Security Newsletters, 2018 Jan 24th, DNS Rebinding Attacks 취약점 外

Posted on 2018-01-24 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

터키 국방 계약자^{(contractors)}를 대상으로한 스피어 피싱 캠페인이 벌어지고 있다. RiskIQ에 따르면, 가해자는 2017년 11월 이래로 Memcos라는 이름의 원격 접근 트로이^{(RAT, Remote Access Trojan)}를 다운로드하는 무기화^(weaponized)된 문서를 사용해 기관내 여러사람을 공격 대상으로 삼아왔다. Remcos는 키 입력을 기록하고, 스크린샷을 생성하거나, 웹캠과 마이크를 사용해 오디오나 비디오를 녹음, 녹화하고 프로그램을 설치 또는 제거하며 파일을 관리할 수 있다. 그리고 SOCKS5 프록시 기능이 있어 피해자를 프록시로 만들어 실제 C2 서버를 숨기는 데 사용할 수 있다.
사이버 스파이 캠페인이 악성코드에 감염된 메시징 앱을 사용해 20개국 이상에서 정치적 활동가^(activists), 군인, 변호사, 언론인, 그리고 기타 개인들의 스마트폰 데이터를 훔쳐왔다는 리포트가 공개되었다. 이 캠페인은 전 세계의 다중 플랫폼을 노린 공격이다. Dark Caracal이라 명명된 이 APT^{(Advenced Persistent Threat)} 캠페인은 개인정보 및 지적재산등을 포함한 수백기가바이트의 데이터를 21개 이상의 국가들과 수천의 피해자들로부터 훔쳤다고 리포트에서 공개되었다. Dark Caracal은 90개의 침해지표^{(IOC, Indicator of Compromise)}와 연관되는 다중 플랫폼 공격이다. 리포트에 포함된 IOC 90개 중 26개는 데스크톱 악성코드 침해지표이며, 11개의 안드로이드 악성코드 IOC, 60개의 도메인/IP 기반 IOC다. (19일에서 이어짐)

Detailed News list

Turkish
- _{[InfoSecurityMagazine]}
  Espionage Campaign Sets Sites on Turkish Defense Contractors
Dark Caracal
- _{[DarkReading]}
  Dark Caracal Campaign Breaks New Ground with Focus on Mobile Devices

Malwares

Summaries

사토리^(Satori) IoT 봇넷 제작자가 새로운 미라이^(Mirai) 변종인 Masuta와 관련이 있는 것으로 추정된다. NewSky Security의 연구자들은, 사토리^(Satori) 혹은 Mirai Okiru라 불리는 미라이 변종의 배후에 있는 해커가 새로운 두개의 미라이 변종인 Masuta와 PureMasuta의 배후와 동일인인 것으로 추정했다.
새로운 샘샘^(SamSam) 랜섬웨어 캠페인의 피해 병원에서 5만 5천달러의 몸값을 지불했다. SamSam 랜섬웨어는 2015년에 탐지된 오래된 악성코드이지만 최근까지도 피해는 이어지고 있다. SamSam 랜섬웨어 피해대상 중에는 MedStar라는 발티모어와 워싱턴 지역의 10개의 병원을 관리하는 비영리 그룹이 있는데, 이 공격의 배후는 MedStar에 암호화된 자료 복구 비용으로 45비트코인을 요구하기도 했다. 이 악성코드는 최근의 여러 병원들의 침해에 사용되었고, 그중 하나인 Hancock Health hospital에서는 55,000달러의 몸값을 지불하기로 결정했다. (22일에서 이어짐)

Detailed News List

Masuta
- _[ThreatPost]
  Satori Author Linked to New Mirai Variant Masuta
SamSam
- _{[SecurityWeek]}
  SamSam Operators Make $325,000 in 4 Weeks

Exploits/Vulnerabilities

Summaries

블리자드^(Blizzard)의 게임들에서 해커들이 수백만대의 PC를 위협에 노출 시킬 수 있는 ^{DNS Rebinding}취약점이 발견되었다. 구글 프로젝트 제로 팀의 Tavis Ormandy가 새롭게 발견한 취약점을 발표했다. 이번엔, 블리자드의 게임들에서 원격 공격자가 악성코드를 게임 사용자의 컴퓨터에서 실행시킬 수 있는 취약점이다. 블리자드 게임을 하기 위해서 Blizzard Update Agent를 설치하면, 이 어플리케이션은 JSON-RPC 서버를 HTTP 프로토콜을 사용해 포트 1120에서 실행시키고, 이를 통해 설치/제거/설정변경/업데이트 및 기타 관리 명령을 입력받는다. Ormandy는 이 Blizzard Update Agent가 DNS Rebinding 공격에 취약한 것을 시연했는데, 어떤 웹사이트든 해당 웹사이트가 권한을 가진 DNS 레코드를 localhost로 resolve 되도록 만들어 공격할 수 있다.
플레이스테이션^{(PlayStation)}4를 해킹해 PS2 에뮬레이터 및 홈브루 소프트웨어를 실행시킬 수 있다. Resetera.com의 한 사용자가 PS4 4.05의 해킹버전에 대한 정보를 올렸다. 이 정보를 올린 DanteLinkX에 따르면, PS4 파일들을 .pkg 포맷으로 덤프하거나 로드 하고, 이들을 펌웨어버젼 4.05에서 불러올 수 있다. 그리고 4.05버젼과 호환되는 덤프들 여럿이 인터넷에서 확산되고 있다. DanteLinkX는 펌웨어 5.01에 대한 해킹도 진행중이라 밝혔다.
일렉트론^(Electron) 프레임워크에서 심각한 취약점이 발견되었다. 일렉트론은 Skype나 Slack과 같은 유명 어플리케이션을 제작하는데 사용된 프레임워크다. 이 프레임워크에서 심각한 원격 코드 실행 취약점^{(remote code execution vulnerability)}이 발견되었다. 이 앱들은 윈도우즈에서 실행되고, myapp://과 같은 프로토콜에 대한 기본 핸들러로 앱 자신을 등록했을 때 취약하다. 이 취약점은 CVE-2018-1000006 번호가 부여되었다.
우버에서 Two-factor 인증을 무용지물로 만들수 있는 버그를 무시했다는 기사가 나왔다. ZDNet의 보도에 따르면, 우버는 공격자가 사용자 계정에 Two-factor 인증을 우회해 침입할 수 있는 취약점을 “특별히 심각하지 않다”는 이유로 무시했다. 우버는 2015년에 Two-factor 인증을 시스템 내에서 테스트하기 시작했다. 뉴델리^{(New Delhi)}의 보안 연구가 Karan Saini가 이 Two-factor 인증을 우회할 수 있는 버그를 찾아 우버의 버그바운티 관리 업체인 HackerOne에 제보했다. 그러나 이 리포트는 즉각 거절당했고, ‘정보’로 분류되었다. 여기서 ‘정보’란 유용한 정보가 포함되어 있으나, 즉각적인 조치나 수정이 필요하지 않다는 의미다. (22일에서 이어짐)
Meltdown/Spectre와 이에대한 패치, 그리고 패치에 의한 성능 문제에 대한 기사가 계속해서 이어지고 있다.

