staring you right in the face
- ^[Wired] 애플의 머신러닝엔진이 당신 아이폰에 들어있는 비밀을 들춰낼지 모른다
  APPLE’S MACHINE LEARNING ENGINE COULD SURFACE YOUR IPHONE’S SECRETS

Security Newsletters, 26, Oct, 2017

Posted on 2017-10-26 - 2017-10-26 by admin

Caution

This post is meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news are not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.

Newsletters

Cyber Espionage/Cyber Operation/Cyber Intelligence

Summaries

Bad Rabbit 랜섬웨어가 계속해서 들불처럼 번지고 있다. Petya와 유사한 랜섬웨어 공격으로, 0.05 bitcoin을 몸값으로 요구한다. 이 랜섬웨어는 현재 유럽 전역에 확산되고 있으며, 이미 러시아, 우크라이나, 터키, 독일 등의 200개 이상의 기관들이 몇시간 안에 감염되었다. 카스퍼스키랩의 초기 연구에 따르면, Bad Rabbit 랜섬웨어는 어도비 플래시 플레이어 인스톨러로 위장하여 드라이브 바이 다운로드(Drive-by-download) 공격에 의해 배포된다. 익스플로잇되며 감염되는 것이 아니라, 대상자가 다운로드하여 실행해야 한다는 것이다. 뉴스나 미디어 사이트가 장악 당하여 이런 가짜 인스톨러를 배포하고 있다. 지금까지 공격 대상이 된 기관들에는 Kiev Metro payment systems, Interfax and Fontanka(러시아 뉴스기관), Odessa 국제공항, 우크라이나의 Ministry of infrastructure가 있다.
FIN7 해킹그룹의 스피어 피싱 공격이 탐지 회피에 초점을 맞추고 있다. 다양한 소매업자들을 공격해온 FIN7 그룹은 계속적으로 다양한 피싱 기술을 사용하며, 탐지 회피를 위해 피싱 문서들을 도입하고 있는 것으로 드러났다.
악명높은 해킹그룹인 Lazarus가 조종하는 것으로 보이는 서버가 인도에서 발견되었다고 카스퍼스키가 밝혔다. Lazarus그룹은 최근 WannaCry 랜섬웨어를 포함해 전세계에 걸친 큰 규모의 사이버 공격 배후에 있다고 여겨지는 범죄그룹이다. 최근 밝혀진 이 서버들은 전세계적인 command & control 기반으로 활용되는 것으로 보인다. 이 서버들은 인도네시아, 인도, 방글라데시, 말레이시아, 베트남, 대한민국, 대만, 태국 등의 나라들에서 발견되고 있으며 Lazarus 그룹은 2014년 소니픽쳐스 해킹, 2016년 방글라데시 은행 절도, 최근 WannaCry 랜섬웨어의 배후로 여겨진다.
Terror Exploit Kit으로 이어지는 사기광고 악성코드. Zscaler의 보안연구가에 따르면, 금연광고^{“Quit Smoking”}나 20분안에 살빼기^{“20 Minute Fat Loss”}와 같은 광고가 테러 익스플로잇 키트^{(Terror Exploit Kit)}로 이어지는 광고를 내보냈다. 이러한 캠페인은 9월 1일에 첫 탐지되어 10월 23일까지 이어졌다. Terror EK는 취약점 CVE-2016-0189와 CVE-2014-6332를 공격하며, 랜딩페이지에서는 플래쉬 익스플로잇을 사용하는 다른 URL을 호출한다.

Detailed News list

Bad Rabbit
- ^[ThreatPost] Bad Rabbit Expetr/NotPetya 공격과 연관
  BAD RABBIT LINKED TO EXPETR/NOT PETYA ATTACKS
- ^{[theHackerNews]} Bad Rabbit, 새로운 랜섬웨어 공격이 유럽전역에 급격히 확산
  Bad Rabbit: New Ransomware Attack Rapidly Spreading Across Europe
- ^[HackRead] Bad Rabbit 랜섬웨어가 들불처럼 번지고 있으나, 벗어날 길이 있다
  Bad Rabbit ransomware spreading like wildfire but there is a way out
- ^{[NakedSecurity]} Bad Rabbit 랜섬웨어 발생
  Bad Rabbit ransomware outbreak
- ^[Reuters] 새로운 사이버 공격이 러시아와 다른 국가를 휩쓸다
  New wave of cyber attacks hits Russia, other nations
- ^[CSOOnline] Bad Rabbit 랜섬웨어, 다수 미디어 공격
  BadRabbit ransomware attacks multiple media outlets
- ^{[MotherBoard]} 새로운 랜섬웨어인 Bad Rabbit이 러시아와 우크라이나에 빠르게 확산중
  New Ransomware ‘Bad Rabbit’ Spreading Quickly Through Russia and Ukraine
- ^[CRN] 새로운 악성코드 Bad Rabbit이 러시아와 다른 국가들 강타
  New malware ‘BadRabbit’ strain attacks hit Russia, other nations
- ^[SCMagazine] Bad Rabbit 랜섬웨어가 러시아 및 우크라이나에서 퍼시고 있다. 예방법 발표
  BadRabbit ransomware spreading in Russia and the Ukraine, vaccine posted
- ^[Wired] NotPetya 연관된 새로운 랜섬웨어가 러시아와 우크라이나를 휩쓸다
  NEW RANSOMWARE LINKED TO NOTPETYA SWEEPS RUSSIA AND UKRAINE
FIN7
- ^[HackRead] FIN7의 스피어 피싱 공격이 이제는 탐지 회피에 초점을 맞추다
  FIN7 Spear Phishing Attacks Now Aim At Avoiding Detection
Lazarus
- ^{[EconomicTimes]} 카스퍼스키, Lazarus가 조종하는 서버들 인도에서 찾았다
  Kaspersky detects Lazarus-controlled servers in India
Terror EK
- ^[ThreatPost] Terror EK로 이어지는 사기광고 악성코드
  MALVERTISING CAMPAIGN REDIRECTS BROWSERS TO TERROR EXPLOIT KIT

