Caution
This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
- 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.
Newsletters
Exploits/Vulnerabilities
Summaries
- 워드프레스(WordPress) 사이트에 관리자 계정을 생성하는 자바스크립트 주입(Injection) 공격이 이루어지고 있다. 이 공격은 오래된 버젼의 Newspaper 및 Newsmag 테마에 존재하는 취약점에 기반한다. PublicWWW 서비스의 리포트에 따르면 수천개의 워드프레스 웹사이트가 이 공격에 의해 감염된 것으로 보인다. 감염된 웹사이트는 다른 스팸 도메인으로 리다이렉트 되며, 이 리다이렉트에 더해 새로운 가짜(rogue) 관리자 계정인 simple001이 감염된 웹사이트에 생성되어 해커에게 모든 접근 권한을 내주게 된다.
- 포티넷(Fortinet)의 포티클라이언트(FortiClient) 제품에서 사용자의 VPN 인증정보(Credentials)를 노출시키는 취약점이 발견되었다. 리눅스, Mac OSX, Windows용 포티클라이언트가 암호화된 VPN 인증정보를 안전한지 않은 곳에 저장하는 취약점이 발견되었다. 포티넷이 이 정보 노출 취약점에 대한 업데이트를 공개했다. 이 취약점은 CVE-2017-14184로, 공격자가 VPN 인증 정보를 획들할 수 있다. 포티클라이언트에서 발견된 문제점은 첫번째로는 VPN 인증정보가 Linux와 MacOS에서는 파일에 저장이 되고, Windows에서는 레지스트리에 저장이 된다는 점이다. 이는 공격자가 설정파일 내용에 쉽게 접근할 수 있다는 것을 의미한다. 두번째 문제는, 이러한 암호화된 인증정보의 복호화 키가 응용프로그램에 하드코딩되어있어 모든 포티넷 설치본마다 동일하다는 것이다. 공격자는 키를 찾아서 비밀번호를 복호화 할 수 있다.
- HP 노트북에 키로거(Keylogger)로 사용될 수 있는 디버그 코드가 포함된 드라이버가 설치되어 판매되었다는 기사가 발표되었었다. 이에 대한 반대 기사가 다시 나왔다. Synaptics는 수백개 HP 노트북에 키로거가 설치되어 있다는 기사는 정확하지 않다고 말했다. 수요일에 발표된 내용에서, Synaptics는 자사의 소프트웨어가 키로거로 잘못 보도되었다고 밝혔다. 그리고 디버깅 컴포넌트를 자사의 Synaptics Touchpad Driver 제품에서 제거할 것이라 밝혔다.
- 19년 된 RSA의 TLS 암호 공격이 Facebook, PayPal과 같은 100개 상위 도메인 중 27개에 영향을 미쳤다. TLS 네트워크 보안 프로토콜에 존재하는 19년된 취약점이 최소 8개의 IT 제조사들의 소프트웨어 및 오픈소스 프로젝트에서 발견되었다. 이 취약점은 공격자가 암호화된 통신을 복호화 할 수 있게 해준다. Hanno Böck, Juraj Somorovsky of Ruhr-Universität Bochum/Hackmanit, and Craig Young of Tripwire VERT에 의해 RSA PKCS #1 v1.5 암호화에서 발견된 이 취약점은, 상위 100개 웹 도메인 중 27개에 영향을 미치며 여기에는 페이스북, 페이팔 등도 포함된다. 이 취약점은 TLS에만 국한되는 것이 아니라고 연구가들은 이야기했다. 동일한 문제가 XML 암호화, PKCS#11 인터페이스, 자바스크립트 오브젝트 사인 및 암호화(Javascript Object Signing and Encryption, JOSE), Cryptographic Message Syntax/ S/MIME에도 존재한다고 말했다. 이 취약점은 연구가들에 의해 ROBOT이라 명명되었다. Return Of Bleichenbacher’s Oracle Threat을 의미한다. (13일에서 이어짐)