Detailed News List

Blizzard
- _[CSOOnline]
  Hackers could have exploited flaw in all Blizzard games
- _[CSOOnline]
  Hackers could have exploited flaw in all Blizzard games to hijack millions of PCs
- _{[SecurityAffairs]}
  Google hacker found a critical flaw in Blizzard Games that expose millions of PCs to DNS Rebinding attacks
- _{[TheHackerNews]}
  Critical Flaw in All Blizzard Games Could Let Hackers Hijack Millions of PCs
PS4 hacked
- _[HackRead]
  PlayStation 4 hacked to run PS2 emulation & homebrew software
Electron Framework
- _[CyberScoop]
  Severe Electron framework vulnerability impacts apps like Skype and Slack
Uber
- _[HackRead]
  Uber dismissive about security flaw that lets hackers bypass its 2FA
- _{[InformationSecurityBuzz]}
  Security Flaw Ignored By Uber That Renders “
Meltdown/Spectre
- _{[SecurityWeek]}
  HP, Dell Halt BIOS Updates Over Buggy CPU Patches
- _{[DarkReading]}
  Meltdown, Spectre Patches, Performance & My Neighbor’s Sports Car
- _[ZDNet]
  In security update, Apple backports Meltdown fix to older macOS versions
- _{[DarkReading]}
  Fallout from Rushed Patching for Meltdown, Spectre
- _{[SecurityAffairs]}
  Intel recommended to stop deploying the current versions of Spectre/Meltdown patches
- _[ThreatPost]
  Intel Halts Spectre/Meltdown Patching for Broadwell and Haswell Systems
- _[CSOOnline]
  How bad are Meltdown and Spectre?
- _{[HelpNetSecurity]}
  Intel testing new Spectre fixes, tells everyone to hold off on deploying current firmware updates
- _{[BankInfoSecurity]}
  Intel: Stop Installing Patches Due to Reboot Problems
- _{[TheHackerNews]}
  Intel Warns Users Not to Install Its ‘Faulty’ Meltdown and Spectre Patches
- _{[SecurityAffairs]}
  Linus Torvalds calls the Linux Spectre patches “UTTER GARBAGE”
- _[ZDNet]
  Intel: Stop firmware patching until further notice

Vulnerability Patches/Software Updates

Summaries

애플이 보안 업데이트를 릴리즈했다.
모질라에서 보안 업데이트를 릴리즈했다.

Detailed News List

Apple
- _[US-CERT]
  Apple Releases Multiple Security Updates
Mozilla
- _{[TheRegister]}
  It’s 2018 and… wow, you’re still using Firefox? All right then, patch these horrid bugs
- _[US-CERT]
  Mozilla Releases Security Updates

Privacy

Summaries

안드로이드의 소닉^(Sonic) 게임 앱이 데이터를 유출하고 있다는 기사가 나왔다. 세가^(Sega)는 이러한 주장에 대해 조사중이라 밝혔다. 보안 기업인 Pradeo에서 지난주에 안드로이드 게임 Sonic Dash, Sonic the Hedgehog Classic, Sonic Dash 2: Sonic Boom앱이 사용자의 위치 데이터 및 장치 정보를 유출한다고 밝혔다. 구글 플레이스토어 에서 제공하는 다운로드 수치정보로 봤을 때, 대략 1억 200만명 에서 6억명의 사용자에 영향이 있을 것으로 보인다. (23일에서 이어짐)

Detailed News List

Sonic
- _{[InfoSecurityMagazine]}
  Sonic the Hedgehog Apps Leak Data
- _{[GrahamCluley]}
  Sonic the Hedgehog accused of leaking Android users’ data
- _{[SecurityAffairs]}
  Three Sonic apps in the Google Play are leaking data to uncertified servers

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

해커가 고객을 속이기 위해서 주유기^{(gas pump)}를 감염시키는 사건이 일어났다. 러시아 당국이 주유소에서 주유기에 소프트웨어 프로그램을 이용해 실제 주유한 양 보다 더 많이 돈을 지불하게 하여 고객들 속이는 사기행위들을 적발했다. 토요일에 러시아의 FSB^{(Federal Security Service)}가 해커 Denis Zayev를 체포했다. 주유소 고객들을 속이는 여러 프로그램들을 만든 혐의다. (22일에서 이어짐)

Detailed News List

Gas Pump
- _{[NakedSecurity]}
  Gas pump malware tricks customers into paying for more than they pump

Crypto Currencies/Crypto Mining

Summaries

해커들이 암호화폐 ICO로부터 4억달러 가량을 훔쳤다는 리포트가 나왔다. Ernst & Young의 새로운 보고서에서, 모든 펀드의 약 10% 이상이 도난 당하거나 분실되었다. 이는 2015년에서 2017년 사이의 37억 달러 펀딩 중 거의 400만 달러에 해당하는 규모다.
가짜 암호화폐 사기에서 랜섬웨어를 유포한 것이 확인되었다. Fortinet의 연구자들이 새로운 랜섬웨어 사기를 탐지했다. 이 사기에서 해커들은 새로운 암호화폐 ‘스프라이트코인^(SpriteCoin)‘을 소개하며 피해자들에게 지갑 파일을 다운로드하고 비밀번호를 생성하라고 속였다. 이 지갑 설치파일은 윈도우즈 기반의 컴퓨터를 감염시키는 악성코드 였으며, 시스템의 파일들을 암호화 시키고 잠긴 파일들의 암호를 푸는것에 대해 몸값을 오구한다.

