Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

• 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
• 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
• 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
• 번역된 한글 제목에 오역이 있을 수 있습니다.
• 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
• 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
• 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

• 터키 국방 계약자^{(contractors)}를 대상으로한 스피어 피싱 캠페인이 벌어지고 있다. RiskIQ에 따르면, 가해자는 2017년 11월 이래로 Memcos라는 이름의 원격 접근 트로이^{(RAT, Remote Access Trojan)}를 다운로드하는 무기화^(weaponized)된 문서를 사용해 기관내 여러사람을 공격 대상으로 삼아왔다. Remcos는 키 입력을 기록하고, 스크린샷을 생성하거나, 웹캠과 마이크를 사용해 오디오나 비디오를 녹음, 녹화하고 프로그램을 설치 또는 제거하며 파일을 관리할 수 있다. 그리고 SOCKS5 프록시 기능이 있어 피해자를 프록시로 만들어 실제 C2 서버를 숨기는 데 사용할 수 있다.
• 사이버 스파이 캠페인이 악성코드에 감염된 메시징 앱을 사용해 20개국 이상에서 정치적 활동가^(activists), 군인, 변호사, 언론인, 그리고 기타 개인들의 스마트폰 데이터를 훔쳐왔다는 리포트가 공개되었다. 이 캠페인은 전 세계의 다중 플랫폼을 노린 공격이다. Dark Caracal이라 명명된 이 APT^{(Advenced Persistent Threat)} 캠페인은 개인정보 및 지적재산등을 포함한 수백기가바이트의 데이터를 21개 이상의 국가들과 수천의 피해자들로부터 훔쳤다고 리포트에서 공개되었다. Dark Caracal은 90개의 침해지표^{(IOC, Indicator of Compromise)}와 연관되는 다중 플랫폼 공격이다. 리포트에 포함된 IOC 90개 중 26개는 데스크톱 악성코드 침해지표이며, 11개의 안드로이드 악성코드 IOC, 60개의 도메인/IP 기반 IOC다. (19일에서 이어짐)

Detailed News list

• Turkish
  • _{[InfoSecurityMagazine]}
    Espionage Campaign Sets Sites on Turkish Defense Contractors
• Dark Caracal
  • _{[DarkReading]}
    Dark Caracal Campaign Breaks New Ground with Focus on Mobile Devices

Malwares

Summaries

• 사토리^(Satori) IoT 봇넷 제작자가 새로운 미라이^(Mirai) 변종인 Masuta와 관련이 있는 것으로 추정된다. NewSky Security의 연구자들은, 사토리^(Satori) 혹은 Mirai Okiru라 불리는 미라이 변종의 배후에 있는 해커가 새로운 두개의 미라이 변종인 Masuta와 PureMasuta의 배후와 동일인인 것으로 추정했다.
• 새로운 샘샘^(SamSam) 랜섬웨어 캠페인의 피해 병원에서 5만 5천달러의 몸값을 지불했다. SamSam 랜섬웨어는 2015년에 탐지된 오래된 악성코드이지만 최근까지도 피해는 이어지고 있다. SamSam 랜섬웨어 피해대상 중에는 MedStar라는 발티모어와 워싱턴 지역의 10개의 병원을 관리하는 비영리 그룹이 있는데, 이 공격의 배후는 MedStar에 암호화된 자료 복구 비용으로 45비트코인을 요구하기도 했다. 이 악성코드는 최근의 여러 병원들의 침해에 사용되었고, 그중 하나인 Hancock Health hospital에서는 55,000달러의 몸값을 지불하기로 결정했다. (22일에서 이어짐)

Detailed News List

• Masuta
  • _[ThreatPost]
    Satori Author Linked to New Mirai Variant Masuta
• SamSam
  • _{[SecurityWeek]}
    SamSam Operators Make $325,000 in 4 Weeks

