Caution
This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
- 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.
Newsletters
Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors
Summaries
- 탈북자 및 그들의 후원자, 기자를 노리는 해킹 캠페인이 탐지되었다. 해커그룹이 대한민국 내 탈북자 및 언론인들을 상대로 유명 채팅 어플리케이션이나 소셜네트워크를 통해 악성코드를 보내는 것이 McAfee에 의해 탐지되었다. 고도로 표적화된 이 캠페인은 2017년 페이스북, 카카오톡을 사용해 악성코드가 담긴 피싱 링크를 전송하는 것으로 시작되었다. 이 해킹그룹이 기존 사이버범죄 그룹과 연관되는 점은 확인되지 않았다.
- 러시아와 관련되 있는 것으로 추정되는 해킹 그룹 FancyBear가 국제 올림픽 위원회(IOC, International Olympic Committee)와 국제 반도핑 기구(WADA, World Anti-Doping Agency)에서 유출된 것으로 추정되는 이메일을 공개했다. FancyBear라는 이름으로 알려진 이 해킹 그룹은 이메일 아카이브를 공개했는데, 블로그 포스트를 통해 미국을 포함한 앵글로색슨(Anglo-Saxon)계 국가들이 스포츠에서의 권력과 자본을 위해 싸우고 있다고 혐의를 제기했다. 이 그룹은 APT28로도 알려져 있는데, 2016년 미국 민주당 전국 위원회 해킹으로 알려진 그룹이다. FancyBear는 러시아의 올림픽 출전 금지가 명백히 정치적이라고 주장하고 있다. 이 유출 사건에 대해서 IOC는 언급을 거부했으며, WANA는 응답하지 않았다. (11일에서 이어짐)
- RIG Exploit kit이 암호화폐 열풍에 동참하고 있다. Malwarebytes가 공개한 정보에 따르면, 코인 채굴 악성코드를 유포하는 Ngay라는 캠페인이 진행되고 있다. 최초 드롭퍼(dropper)는 암호화폐 채굴기인 추가 바이너리를 하나 혹은 그 이상을 포함하고 있다. 유명한 모네로 채굴기 같은 것들이다. Ngay 캠페인은 malvertising chains들 중 하나로, REG exploit kit을 자신들의 페이로드를 배포하는데 사용하고 있다. (10일에서 이어짐)
Detailed News list
- 탈북자 노리는 해킹 캠페인
- [InfoSecurityMagazine]
North Korean Defectors Targeted in Mobile Espionage Campaign - [CyberScoop]
New hacking campaign targets North Korean defectors in South Korea - [SecurityWeek]
Highly Targeted Attacks Hit North Korean Defectors - [ZDNet]
Android trojan targets North Korean defectors and their supporters - [McAfee]
North Korean Defectors and Journalists Targeted Using Social Networks and KakaoTalk
- [InfoSecurityMagazine]
- FancyBear
- [InfoSecurityMagazine]
In Wake of Russia Ban, Fancy Bear Tries to Discredit the Olympics…Again - [ThreatConnect]
Duping Doping Domains - [SecurityWeek]
Hackers Leak Olympic Committee Emails in Response to Russia Ban
- [InfoSecurityMagazine]
- RIG Exploit Kit
- [DarkReading]
RIG EK Remains Top of Heap, Turns to Cryptomining
- [DarkReading]
Malwares
Summaries
- 신종 Ursnif 악성코드가 사용하는 Double Process Hollowing이라는 프로세스 인젝션 방법에 대한 기사가 올라왔다. 유포되고있는 Ursnif 악성코드의 새로운 종에서 Double Process Hollowing 이라는 이름이 붙은 새로운 고도화된 회피 기법을 채택한 것이 확인되었다. 새로운 기법으로 PoS 장치들을 감염시키고 있는 LockPoS와도 유사하지만, 동일하지 않은 기법이다. 다수의 요즘 안티바이러스 소프트웨어에 탐지되지 않도록 해주는 회피기법이다. 이 방식의 마지막 단계는 자신을 explorer.exe 프로세스의 스레드로서 숨기는 것이다. 이것을 달성하기 위해서 더블 프로세스 할로윙이라는 윈도우즈 Native API에 기반한 기법을 사용하는데, svchost.exe 시스템 프로세스를 통해 권한 상승을 하고, 악성코드를 explorer.exe에 주입하는데 이용한다.