Detailed News List

ICO
- _[ZDNet]
  Hackers steal almost $400M from cryptocurrency ICOs
SpriteCoin
- _[HackRead]
  SpriteCoin cryptocurrency ransomware spy on user, steal saved passwords
- _[ZDNet]
  Fake cryptocurrency scam delivers ransomware – and more malware when you pay up
- _{[HelpNetSecurity]}
  Fake cryptocurrency wallet carries ransomware, leads to spyware

Security Newsletters, 2018 Jan 23rd, Turla Neuron, Nautilus 업데이트 外

Posted on 2018-01-23 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

Turla로 명명된 APT그룹과 관련된 것으로 추정되는 Neuron과 Nautilus 악성코드 변종이 침해당한 네트워크에 침입해 스파이행위를 몰래 수행하는 기능을 업데이트 했다. Neuron과 Nautilus는 정기적으로 정부, 군사, 기술, 에너지, 기타 기업들을 포함한 다양한 목표들을 대상으로 사이버 스파이 행위를 수행하는 악성코드다. 작년 한 해동안 이 그룹은 특히 대사관 및 영사관을 포함한 외교 관련 대상들을 목표로 삼은 것으로 드러났다.
사이버 스파이 캠페인이 악성코드에 감염된 메시징 앱을 사용해 20개국 이상에서 정치적 활동가^(activists), 군인, 변호사, 언론인, 그리고 기타 개인들의 스마트폰 데이터를 훔쳐왔다는 리포트가 공개되었다. 이 캠페인은 전 세계의 다중 플랫폼을 노린 공격이다. Dark Caracal이라 명명된 이 APT^{(Advenced Persistent Threat)} 캠페인은 개인정보 및 지적재산등을 포함한 수백기가바이트의 데이터를 21개 이상의 국가들과 수천의 피해자들로부터 훔쳤다고 리포트에서 공개되었다. Dark Caracal은 90개의 침해지표^{(IOC, Indicator of Compromise)}와 연관되는 다중 플랫폼 공격이다. 리포트에 포함된 IOC 90개 중 26개는 데스크톱 악성코드 침해지표이며, 11개의 안드로이드 악성코드 IOC, 60개의 도메인/IP 기반 IOC다. (19일에서 이어짐)

Detailed News list

Turla updates malwares against UK
- _[ZDNet]
  This hacking gang just updated the malware it uses against UK targets
Dark Caracal
- _[CSOOnline]
  Dark Caracal: Hacking group targets Android smartphones

Malwares

Summaries

Zyklon이라는 HTTP 악성코드를 유포하는 스팸 캠페인이 벌어지고 있다. 이 악성코드는 Microsoft Office 취약점 세개를 공격한다. 이 공격은 통신, 보험, 금융 서비스 기관을 대상으로 벌어지고 있다. 이 공격을 탐지해낸 FireEye 연구원들에 따르면, 공격자들은 비밀번호 및 암호화폐 지갑 정보를 수집하는 중이다. 공격은 여러종류의 DOC 파일을 포함한 악성 ZIP 첨부파일로 시작된다. 이 파일은 최종적으로 세 개의 Microsoft Office 취약점을 공격한다. 각각의 취약점은 CVE-2017-8759, CVE-2017-11882, 세번째는 Dynamic Data Exchange^(DDE) 기능이다. (18일에서 이어짐)
새로운 샘샘^(SamSam) 랜섬웨어 캠페인의 피해 병원에서 5만 5천달러의 몸값을 지불했다. SamSam 랜섬웨어는 2015년에 탐지된 오래된 악성코드이지만 최근까지도 피해는 이어지고 있다. SamSam 랜섬웨어 피해대상 중에는 MedStar라는 발티모어와 워싱턴 지역의 10개의 병원을 관리하는 비영리 그룹이 있는데, 이 공격의 배후는 MedStar에 암호화된 자료 복구 비용으로 45비트코인을 요구하기도 했다. 이 악성코드는 최근의 여러 병원들의 침해에 사용되었고, 그중 하나인 Hancock Health hospital에서는 55,000달러의 몸값을 지불하기로 결정했다. (22일에서 이어짐)
Dridex 뱅킹 트로이의 새로운 변종이 FTP 서버를 이용해 확산중이다. 공격자는 침해당한 FTP사이트를 사용해 악성문서를 호스팅한다. 이번에 탐지된 피싱 캠페인은 이번주 초 발생해 약 7시간정도 지속되었다. 이 공격의 주 공격 목표는 프랑스, 영국, 호주 사용자들이었다. 이 피싱 캠페인에 사용된 이메일은 악성 파일을 호스팅하는 FTP 서버로의 링크를 포함하고 있었다. 이 FTP 링크들은 DOC나 XLS 파일을 다운로드하게 되어있고, 악성 DOC 파일이 열리면 마이크로소프트 오피스의 DDE^{(Dynamic Data Exchange)} 기능을 사용해 Dridex payload를 다운로드 받게 된다. XLS 파일은 Dridex를 다운로드하는 매크로가 포함되어 있다. (20일에서 이어짐)
ARC CPU기반의 장치들을 노리는 새로운 사토리^(Satori) 봇넷에 대한 기사가 이어졌다. ARC CPU는 IoT 장치에 사용되어 1년에 10억개 이상의 장비가 생산되고있어 IoT 봇넷 감염에 있어 큰 변화가 있을 것이란 예측이다. (15일에서 이어짐)