Deep Web/DarkNet/Onion

Summaries

다크웹에서 Zcash, Monero, Ether등의 암호화폐가 거래에 사용되면서 인기를 끌고 있다고 유로폴이 최근 발행한 보고서에서 밝혔다.
미 정부가 오랜시간이 지나고서야 2013년에 실크로드를 폐쇄하면서 압류한 비트코인의 판매로 벌어들인 수익이 약 4800만 달러에 이른다고 밝혔다. 실크로드 수사가 성공하면서 정부는 144,336 비트코인을 압류했고, 2014년과 2015년에 이를 경매에 부쳤다. 그리고 최근 실크로드는 Silk Road 3.1로 다시 운영을 재개했다.

Detailed News List

다크웹의 암호화폐
- ^{[DarkWebNews]} Zcash, Monero 등 다크웹에서 인기
  Zcash, Monero and Ether Becoming Popular on the Dark Web
Silk Road
- ^{[SilkRoadDrugs]} 미 정부 실크로드의 비트코인 판매로 4,800만 달러 순수익
  U.S. Government Nets $48M from Sale of Seized Silk Road Bitcoins
- ^{[SilkRoadDrugs]} SilkRoad 3.0에 접속하는 법
  Guide on How to Access the Silk Road 3.0

Security Breach/Info Leakage

Summaries

영국 런던에 위치한 성형외과 the London Bridge Plastic Surgery & Aesthetic Clinic (LBPS)가 해킹당해 환자 정보가 유출되었다. 이번 뉴스에는 병원으로부터 유출된 데이터에 대하여 확인이 되었다. 남여 환자의 생식기 수술 사진이 유출 데이터에 일부로 포함이 되어있으며, 또다른 데이터로는 얼굴이 함께 촬영된 환자들의 수술 후 사진이 있다고 한다.
델^(Dell)이 악성코드나 기타 원인으로부터 사용자들을 복구하는데 사용하는 사용자지원 사이트인 DellBackupandRecoveryCloudStorage.com에 대한 관리권한을 뺏겼다. 여름에 이 도메인은 약 한달동안 관리권한을 탈취당한 것으로 보이며, 델의 관리업체가 이 권한을 다시 회수하기까지 악성코드를 유포한 것으로 보이는 징후도 발견되었다.
6월달에 유출된 아시아 태평양 네트워크 정보 센터^{(APNIC, The Asia-Pacific Network Information Centre)}의 후이즈 데이터베이스의 비밀번호 해시 유출에 대한 보도가 추가되었다.
버뮤다의 Appleby 역외로펌에서 지난해 심각한 데이터 유출이 있었던 것과 고객들의 재정정보에 대한 즉각적인 노출이 있을 수 있다고 인정했다. Appleby는 역외법률서비스를 제공하는 세계에서 가장 큰 로펌 중 하나이다.
회장품 기업인 Tarte Cosmetics의 약 2백만명에 달하는 고객 개인정보가 유출됐다. 보안이 되어있지 않은 데이터베이스로 인해, 온라인에 공개되어 접근이 가능했으며 사용자의 이름, 이메일주소, 우편 주소, 신용카드번호의 마지막 네 자리가 노출됐다.

Detailed News List

LBPS
- ^{[NakedSecurity]} 해커 성형외과에서 사진 데이터 훔쳐
  Hackers steal compromising photos from plastic surgery clinic
Dell Inc.
- ^{[KrebsOnSecurity]} 델, 주요 사용자지원 도메인을 한달간 탈취당해
  Dell Lost Control of Key Customer Support Domain for a Month in 2017
APNIC
- ^{[BleepingComputer]} APNIC 후이즈 데이터베이스 비밀번호 해시가 다운로드 가능했다
  APNIC Whois Database Password Hashes Were Available for Download
Appleby
- ^{[InfosecurityMagazine]} 역외로펌 데이터 도난
  Offshore Law Firm Braces for Publicity Bombshell After Data Theft
Tarte Cosmetics
- ^[Gizmodo] Tarte 약 200만명 고객의 개인정보 유출
  Cosmetics Brand Tarte Exposed Personal Information About Nearly 2 Million Customers