Detailed News List
- Double Process Hollowing
Exploits/Vulnerabilities
Summaries
- 맥OS에서 잘못된 비밀번호로 앱스토어 설정을 잠금해제 할 수 있는 취약점이 발견되었다. macOS High Sierra에 영향을 주는 이 취약점은, 앱스토어 설정(Preferences)를 어떤 비밀번호를 입력하든 잠금해제 할 수 있다. 취약점은 macOS 10.13.2에 영향을 주는 것으로 확인되었고, 사용자가 관리자(administrator)로 로그인 했을 때에만 가능하다. 관리자가 아닌 계정에서는 정확한 비밀번호를 입력해야 한다.
- Gmail에서 서비스를 중단시킬 수 있는 심각한 취약점이 발견되었다. 이 취약점은 Roberto Bindi라는 보안 연구가에 의해 발견되었는데, 특수하게 조작된 메시지를 보내는 것으로 대상자가 Gmail 서비스를 접근하지 못하게 할 수 있다. 호기심에 발견된 이 취약점은 처음에는 조작된 메시지로 브라우저를 충돌시키는 결과를 냈으나, 더 나아가 이러한 메시지를 Gmail을 통해 보내자 Gmail 서비스가 종료되는 결과를 확인했다.
- 유명 채팅 앱에서 암호화된 그룹 대화를 엿볼 수 있는 취약점이 발견되었다. 유명 채팅 프로그램인 WhatsApp, Threema, Signal에서 이론적으로(theoretically) 암호화를 우회해 그룹 채팅에 끼어들 수 있는 취약점이 발견되었다. 취리히에서 열린 Real World Crypto 컨퍼런스에서 독일 암호학자 팀이 해당 내용을 발표했다. (11일에서 이어짐)
- 인텔 칩에서 발견된 취약점인 멜트다운/스펙터(Meltdown/Spectre)에 대한 기사가 이어지는 중이다. 이번에는 마이크로소프트가 내놓은 Windows 보안 패치(KB40566892)가 일부 AMD CPU를 사용하는 PC를 사용불가 상태로 만들어 버리는 오류가 있다는 내용이다. AMD의 애슬론(Athlon)을 사용하는 PC들이 패치 전에는 정상 동작하다가 이후에 동작하지 않는다는 사용자들의 리포트가 반복되고 있다는 것이다. 패치가 복구지점(recovery point)을 생성하지 않는것도 문제가 되고있다. (9일에서 이어짐)
Detailed News List
- 맥OS 비밀번호 취약점
- [SecurityWeek]
Bogus Passwords Can Unlock AppStore Preferences in macOS - [TechRepublic]
macOS High Sierra bug lets App Store preferences be unlocked with any fake password - [TheHackerNews]
[Bug] macOS High Sierra App Store Preferences Can Be Unlocked Without a Password - [HackersOnlineClub]
Mac OS Bug Allows System Preferences To Be Unlocked With Any Password, Haven’t Fixed Yet
- [SecurityWeek]
- Gmail
- WhatsApp
- [HackRead]
WhatsApp Vulnerability Lets Anyone Spy on Group Chats - [ThreatPost]
WhatsApp Downplays Damage of a Group Invite Bug - [InformationSecurityBuzz]
WhatsApp Encryption Flaw Allows Servers To Add People To Private Groups Without Permission - [GrahamCluley]
WhatsApp flaw could allow anyone to sneak into your private group chat - [HelpNetSecurity]
WhatsApp, Signal group chats not as secure as users might believe - [TripWire]
WhatsApp flaw could allow anyone to sneak into your private group chat - [SecurityAffairs]
A security issue in WhatsApp potentially allows attackers to eavesdrop on encrypted Group chats
- [HackRead]
- Spectre/Meltdown
- [TechRepublic]
Why Meltdown and Spectre help make the case for event logging (TechRepublic) - [ZDNet]
How much slower will your PC feel after patching for Spectre-Meltdown? - [AlienVault]
Improve Your Readiness To Defeat Meltdown & Spectre - [SecurityWeek]
Meltdown Patch Broke Some Ubuntu Systems - [MalwarebytesLabs]
Meltdown and Spectre fallout: patching problems persist - [ZDNet]
Linux vs Meltdown: Ubuntu gets second update after first one fails to boot - [ZDNet]
Major Linux distros have Meltdown patches, but that’s only part of the fix (ZDNet)
- [TechRepublic]
Legislation/Politics/Policies/Regulations/Law Enforcement/Trials
Summaries
- macOS의 스파이웨어 Fruitfly 제작자가 기소되었다. 스크린샷 캡쳐와 웹캠 촬영으로 사용자들을 감시할 수 있는 기능을 가진 악명높은 악성코드가 작년에 기사화 된 일이 있었다. Digita Security의 Patrick Wardle에 의해 발견된 이 악성코드는 Fruitfly 혹은 Quimitchin이라는 이름으로 불린다. 이 악성코드는 십여년간 사람들을 감시해왔다. FBI에 의핸 수년간의 수사끝에 이 악성코드의 제작자가 기소되었다. 오하이오(Ohio) 연방 법원에서 Phillip R. Durachinsky가 Fruitfly의 제작자이며, 이 악성코드를 거의 13년간 사용해 왔다는 내용의 기소장이 제출되었다. 이 기간동안 수천대의 컴퓨터를 감염시키고 수백만장의 사진을 훔쳤다.