Detailed News List

Zyklon
- _{[InformationSecurityBuzz]}
  Zyklon Targets Msoft With Backdoor Malware To Steal Data, Launch DDoS Attacks
SamSam
- _{[SecurityWeek]}
  SamSam Ransomware Attacks Hit Healthcare Firms
- _[Talos]
  SamSam – The Evolution Continues Netting Over $325,000 in 4 Weeks
Dridex
- _{[BankInfoSecurity]}
  Dridex Banking Trojan Phishing Campaign Ties to Necurs
- _{[TheRegister]}
  Dridex redux, with FTP serving the nasties
Satori Botnet
- _{[DarkReading]}
  Satori Botnet Malware Now Can Infect Even More IoT Devices

Exploits/Vulnerabilities

Summaries

우버에서 Two-factor 인증을 무용지물로 만들수 있는 버그를 무시했다는 기사가 나왔다. ZDNet의 보도에 따르면, 우버는 공격자가 사용자 계정에 Two-factor 인증을 우회해 침입할 수 있는 취약점을 “특별히 심각하지 않다”는 이유로 무시했다. 우버는 2015년에 Two-factor 인증을 시스템 내에서 테스트하기 시작했다. 뉴델리^{(New Delhi)}의 보안 연구가 Karan Saini가 이 Two-factor 인증을 우회할 수 있는 버그를 찾아 우버의 버그바운티 관리 업체인 HackerOne에 제보했다. 그러나 이 리포트는 즉각 거절당했고, ‘정보’로 분류되었다. 여기서 ‘정보’란 유용한 정보가 포함되어 있으나, 즉각적인 조치나 수정이 필요하지 않다는 의미다. (22일에서 이어짐)
Meltdown/Spectre와 이에대한 패치, 그리고 패치에 의한 성능 문제에 대한 기사가 계속해서 이어지고 있다.

Detailed News List

Uber
- _{[NakedSecurity]}
  Uber hit with criticism of “useless” two-factor authentication
- _[TripWire]
  Uber Reportedly Ignored Security Flaw That Grants Hackers Access to User Accounts
Meltdown/Spectre
- _{[SecurityWeek]}
  Intel Halts Spectre, Meltdown CPU Patches Over Unstable Code
- _{[DarkReading]}
  Intel Says to Stop Applying Problematic Spectre, Meltdown Patch
- _{[TheRegister]}
  ‘WHAT THE F*CK IS GOING ON?’ Linus Torvalds explodes at Intel spinning Spectre fix as a security feature
- _[CyberScoop]
  Intel tells customers to skip buggy patches for Spectre and Meltdown
- _[ZDNet]
  Spectre and Meltdown: Linux creator Linus Torvalds criticises Intel’s ‘garbage’ patches
- _{[SecurityWeek]}
  Red Hat Pulls Spectre Patches Due to Instability
- _{[TheRegister]}
  Meltdown/Spectre week three: World still knee-deep in something nasty

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

Skype, Google, Pokemon Go를 대상으로 분산서비스거부^(DDoS) 공격을 실행했던 남성이 징역형을 선고받았다. 21세의 영국 남성인 Alex Bessell이 구글, 스카이프, 닌텐도의 유명 비디오게임인 포켓몬 고 등의 서비스에 장애를 일으키려한 100회 이상의 컴퓨터 범죄에 대해 시인한 후, 2년의 징역형을 선고받았다. Alex Bessell은 무단으로 컴퓨터에 접근하고, 운영을 방해하고, 악성코드를 제작 및 유포, 돈세탁에 관여한 혐의에 대해 유죄를 인정했다.

Detailed News List

DDoS
- _{[GrahamCluley]}
  Jail for man who launched DDoS attacks against Skype, Google, and Pokemon Go
- _[ZDNet]
  Hacker jailed for DDoS attacks against Skype and Google

Privacy

Summaries

안드로이드의 소닉^(Sonic) 게임 앱이 데이터를 유출하고 있다는 기사가 나왔다. 세가^(Sega)는 이러한 주장에 대해 조사중이라 밝혔다. 보안 기업인 Pradeo에서 지난주에 안드로이드 게임 Sonic Dash, Sonic the Hedgehog Classic, Sonic Dash 2: Sonic Boom앱이 사용자의 위치 데이터 및 장치 정보를 유출한다고 밝혔다. 구글 플레이스토어 에서 제공하는 다운로드 수치정보로 봤을 때, 대략 1억 200만명 에서 6억명의 사용자에 영향이 있을 것으로 보인다.

Detailed News List

Sonic games
- _[ZDNet]
  Sega investigating claims Android Sonic games are leaking data
- _[ThreatPost]
  Popular Sonic the HedgeHog Apps at Risk of Leaking User Data to Unverified Servers

Data Breaches/Info Leakages

Summaries

데이터 침해사고로 거의 절반에 이르는 노르웨이 시민들의 헬스케어 데이터가 유출되었다. 신원이 알려지지 않은 해커 혹은 해커 그룹이 Health South-East Regional Health Authority^(RHF)의 시스템에 침입해 290만 명의 개인정보 및 의료기록을 훔쳤다. 전체 인구 520만명 가운데 290만명의 정보가 유출되었다. Health South-East RHA는 노르웨이의 남동지역에 위치한 병원들을 관리하는 헬스케어 기관이다.
유명 해킹그룹 Crackas with Attitude^(CWA)의 리더가 15세 학생으로 밝혀졌다. CWA는 미국의 국가정보국장^{(Director of National Intelligence)} 제임스 클래퍼^{(James Clapper)}의 버라이즌 My FiOS 계정과, CIA 국장 존 브레넌^{(John Brennan)}의 AOL의 계정, 오바마의 수석 고문^{(senior advisor)} 존 홀드렌^{(John Holdren)}과 FBI 부국장^{(Deputy director)} 마크 줄리아노^{(Mark Giuliano)}의 이메일 계정을 해킹했던 해커들이다. 이 해킹그룹은 JABS^{(Joint Automated Booking System)}이라는 연방정부의 사법기관들의 체포 기록들을 관리하는 비밀 포털을 침해하기도 했다. 2016년 9월, FBI는 두명의 CWA 해커 Otto Boggs와 Justin Gray Liverman을 체포한바 있다. 이번에는 이 그룹의 창시자인 15세의 Kane Gamble이 Leicester Crown 법정에 화요일에 출두해, 갬블이 어떻게 CIA 국장인 존 브레넌으로 위장했으며 브레넌 부인의 iPad를 해킹하고 군사 및 전략 문서에 접근할 수 있었는지가 드러났다. 게다가 갬블은 브레넌으로 위장해 이라크와 아프가니스탄에서의 첩보작전에 관련된 비밀 데이터를 손에 넣었으며, 거기에는 개인정보 및 연락책 목록, 보안 디테일, 비밀번호도 포함되어 있었다. (21일에서 이어짐)
스마트폰 제조사 원플러스^(OnePlus)가 고객 신용카드 정보가 침해당한 사실을 인정했다. 원플러스 공식사이트에서 기기를 구매한 4만여명의 고객들의 신용카드 정보가 유출되었다. (22일에서 이어짐)