Exploits/Vulnerabilities

Summaries

• 블리자드^(Blizzard)의 게임들에서 해커들이 수백만대의 PC를 위협에 노출 시킬 수 있는 ^{DNS Rebinding}취약점이 발견되었다. 구글 프로젝트 제로 팀의 Tavis Ormandy가 새롭게 발견한 취약점을 발표했다. 이번엔, 블리자드의 게임들에서 원격 공격자가 악성코드를 게임 사용자의 컴퓨터에서 실행시킬 수 있는 취약점이다. 블리자드 게임을 하기 위해서 Blizzard Update Agent를 설치하면, 이 어플리케이션은 JSON-RPC 서버를 HTTP 프로토콜을 사용해 포트 1120에서 실행시키고, 이를 통해 설치/제거/설정변경/업데이트 및 기타 관리 명령을 입력받는다. Ormandy는 이 Blizzard Update Agent가 DNS Rebinding 공격에 취약한 것을 시연했는데, 어떤 웹사이트든 해당 웹사이트가 권한을 가진 DNS 레코드를 localhost로 resolve 되도록 만들어 공격할 수 있다.
• 플레이스테이션^{(PlayStation)}4를 해킹해 PS2 에뮬레이터 및 홈브루 소프트웨어를 실행시킬 수 있다. Resetera.com의 한 사용자가 PS4 4.05의 해킹버전에 대한 정보를 올렸다. 이 정보를 올린 DanteLinkX에 따르면, PS4 파일들을 .pkg 포맷으로 덤프하거나 로드 하고, 이들을 펌웨어버젼 4.05에서 불러올 수 있다. 그리고 4.05버젼과 호환되는 덤프들 여럿이 인터넷에서 확산되고 있다. DanteLinkX는 펌웨어 5.01에 대한 해킹도 진행중이라 밝혔다.
• 일렉트론^(Electron) 프레임워크에서 심각한 취약점이 발견되었다. 일렉트론은 Skype나 Slack과 같은 유명 어플리케이션을 제작하는데 사용된 프레임워크다. 이 프레임워크에서 심각한 원격 코드 실행 취약점^{(remote code execution vulnerability)}이 발견되었다. 이 앱들은 윈도우즈에서 실행되고, myapp://과 같은 프로토콜에 대한 기본 핸들러로 앱 자신을 등록했을 때 취약하다. 이 취약점은 CVE-2018-1000006 번호가 부여되었다.
• 우버에서 Two-factor 인증을 무용지물로 만들수 있는 버그를 무시했다는 기사가 나왔다. ZDNet의 보도에 따르면, 우버는 공격자가 사용자 계정에 Two-factor 인증을 우회해 침입할 수 있는 취약점을 “특별히 심각하지 않다”는 이유로 무시했다. 우버는 2015년에 Two-factor 인증을 시스템 내에서 테스트하기 시작했다. 뉴델리^{(New Delhi)}의 보안 연구가 Karan Saini가 이 Two-factor 인증을 우회할 수 있는 버그를 찾아 우버의 버그바운티 관리 업체인 HackerOne에 제보했다. 그러나 이 리포트는 즉각 거절당했고, ‘정보’로 분류되었다. 여기서 ‘정보’란 유용한 정보가 포함되어 있으나, 즉각적인 조치나 수정이 필요하지 않다는 의미다. (22일에서 이어짐)
• Meltdown/Spectre와 이에대한 패치, 그리고 패치에 의한 성능 문제에 대한 기사가 계속해서 이어지고 있다.