Detailed News List
- Fruitfly
- [HackRead]
Man used Fruitfly Mac malware to spy on US citizens for 13 years - [HelpNetSecurity]
Alleged Fruitfly macOS spyware author indicted - [SecurityWeek]
Mac Malware Creator Indicted in U.S. - [VirusBulletin]
Alleged author of creepy FruitFly macOS malware arrested - [InfoSecurityMagazine]
Fruitfly Malware Creator Allegedly Spied on Victims for 13 Years - [BankInfoSecurity]
Malware Writer Allegedly Spied on Computers for 13 Years - [TheHackerNews]
macOS Malware Creator Charged With Spying on Thousands of PCs Over 13 Years - [TripWire]
Malware Dev Charged with Spying on “Thousands” of Users for 13 Years
- [HackRead]
Privacy
Summaries
- 마이크로소프트가 Skype에서의 대화에 새로운 종단간(end-to-end) 암호화를 도입했다. Skype가 비밀대화(Private Conversations)이라는 이름으로, Signal과의 파트너십을 통해 종단간(end-to-end) 암화회 기능을 제공한다. Signal의 암호화 프로토콜을 사용해 비밀 대화(encrypted chat) 및 파일 교환, 음성 녹음 메시지를 교환할 수 있다. 여기에 음성통화 및 영상통화(audio and video calls)는 해당되지 않는다.
Detailed News List
- Microsoft Skype
Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS
Summaries
- 주요 스카다(SCADA, Supervisory Control And Data Acquisition)시스템의 모바일 앱에서 보안 취약점이 발견되었다. 2년 전, 산업제어시스템(ICS, Industrial Control Systems)의 소프트웨어 및 하드웨어에서 취약점을 찾은바 있는데, 이번에는 스카다 모바일 앱에 대한 연구를 진행했다. IOActive와 Embedi에 소속된 이들이 34개 제조사의 SCADA 모바일 어플리케이션에 대한 조사 결과, 그들 중 대다수에서 취약점들이 발견되었다. 분석 대상 어플리케이션들은 구글 플레이에 등록되어있는 앱들 중에서 34개가 임의로 선택되었다.
Detailed News List
- SCADA APPs
- [SecurityWeek]
Security Flaws Found in Majority of SCADA Mobile Apps - [DarkReading]
Vulnerable Mobile Apps: The Next ICS/SCADA Cyber Threat - [TheRegister]
Everything running smoothly at the plant? *Whips out mobile phone* Wait. Nooo… - [HelpNetSecurity]
Researchers uncover major security vulnerabilities in ICS mobile applications
- [SecurityWeek]
Technologies/Technical Documents/Statistics/Reports
Summaries
- Let’s Encrypt이 하이재킹이 공격이 가능한 것을 확인하고 TLS-SNI-01 Validation을 중단했다. 무료 SSL 및 TLS 인증서를 웹마스터에게 제공하는 인증기관인 Let’s Encrypt는 보안 연구가로부터 TLS-SNI-01 시스템이 악용될 수 있다는 리포트를 받았다. 공유 호스팅(shared hosting) 인프라구조 및 네트워크에서 소유하지 않은 도메인에 대한 인증서를 취득할 수 있다.
Detailed News List
- Let’s Encrypt