Detailed News List

Norway Citizen Healthcare Data
- _{[EHackingNet]}
  Nearly Half Million Norway’s Citizen Healthcare Data Exposed in a Breach
- _{[InfoSecurityMagazine]}
  Half of Norway’s Population May Have Been Breached
- _{[InformationSecurityBuzz]}
  2.9 Million Norwegians Healthcare Data Allegedly Breached
- _{[TheHackerNews]}
  Nearly Half of the Norway Population Exposed in HealthCare Data Breach
Crackas With Attitude
- _{[HelpNetSecurity]}
  British teenager hacked top ranking US officials using social engineering
- _{[SecurityWeek]}
  UK Teen Gained Access to CIA Chief’s Accounts: Court
OnePlus
- _{[SecurityWeek]}
  40,000 Potentially Impacted in OnePlus Payment System Hack
- _{[WeLiveSecurity]}
  Up to 40,000 OnePlus customers potentially hit by credit card hack

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

산업제어시스템^{(ICS, Industrial control systems)} 환경에서의 PC나 서버에서 소프트웨어를 동작시키기 위해 사용하는 라이센스 관리 소프트웨어^{(license management software)}에서 여러 심각한 취약점들이 발견되었다. 카스퍼스키랩의 ICS CERT 연구자들에 따르면, Hardware Against Software Piracy^(HASP)라는 라이센스 관리 시스템에서 발견된 14개의 취약점은 라이센스 관리용 USB 토큰이 사이버 공격의 원격 접근 채널로 사용될 수 있다는 의미다. 발견된 취약점에는 다수의 서비스거부(DoS, Denial of service) 취약점과 여러 원격 코드 실행^{(Remote code execution)} 취약점들이 포함된다.
해커가 고객을 속이기 위해서 주유기^{(gas pump)}를 감염시키는 사건이 일어났다. 러시아 당국이 주유소에서 주유기에 소프트웨어 프로그램을 이용해 실제 주유한 양 보다 더 많이 돈을 지불하게 하여 고객들 속이는 사기행위들을 적발했다. 토요일에 러시아의 FSB^{(Federal Security Service)}가 해커 Denis Zayev를 체포했다. 주유소 고객들을 속이는 여러 프로그램들을 만든 혐의다. (22일에서 이어짐)

Detailed News List

ICS
- _{[InfoSecurityMagazine]}
  14 Flaws in Popular Software Are Putting ICS at Risk
Gas Station in Russia
- _{[SecurityAffairs]}
  Hacker infected pumps at gas-stations in Russia in a profitable fraud scheme

Security Newsletters, 2018 Jan 19th, 전세계 대상 다중 플랫폼 공격 Dark Caracal 外

Posted on 2018-01-19 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

Group123 이라 명명된 새로운 해킹그룹이 탐지되었다. 시스코에 따르면, 이 그룹은 2017년부터 2018년 새해까지 Golden Time, Evil New Year, Are You Happy?, Free Milk, North Korean Human Rights, Evil New Year 2018 여섯 건의 캠페인을 벌였다. 이중 네 건은 한컴 한글 오피스 형식의 악성코드 문서를 첨부한 스피어피싱으로 대한민국내 대상을 공격했다. 이 문서들은 ROKRAT 원격 관리 툴^{(RAT, Remote Administration Tool)}을 설치한다.
사이버 스파이 캠페인이 악성코드에 감염된 메시징 앱을 사용해 20개국 이상에서 정치적 활동가^(activists), 군인, 변호사, 언론인, 그리고 기타 개인들의 스마트폰 데이터를 훔쳐왔다는 리포트가 공개되었다. 이 캠페인은 전 세계의 다중 플랫폼을 노린 공격이다. Dark Caracal이라 명명된 이 APT^{(Advenced Persistent Threat)} 캠페인은 개인정보 및 지적재산등을 포함한 수백기가바이트의 데이터를 21개 이상의 국가들과 수천의 피해자들로부터 훔쳤다고 리포트에서 공개되었다. Dark Caracal은 90개의 침해지표^{(IOC, Indicator of Compromise)}와 연관되는 다중 플랫폼 공격이다. 리포트에 포함된 IOC 90개 중 26개는 데스크톱 악성코드 침해지표이며, 11개의 안드로이드 악성코드 IOC, 60개의 도메인/IP 기반 IOC다.
FancyBear 혹은 APT28, Pawn Storm, Sofacy, Group 74, Sednit, Tsar Team, Strontium으로 알려진 사이버 스파이 그룹이 전 세계의 정치 관련 기관들을 공격하고 있다. 2015년 부터 이 그룹은 프랑스, 독일, 몬티네그로^(Montenegro), 터키, 우크라이나, 미국의 정치관련 기구에 대한 공격에 연관되어왔다.