Crypto Currency

Summaries

코인하이브^(Coinhive)가 해킹당했다. 정체가 알려지지 않은 해커에 의해 해킹당한 코인하이브는, 방문하는 사람들의 CPU를 동원해 모네로^(Monero) 암호화폐를 채굴했다. 이 해커는 코인하이브의 CloudFlare 계정을 가로채 DNS 서버를 변경했고, 코인하이브의 공식 Javascript 코드를 조작한 버젼으로 교체해 수천개의 웹사이트를 채굴하는데 동원했다. 해커는 2014년 Kickstarter 데이터 유출건에서의 비밀번호를 찾아내 코인하이브의 CloudFlare 계정에 접근한 것으로 보인다.
푸틴이 2018년 암호화폐 채굴업자들을 정부에 등록제로 운영할 것이라는 계획을 밝혔다.

Detailed News List

CoinHive
- ^{[theHackerNews]} 코인하이브의 DNS를 가로채 수천의 웹사이트가 암호화폐를 채굴하게 만든 해커
  Hacker Hijacks CoinHive’s DNS to Mine Cryptocurrency Using Thousands of Websites
Putin
- ^{[MotherBoard]} 푸틴, 2018년에 암호화폐 채굴업자 정부에 등록하도록 한다
  Putin Will Require Cryptocurrency Miners to Register With the Government in 2018

Malware/Exploit/Vulnerability

Summaries

PRNG^{(Pseudo-Random Number Generator)}에서 고정된 시드값을 사용하면서, 암호화 키 값을 추측할 수 있게 되는 DUHK^{(Don’t Use Hard-coded Keys)} 공격에 대한 기사도 이어지고 있다.
마이크로소프트의 어플리케이션간에 데이터 공유를 가능하게 해주는 동적 데이터 교환 프로토콜^{(DDE Protocol, Dynamic Data Exchange Protocol)}을 악용하는 공격에 대해서도 기사가 이어지고 있다. 익스플로잇이 이 DDE기능을 어떤 오피스 어플리케이션에서든 사용할 수 있으며, 매크로를 사용하지 않고 RATs^{(Remote access trojans)}를 배포에 사용할 수 있다.
BadRabbit 랜섬웨어에 대한 기술 분석 보고서

Detailed News List

DUHK Attack
- ^[ITNews] DUHK 공격, 포티넷 장비에서 비밀키를 알아낼 수 있게 한다
  DUHK attack recovers secret keys from Fortinet devices
- ^{[SANS ICS InfoSec Forums]} DUHK 공격
  DUHK attack, continuing a week of named issues
DDE Protocol
- ^{[TechRepublic]} 거의 탐지불가능한 마이크로소프트 오피스 익스플로잇
  Nearly undetectable Microsoft Office exploit installs malware without an email attachment
BadRabbit
- ^[EndGame] 기술 분석 보고서
  BadRabbit Technical Analysis

Legislation/Politics/Policy/Regulation/Law Enforcement

Summaries

32세의 Emilio Herrera가 2014년 유명인사들의 iCloud와 Gmail 계정 비밀번호를 피싱으로 가로채 누드 사진을 훔친 것에 대하여 자신의 죄를 시인했다. Herrera가 유죄협상에 동의한 것은 한 건 이지만, 그는 다수 건에 대한 혐의를 받고 있다. FBI는 Herrera의 아이피가 iCloud 계정 572개에 접근했다고 주장하고 있다.

Detailed News List

누드사진 해킹
- ^{[NakedSecurity]} 유명인사 누드사진 해킹에 대하여 유죄협상에 사인했다
  Creep signs plea deal for celebrity nudes hack

Internet of Things

Summaries

미라이^(Mirai)를 능가할 것으로 보이는 봇넷 Reaper(IOTroop)이 계속 확산중이다. 보안 연구자들에게 탐지된지 약 한달 조금 넘은 봇넷인 Reaper가 약 200만의 웹캠, 보안 카메라, 디지털 비디오 레코더 등의 인터넷에 접속된 IoT 장비들을 감염시킨 것으로 보이며, 최근 탐지된 봇넷들 중에서 가장 큰 규모인 것으로 보인다. 규모면에서 Mirai를 훨씬 능가하여 전체 인터넷을 무너뜨릴 수 있을 것이라는 예측에 계속적인 뉴스들이 생산중이다. 봇넷의 확산에 이어, 한단계 더 나아가 full-scale의 DDoS 공격을 준비중인 것으로 보인다.

Detailed News List

Reaper botnet
- ^[ZDNet] 수백만 장비들을 몰래 감염시킨 Reaper, Mirai보다 더 악성일 것
  After quietly infecting a million devices, Reaper botnet set to be worse than Mirai
- ^[eSentire] Reaper IoT 봇넷
  Reaper IoT Botnet
- ^[ThreatPost] 해커들 IOTroop 봇넷에 익스플로잇 준비중
  HACKERS PREPPING IOTROOP BOTNET WITH EXPLOITS