- Azure AD Connect를 사용하면서 숨겨진 관리자 계정으로 인한 권한 상승 취약점이 존재한다. 하이브리드 오피스 365(Hybrid Office 365 Deployments)에서 숨겨진 관리자 계정이 발견되었다. Preempt Security에서 자동으로 생성되는 숨겨진 관리자 계정을 hybrid on-premise Azure Microsoft Office 365(O365)에서 찾아냈다. (13일에서 이어짐)
- AT&T의 DirecTV 서비스가 해킹에 취약다하는 기사가 나왔다. 쉽게 공격받을 수 있는 보안 취약점이 DirecTV에 포함된 무선 비디오 브릿지에서 발견되었다. 이 무선 비디오 브릿지는 노트북이나 타블렛, 스마트폰을 지니(Genie) 디지털 비디오 레코더에 연결할 수 있게 해주는 장치다. 링크시스(Linksys)에서 제작한 이 무선 비디오 브릿지는 로그인 페이지로 보호되어있지 않아, 장치에 접근할 수 있는 사람이면 누구나 장치에 대한 민감 정보를 얻을 수 있다. 취약점을 발견한 트렌드 마이크로(Trend Micro)의 Ricky Lawshae에 따르면, 이 장비는 브릿지에 대한 진단 데이터(diagnostic data) 및 접속한 클라이언트, 실행중인 프로세스, WiFi 설정 비밀번호(WiFi Protected Setup passcode) 등을 내보이고 있다. (14일에서 이어짐)
Detailed News List
- Javascript Injection on WordPress
- FortiClient exposes users’ VPN Credentials
- [SecurityAffairs]
FortiClient improper access control exposes users’ VPN credentials - [SecurityWeek]
Fortinet’s FortiClient Product Exposed VPN Credentials
- [SecurityAffairs]
- 19-year-old ROBOT attack
- Keylogger in HP laptops
- [ThreatPost]
Synaptics Says Claims of a Keylogger in HP Laptops are False - [PandaSecurity]
HP laptop owners – act now to avoid being hacked
- [ThreatPost]
- Azure AD Connect
- [ThreatPost]
Permissions Flaw Found Azure AD Connect
- [ThreatPost]
- AT&T DirecTV
Legislation/Politics/Policies/Regulations/Law Enforcement/Trials
Summaries
- 암 치료 업체가 230만 달러의 벌금을 내는데 동의했다. 방사능치료(radiation therapy) 및 암치료(cancer treatment) 제공업체가 2015년에 겪었던 데이터 침해사고에 대하여 230만 달러의 벌금을 지불하는데 동의했다. 2017년 12월 11일, 뉴욕 북부의 미 파산법원(U.S Bankruptcy Court)은 21st Century Oncology에 대한 합의안(a settlement agreement)을 승인하는 명령을 받았다. 이 협의안은 암치료 업체가 수년젼 겪었던 보안 침해사고에 대하여 미 보건복지부(U.S. Department of Health & Human Services)에 230만 달러를 지불하는 내용이 담겨있다.