Detailed News list

Group 123
- _{[InfoSecurityMagazine]}
  New Attack Group Fires RATs and Disc Wipers at Targets
- _{[SecurityAffairs]}
  North Korea Group 123 involved in at least 6 different hacking campaigns in 2017
Dark Caracal
- _{[SecurityWeek]}
  Booby-Trapped Messaging Apps Used for Spying: Researchers
- _[ThreatPost]
  Sprawling Mobile Espionage Campaign Targets Android Devices
- _{[TheRegister]}
  Investigation outs Dark Caracal, the high-tech spying network for hire to governments
Russia-Linked Attacks
- _{[SecurityWeek]}
  Russia-Linked Attacks on Political Organizations Continue

Malwares

Summaries

Satori, Satori Okiru 그리고 ARC CPU를 노리는 Satori 변종까지 간단히 비교 요약한 기사가 나왔다.
페이스북 비밀번호를 훔치고 팝업 광고를 뿌리는 악성 앱이구글 플레이 스토어에서 발견되었다. 코드내에서 발견된 문자열에 따라 고스트팀^GhostTeam이라 명명된 이 악성 앱은 트렌드마이크로가 탐지했다. 악성코드가 처음 공개된 것은 2017년 4월이었고, 공식 안드로이드 마켓플레이스에서 퍼포먼스 부스터, 소셜미디어 비디오 다운로더와 같은 유틸리티 앱으로 위장했다. 총 53개의 어플리케이션이 GhostTeam 악성코드를 유포하는 것으로 확인되었다.
최근 Triton 혹은 Trisis라 명명된, 주요 인프라 기관에서 사용하는 Schneider Electric의 Triconex Safety Instrumented System 컨트롤러의 제로데이 취약점을 공격하는 악성코드가 발견되었다. 이 악성코드는 산업제어시스템^{(ICS, Industrial Control Systems)}을 목표로 설계되었고, 중동의 한 기관에 작동중단 사태를 일으킨 후 발견되었다. 트라이톤^(Triton)은 Tchneider Electric Triconex SIS 장치를 목표로 설계되었는데, 이 장치는 프로세스 상태를 모니터하며, 위험한 상황에서 안전하게 작업을 중단시키거나 안전 상태로 복원하는데에 사용된다.
Zyklon이라는 HTTP 악성코드를 유포하는 스팸 캠페인이 벌어지고 있다. 이 악성코드는 Microsoft Office 취약점 세개를 공격한다. 이 공격은 통신, 보험, 금융 서비스 기관을 대상으로 벌어지고 있다. 이 공격을 탐지해낸 FireEye 연구원들에 따르면, 공격자들은 비밀번호 및 암호화폐 지갑 정보를 수집하는 중이다. 공격은 여러종류의 DOC 파일을 포함한 악성 ZIP 첨부파일로 시작된다. 이 파일은 최종적으로 세 개의 Microsoft Office 취약점을 공격한다. 각각의 취약점은 CVE-2017-8759, CVE-2017-11882, 세번째는 Dynamic Data Exchange^(DDE) 기능이다. (18일에서 이어짐)
아주 정교하게 만들어진 안드로이드용 스파이웨어 ^Skygofree가 발견되었다. 카스퍼스키랩의 보안연구가들이 감염된 장치를 원격으로 완벽하게 제어할 수 있는 강력한 안드로이드 스파이웨어인 ^Skygofree의 새로운 변종을 탐지했다. ^Skygofree는 안드로이드 스파이웨어로 표적공격에 사용될 수 있으며, 전문가들에 따르면 지난 4년간 수많은 사람들이 이 스파이웨어에 감염되었다. 이 악성코드가 처음 발견된 것은 2014년이며, 지난 몇년동안 계속적으로 진화해왔다. (17일에서 이어짐)

Detailed News List

ARC
- [Arbor]
  The ARC of Satori
Facebook Password Stealing Apps
- _[TrendMicro]
  GhostTeam Adware can Steal Facebook Credentials
- _{[TheHackerNews]}
  Facebook Password Stealing Apps Found on Android Play Store
- _[ZDNet]
  This Android malware wants to steal your Facebook login and bombard you with ads
Triton
- _{[SecurityWeek]}
  Triton Malware Exploited Zero-Day in Schneider Electric Devices
- _[Cyberscoop]
  Schneider Electric: Trisis leveraged zero-day flaw, used a RAT
- _{[DarkReading]}
  Schneider Electric: TRITON/TRISIS Attack Used 0-Day Flaw in its Safety Controller System, and a RAT
Zyklon
- _{[InfoSecurityMagazine]}
  Zyklon Spreads Using Just-Patched Microsoft Vulns
- _{[SecurityAffairs]}
  Threat actors are delivering the Zyklon Malware exploiting three Office vulnerabilities
Skygofree
- _{[NakedSecurity]}
  SkyGoFree malware spies on your Android phone and your messages

Exploits/Vulnerabilities

Summaries

SMS 문자 하나로 iOS 및 macOS를 다운시킬 수 있는 버그가 발견되었다. 트위터의 cheesecakeufo (Abraham Masri)에 의해 공개된 이 버그는 Github의 링크가 포함되어 있는데, 이 링크를 애플의 메세지 앱을 통해 받을 경우 iOS 및 macOS의 메시지 어플리케이션이 중단^(crash)되며, 잠금화면으로 넘어가는 등의 반응이 일어날 수 있다.
BitTorrent 클라이언트인 Transmission에서 취약점이 발견되었다. 구글의 프로젝트제로^{(Project Zero)}연구가인 Tavis Ormandy가 Transmission BitTorrent Client에서 치명적인 원격 코드 실행 취약점을 발견했다. 수정안이 제시되었지만 아직 개발자에 의해 구현되지는 않았다. 연구가에 의하면, 공격자는 Transmission 클라이언트를 사용하는 공격대상자가 특별하게 만들어진 웹사이트에 접근하도록 해서 임의의 코드를 실행시킬 수 있다. (17일에서 이어짐)
Meltdown/Spectre와 이에대한 패치, 그리고 패치에 의한 성능 문제에 대한 기사가 계속해서 이어지고 있다.

Detailed News List

SMS bug
- _[HackRead]
  chaiOS “Text Bomb” Can Freeze & Crash Your iPhone
BitTorrent Flaw
- _{[EHackingNews]}
  BitTorrent flaw could let hackers take control of Pcs
Meltdown/Spectre
- _{[SecurityAffairs]}
  Meltdown and Spectre patches have a variable impact and can cause unwanted reboots, Intel warns
- _[ThreatPost]
  Intel Says Firmware Fixes for Spectre and Meltdown Affecting Newer Chips
- _{[SecurityWeek]}
  Intel Tests Performance Impact of CPU Patches on Data Centers
- _[ZDNet]
  Windows 10 Meltdown-Spectre patch: New updates bring fix for unbootable AMD PCs
- _[ZDNet]
  Meltdown-Spectre: Intel says newer chips also hit by unwanted reboots after patch
- _{[BankInfoSecurity]}
  Intel Confirms Fresh Spectre, Meltdown Patch Problems
- _{[TheRegister]}
  Industrial systems scrambling to catch up with Meltdown, Spectre

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

레바논 정부가 Dark Caracal 해킹 캠페인과 관련이 있는 것으로 나타났다.
전 고용주들과 비즈니스 경쟁자, 법 집행 기관을 대상으로 분산서비스거부^(DDoS) 공격을 한 뉴멕시코 남성이 유죄를 시인했다.
다크웹의 마약 딜러가 징역 80개월 형의 유죄를 선고받았다.

Detailed News List

Lebanese
- _[CyberScoop]
  Hackers linked to Lebanese government caught in global cyber-espionage operation
- _[NYTimes]
  Lebanese Intelligence Turned Targets’ Android Phones Into Spy Devices, Researchers Say
Man admits to DDoS attacks
- _{[DarkReading]}
  Man Admits to Directing DDoS Attacks Across the US
- _{[TheRegister]}
  Sad-sack Anon calling himself ‘Mr Cunnilingus’ online is busted for DDoSing ex-bosses
- _[ZDNet]
  Man pleads guilty to launching DDoS attacks against former employers
Drug Dealer
- _[HackRead]
  6 years jail time for ‘one of the largest’ dark web drug dealer
- _{[BankInfoSecurity]}
  Bitcoin-Amassing AlphaBay Drug Barons Get US Prison Time

Crypto Currencies/Crypto Mining

Summaries

Blackwallet 서비스가 DNS 하이재킹으로 해킹당해, 사용자들의 계정으로부터 400,000 달러가 도난당했다. BlackWallet.co가 1월 13일 DNS 하이재킹으로 공격을 받았다. 그결과 공격자들이 사용자의 계정에서 40만 달러를 빼냈다. (16일에서 이어짐)

Detailed News List

BlackWallet
- _{[NakedSecurity]}
  BlackWallet cryptocurrency site loses users’ money after DNS hijack

Technologies/Technical Documents/Statistics/Reports

Summaries

구글이 픽셀^(Pixel) 모바일 장치를 침해할 수 있는 익스플로잇 체인을 찾아낸 연구자에게 보상금으로 총 11만 2,500달러를 지급했다.

Detailed News List

Google Reward
- _[ZDNet]
  Google awards researcher over $110,000 for Android exploit chain
- _{[SecurityWeek]}
  Researchers Earn $100,000 for Hacking Pixel Phone
- _{[InfoSecurityMagazine]}
  Bug-Hunting Hackers Earn Top Dollar for Efforts

Security Newsletters, 2018 Jan 5th, 파이썬 PyCryptoMiner 봇넷 확산 外

Posted on 2018-01-05 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Exploits/Vulnerabilities

Summaries

인텔 칩에서 발견된 취약점에 대한 기사가 계속 이어지고 있다. Meltdown 혹은 Spectre로 명명된 이 취약점은, 이 취약점을 발견한 연구가에 의하면 1995년 이후의 거의 대부분의 시스템에 영향을 미친다. 커널 메모리를 읽을 수 있는것에 국한되는 것이 아니라, 대상 시스템의 전체 물리 메모리를 읽을 수 있다. 이 취약점은 지난 십여년간 만들어진 인텔 프로세서에서 구동하는 윈도우즈, 맥, 리눅스 운영체제에 영향을 미친다.
악명높은 분산서비스거부^{(DDoS, Distributed Denial of Service)}공격 악성코드인 미라이^(Mirai) 봇넷의 변종격인 사토리^(Satori) 봇넷의 화웨이^(Huawei) 라우터에 대한 익스플로잇 소스코드가 pastebin에 공개되었다. NewSky Security의 연구가에 따르면, 화웨이^(Huawei) 장치를 공격하는 사토리 봇넷의 소스코드가 크리스마스에 Pastebin에 공개되었다. 화웨이 라우터 장치를 공격하는 제로데이 코드로, 취약점 번호는 ^{CVE-2017-17215}다. (3일에서 이어짐)