- Mirai 봇넷을 운영한 혐의로 세명의 해커가 유죄를 인정했다. 이 세명은 수많은 인터넷에 연결된 장치들을 감염시켜 만든 미라이 봇넷(Mirai Botnet)을 생성, 운영, 판매한 것에 대하여 유죄를 인정했다. 이 봇넷은 작년에 호스팅 회사, 소셜미디어 플랫폼, 기타 온라인 기업들에 대하여 수많은 분산서비스거부(DDoS, Distributed Denial of Service) 공격을 실행했다. (14일에서 이어짐)
- Dridex 악성코드를 사용해 수백만 달러를 훔친 범인을 도운 혐으로 한 남성이 감옥에 가게되었다. 2017년 12월 12일 화요일, 바클레이즈(Barclays)은행에서 일하던 29세의 Jinal Pethad가 두명의 몰도바인(Moldovan) 사이버 범죄자들의 3백만 달러(£2.5 million) 이상의 자금을 그가 일했던 Barclays Ealing 런던 지점에서 돈세탁하는 것을 도운 죄로 6년 4개월 형에 처해졌다. 두명의 사이버 범죄자는 Ion Turcan과 Pavel Gincota로 밝혀졌으며, Dridex 뱅킹 악성코드를 사용한 것과 Pethad에게 도움을 댓가로 보수를 지불한 점으로 각각 5년 8개월과 7년형에 처해졌다. (14일에서 이어짐)
Detailed News List
- Cancer Threatment Provider Agrees to $2.3M Fine
- Mirai Botnet
- [NakedSecurity]
Mirai botnet authors plead guilty - [GrahamCluley]
The Mirai botnet: three men plead guilty after weaponizing the Internet of Things - [TripWire]
The Mirai botnet: three men plead guilty after weaponizing the Internet of Things - [SecurityAffairs]
US DoJ charges 3 Men with developing and running the Mirai Botnet - [TheRegister]
OK, OK, MIRA-I DID IT: Botnet-building compsci kid comes clean - [DarkReading]
Former Rutgers Student, Two Others Plead Guilty to Operating Mirai Botnet
- [NakedSecurity]
- Barclays
- [TheRegister]
Barclays Employee Locked Up For Aiding Dridex Launderers
- [TheRegister]
Privacy
Summaries
- 비밀번호를 훔치는 앱이 구글 플레이(Google Play) 스토어에서 수백만건이 다운로드 된 것이 밝혀졌다. 구글이 버그 바운티 프로그램(Bug Bounty Program)과 기타 여러 노력으로 악성 앱 등록을 막고 있지만, 수백만 다운로드를 자랑하는 앱이 비밀번호를 훔치는 사실이 발견되었다. 이번에는 보안연구가들이 구글 플레이 스토어에 등록되어 있는, 수백만건이 다운로드 된 최소 85개의 응용프로그램들이 러시아 기반의 SNS 서비스인 VK.com의 사용자 인증정보(credentials)를 훔친다는 것을 발견했다. (14일에서 이어짐)
Detailed News List
- Credential Stealing Apps on Google Play
Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS
Summaries
- 새로운 트라이톤(Triton) 악성코드가 주요 사회기반시설(critical infrastructure)에 대한 공격을 준비하고 있는 것이 탐지되었다. 산업 제어 시스템(ICS, Industrial Control Systems)을 노리는 새로운 Triton 악성코드가 파이어아이(FireEye) 연구자들에 의해 발견되었다. 트라이톤(Triton)이라 명명된 이 악성코드는 이름이 알려지지 않은 주요 사회기반시설 기관(critical infrastructure organization)을 노린 공격에 사용되어왔다. 보안전문가들은 금전적인 동기가 부족한 점과 공격의 정교한 수준으로 보았을때, 국가가 배후에 있는(state-sponsored) 공격자가 사보타주를 목적으로 한 것으로 보고있다. 파이어아이는 아직까지 Triton 공격을 어떠한 APT 그룹과도 연관짓지 않았다. 보안 전문가들은, 그들이 탐지한 행위들이 작전의 정찰단계 일부(part of the reconnaissance phase)였을 것이라 추정하고 있다. Triton 악성코드는 Schneider Electric의 Triconex Safety Instrumented System(SIS) 컨트롤러를 공격 대상으로 만들어졌다. 이 제품들은 산업 환경에서 프로세스 상태를 모니터하고 잠재적으로 위험한 상황에서 안전하게 복구하거나 차단하기 위한 제품이다.