Detailed News List

Intel Chip Flaw, a.k.a Meltdown and Spectre
- _[ZDNet]
  Apple confirms iPhone, Mac affected by Meltdown-Spectre vulnerabilities
- _[TrustWave]
  Overview of Meltdown and Spectre
- _[NYTimes]
  What You Need to Do Because of Flaws in Computer Chips
- _[CSOOnline]
  Spectre and Meltdown: What you need to know going forward
- _[US-CERT]
  TA18-004A: Meltdown and Spectre Side-Channel Vulnerability Guidance
- _[CyberScoop]
  Intel rushes to deploy firmware updates for critical CPU bug by end of next week
- _{[InformationSecurityBuzz]}
  Intel Chip Flaw
- _[ZDNet]
  Intel starts issuing patches for Meltdown, Spectre vulnerabilities
- _{[DarkReading]}
  Vendors Rush to Issue Security Updates for Meltdown, Spectre Flaws
- _[TripWire]
  Spectre and Meltdown: What you need to know
- _{[TheRegister]}
  Microsoft patches Windows to cool off Intel’s Meltdown – wait, antivirus? Slow your roll
- _[ZDNet]
  How Linux is dealing with Meltdown and Spectre
- _{[NakedSecurity]}
  F**CKWIT – the video!
- _{[HelpNetSecurity]}
  Intel issues updates to protect systems from Spectre and Meltdown
- _[McAfee]
  Decyphering the Noise Around ‘Meltdown’ and ‘Spectre’
- _[ThreatPost]
  Vendors Share Patch Updates on Spectre and Meltdown Mitigation Efforts
- _{[SecurityWeek]}
  Hackers Expected to Remotely Exploit CPU Vulnerabilities
- _{[VirusBulletin]}
  Meltdown and Spectre attacks mitigated by operating system updates
- _{[Malwarebytes]}
  Meltdown and Spectre: what you need to know
- _[CSOOnline]
  Meltdown & Spectre: Microsoft releases emergency patches, US-CERT says to replace CPU
- _{[SecurityAffairs]}
  Meltdown and Spectre attacks affect almost any processor, including Intel, ARM, AMD ones
- _{[HelpNetSecurity]}
  Meltdown and Spectre: Data theft hardware bugs affect most modern CPUs
- _{[BankInfoSecurity]}
  Meltdown and Spectre: Patches and Workarounds Appear
- _{[BankInfoSecurity]}
  Serious Meltdown and Spectre Flaws Make CPUs Exploitable
- _[TrendMicro]
  Fixing the Meltdown and Spectre vulnerabilities
- _{[SecurityWeek]}
  Tech Giants Address Critical CPU Vulnerabilities
- _{[TheRegister]}
  We translated Intel’s crap attempt to spin its way out of CPU security bug PR nightmare
- _{[InfoSecurityMagazine]}
  Major Chip Flaws Confirmed as “Meltdown” and “Spectre”
- _[ZDNet]
  Windows Meltdown-Spectre patches: If you haven’t got them, blame your antivirus
- _{[GrahamCluley]}
  Spectre? Meltdown? F*CKWIT? Calm down and make yourself some tea
- _{[KasperskyLab]}
  Two severe vulnerabilities found in Intel’s hardware
- _{[TheRegister]}
  Meltdown, Spectre: The password theft bugs at the heart of Intel CPUs
- _{[TheHackerNews]}
  Meltdown and Spectre CPU Flaws Affect Intel, ARM, AMD Processors
- _{[SecurityIntelligence]}
  CPU Vulnerability Can Allow Attackers to Read Privileged Kernel Memory and Leak Data
- _[US-CERT]
  Meltdown and Spectre Side-Channel Vulnerabilities
- _{[DarkReading]}
  Critical Microprocessor Flaws Affect Nearly Every Machine
- _[ZDNet]
  Google reveals trio of speculative execution flaws, says AMD affected
- _[CyberScoop]
  Meet ‘Meltdown’ and ‘Spectre,’ the chip flaws causing problems for nearly everyone
- _{[SecurityWeek]}
  Intel, AMD Chip Vulnerabilities Put Billions of Devices at Risk
- _[NYTimes]
  Researchers Discover Two Major Flaws in the World’s Computers
- _[ZDNet]
  Critical flaws revealed to affect most Intel chips since 1995
- _[ZDNet]
  Major Linux redesign in the works to deal with Intel security flaw
- _{[InfoSecurityMagazine]}
  Intel Flaw: Performance Degradation Bombshell or Massive Overstatement?
Satori
- _{[InformationSecurityBuzz]}
  Hackers Make Public Huawei Zero-Day Vulnerability For Free

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

NSA에서 근무했었던 해롤드 T마틴^{(Harold T.Martin)}이 NSA에서의 근무과정에서 기밀 문서를 잘못 취급한 것에 대해 유죄를 인정했다. 10년의 징역과 25만 달러의 벌금까지도 받을 수 있다.
중국의 가장 큰 소셜 미디어 네트워크 서비스인 위챗^(WeChat)이 국가 공식 전자ID 시스템이 된다. 파일럿 프로그램이 광저우의 Nansha 지방에서 실행될 예정이다. 텐센트 홀딩스에 따르면, 위챗은 지난 9월 기준으로 9억 8천만명의 월간 활성 사용자가 있다. 베이징 정부가 착수 한 이 프로젝트에서, 위챗을 공식 개인 인증 시스템으로 사용한다. (1일에서 이어짐)

Detailed News List

NSA
- _[CyberScoop]
  NSA contractor pleads guilty to charge of hoarding troves of classified docs
WeChat
- _[TechDirt]
  China Plans To Turn Country’s Most Popular App, WeChat, Into An Official ID System

Data Breaches/Info Leakages

Summaries

국토안전부^{(DHS, Department of Homeland Security)} 전/현직 직원 24만명의 개인 신상정보 침해가 발생했다. 국토안전부의 Office of the Inspector General^(OIG)의 전 직원이 승인받지 않은 DHS OIG 수사 케이스 관리 시스템^{(investigative case management system)}의 사본을 가지고 있었으며, 여기에는 전/현직 DHS 근무자들의 개인식별정보^{(personally identifiable information)}가 담겨 있었다는 것이다.

Detailed News List

DHS
- _[HackRead]
  Private Details of 240,000 DHS Employees Accessed after Data Breach
- _{[DarkReading]}
  DHS Discovers Privacy Incident Involving Former Employee
- _{[SecurityAffairs]}
  247,000 DHS current and former federal employees affected by a privacy incident
- _{[TheRegister]}
  US Homeland Security breach compromised personal info of 200,000+ staff
- _{[SecurityWeek]}
  247,000 DHS Employees Affected by Data Breach
- _[TripWire]
  240,000 Federal Employees’ PII Potentially Exposed in DHS Data Breach
- _{[InfoSecurityMagazine]}
  DHS Admits Major Leak Affecting 247,000 Employees
- _[ZDNet]
  240,000 Homeland Security employees, case witnesses affected by data breach
- _[CyberScoop]
  DHS confirms data breach affecting more than 240,000 current and former employees

Crypto Currencies/Crypto Mining

Summaries

파이썬_(Python) 스크립트로 작성된 암호화폐 채굴 봇넷 스크립트가 SSH를 통해 확산중이다. PyCryptoMiner라 명명된 이 봇넷은 최근 JBoss 서버 취약점^{(CVE-2017-12149)}을 스캔하는 기능을 추가했다. 이 봇넷 스크립트는 모네로 암호화폐를 채굴하는 용도로 만들어졌으며, 리눅스 장치들의 SSH 로그인 계정을 추측해 확산중이다. 추측기반 로그인 시도가 성공하면, C&C 서버에 접속해 추가적인 파이썬 코드를 다운로드하고 실행하는 base64로 인코딩된 파이썬 스크립트를 해당 장치에 설치하는 식으로 확산된다.

Detailed News List

Python Crypto-Miner Botnet
- _{[SecurityWeek]}
  Crypto-Miner Botnet Spreads over SSH
- _[ZDNet]
  PyCryptoMiner enslaves your PC to mine Monero