Detailed News List
- Triton Malware
- [DarkReading]
TRITON Attacker Disrupts ICS Operations, While Botching Attempt to Cause Physical Damage - [SecurityAffairs]
New Triton malware detected in attacks against a Critical Infrastructure operator - [InfoSecurityMagazine]
Triton Takes Aim at ICS in the Middle East - [SecurityWeek]
New “Triton” ICS Malware Used in Critical Infrastructure Attack - [FireEye]
Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure
- [DarkReading]
Service Outage
Summaries
- 비트피넥스(Bitfinex)가 분산서비스거부(DDoS, Distributed Denial of Service) 공격으로 잠시 운영을 중단한 이후, 다시 서비스를 복구했다. 비트피넥스(Bitfinex)는 세계 최대의 암호화폐 거래소 중 하나다. 비트피넥스는 지난 화요일인 12월 12일에 끊임없는 DDoS 공격을 받은 끝에 운영을 중단해야 했다. 홍콩에 위치한 비트피넥스는 트워터를 통해 고객들에게 상황을 공지했다. 다행이 DDoS 공격이 사용자들의 자금에는 영향을 미치지 못했다.
Detailed News List
- Bitfinex
- [NakedSecurity]
Bitfinex cryptocurrency exchange is back up after repeated DDoS
- [NakedSecurity]
Crypto Currencies/Crypto Mining
Summaries
- 180만 달러 가량의 이더리움을 훔치기 위해 자기 친구를 납치당하게 한 남자가 결국 잡히고 말았다. 맨하탄 지방 검찰청(Manhattan District Attorney’s Office)에 따르면, 이번주 화요일에 뉴욕인을 친구에 대한 납치 및 그 친구의 암호화폐 지갑에서 180만 달러 가량의 이더리움을 훔친 혐의로 기소했다. 이 일은 11월 4일에 35세의 Louis Meza가 자신의 아파트에서 친구를 만나면서 벌어졌다. 만남 이후 Meza는 친구 배웅을 위해 차량 서비스를 불렀고, 이 차량 서비스 기사가 총으로 위협해 이더리움 암호화폐 및 집 열쇠, 전화, 지갑등을 강탈했다. Meza는 체포되고 기소되었으나, 이 사건과 관련된 혐의를 부인중이다.
- 매장내(In-store) 와이파이인터넷 업체(Provider)가 스타벅스 웹사이트를 이용해 모네로(Monero) 암호화폐 코인을 채굴하려 했다는 주장이 나왔다. 12월 2일에 트위터 사용자 Noah Dinkin은 거대 커피체인인 스타벅스의 아르헨티나 리워드 사이트가 모네로(Monero) 암호화폐를 채굴하기 위한 코인하이브(CoinHive) 스크립트를 사용하는 것을 공개했다. Dinkin은 이 사건의 배후에 있는 범인이 스타벅스의 매장내 WiFi 제공업체일 수 있다고 말했다. 그러나, 지난 몇 달 동안 사이버 범죄자들은 웹사이트들을 해킹해 몰래 코인하이브의 스크립트들을 삽입해왔다. 며칠 전에는 보안연구가들이 5,000개 이상의 사이트들이 코인하이브 코드를 삽입하는 해킹을 당했다는 사실을 밝혀내기도 했다. (11일에서 이어짐)
Detailed News List
- Kidnapping for Ethereum
- Starbucks WiFi & mining
- [NakedSecurity]
Starbucks Wi-Fi hijacked customers’ laptops to mine cryptocoins
- [NakedSecurity]
Technologies/Technical Documents/Statistics/Reports
Summaries
- 어배스트(Avast)가 악성코드 분석을 위한 디컴파일러를 오픈소스로 공개했다. Retargetable Decompiler의 줄임말인 RetDec으로 알려진 이 디컴파일러는 체코 공화국(Czech Republic)의 브르노 기술 대학(Brno University of Technology) 정보기술 학부(Faculty of Information Technology)와 AVG Technologies의 공동 프로젝트로 시작되어 개발된 7년간의 노력의 산물이다. AVG Technologies는 2016년에 어배스트(Avast)가 인수헀다. 이 툴은 실행파일을 플랫폼에 구애받지 않으며 분석할 수 있게(platform-independent analysis ) 해준다. 이 소스코드는 GitHub에 MIT 라이선스로 공개되어 있으며, RetDec은 누구나 무료로 사용할 수 있고, 소스코드를 연구하거나 수정, 재배포 할 수 있다.
Detailed News List
- Avast Open Source Decompiler