Detailed News List

• Blizzard
  • _[CSOOnline]
    Hackers could have exploited flaw in all Blizzard games
  • _[CSOOnline]
    Hackers could have exploited flaw in all Blizzard games to hijack millions of PCs
  • _{[SecurityAffairs]}
    Google hacker found a critical flaw in Blizzard Games that expose millions of PCs to DNS Rebinding attacks
  • _{[TheHackerNews]}
    Critical Flaw in All Blizzard Games Could Let Hackers Hijack Millions of PCs
• PS4 hacked
  • _[HackRead]
    PlayStation 4 hacked to run PS2 emulation & homebrew software
• Electron Framework
  • _[CyberScoop]
    Severe Electron framework vulnerability impacts apps like Skype and Slack
• Uber
  • _[HackRead]
    Uber dismissive about security flaw that lets hackers bypass its 2FA
  • _{[InformationSecurityBuzz]}
    Security Flaw Ignored By Uber That Renders “
• Meltdown/Spectre
  • _{[SecurityWeek]}
    HP, Dell Halt BIOS Updates Over Buggy CPU Patches
  • _{[DarkReading]}
    Meltdown, Spectre Patches, Performance & My Neighbor’s Sports Car
  • _[ZDNet]
    In security update, Apple backports Meltdown fix to older macOS versions
  • _{[DarkReading]}
    Fallout from Rushed Patching for Meltdown, Spectre
  • _{[SecurityAffairs]}
    Intel recommended to stop deploying the current versions of Spectre/Meltdown patches
  • _[ThreatPost]
    Intel Halts Spectre/Meltdown Patching for Broadwell and Haswell Systems
  • _[CSOOnline]
    How bad are Meltdown and Spectre?
  • _{[HelpNetSecurity]}
    Intel testing new Spectre fixes, tells everyone to hold off on deploying current firmware updates
  • _{[BankInfoSecurity]}
    Intel: Stop Installing Patches Due to Reboot Problems
  • _{[TheHackerNews]}
    Intel Warns Users Not to Install Its ‘Faulty’ Meltdown and Spectre Patches
  • _{[SecurityAffairs]}
    Linus Torvalds calls the Linux Spectre patches “UTTER GARBAGE”
  • _[ZDNet]
    Intel: Stop firmware patching until further notice

Vulnerability Patches/Software Updates

Summaries

• 애플이 보안 업데이트를 릴리즈했다.
• 모질라에서 보안 업데이트를 릴리즈했다.

Detailed News List

• Apple
  • _[US-CERT]
    Apple Releases Multiple Security Updates
• Mozilla
  • _{[TheRegister]}
    It’s 2018 and… wow, you’re still using Firefox? All right then, patch these horrid bugs
  • _[US-CERT]
    Mozilla Releases Security Updates

Privacy

Summaries

• 안드로이드의 소닉^(Sonic) 게임 앱이 데이터를 유출하고 있다는 기사가 나왔다. 세가^(Sega)는 이러한 주장에 대해 조사중이라 밝혔다. 보안 기업인 Pradeo에서 지난주에 안드로이드 게임 Sonic Dash, Sonic the Hedgehog Classic, Sonic Dash 2: Sonic Boom앱이 사용자의 위치 데이터 및 장치 정보를 유출한다고 밝혔다. 구글 플레이스토어 에서 제공하는 다운로드 수치정보로 봤을 때, 대략 1억 200만명 에서 6억명의 사용자에 영향이 있을 것으로 보인다. (23일에서 이어짐)

Detailed News List

• Sonic
  • _{[InfoSecurityMagazine]}
    Sonic the Hedgehog Apps Leak Data
  • _{[GrahamCluley]}
    Sonic the Hedgehog accused of leaking Android users’ data
  • _{[SecurityAffairs]}
    Three Sonic apps in the Google Play are leaking data to uncertified servers

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

• 해커가 고객을 속이기 위해서 주유기^{(gas pump)}를 감염시키는 사건이 일어났다. 러시아 당국이 주유소에서 주유기에 소프트웨어 프로그램을 이용해 실제 주유한 양 보다 더 많이 돈을 지불하게 하여 고객들 속이는 사기행위들을 적발했다. 토요일에 러시아의 FSB^{(Federal Security Service)}가 해커 Denis Zayev를 체포했다. 주유소 고객들을 속이는 여러 프로그램들을 만든 혐의다. (22일에서 이어짐)

Detailed News List

• Gas Pump
  • _{[NakedSecurity]}
    Gas pump malware tricks customers into paying for more than they pump

Crypto Currencies/Crypto Mining

Summaries

• 해커들이 암호화폐 ICO로부터 4억달러 가량을 훔쳤다는 리포트가 나왔다. Ernst & Young의 새로운 보고서에서, 모든 펀드의 약 10% 이상이 도난 당하거나 분실되었다. 이는 2015년에서 2017년 사이의 37억 달러 펀딩 중 거의 400만 달러에 해당하는 규모다.
• 가짜 암호화폐 사기에서 랜섬웨어를 유포한 것이 확인되었다. Fortinet의 연구자들이 새로운 랜섬웨어 사기를 탐지했다. 이 사기에서 해커들은 새로운 암호화폐 ‘스프라이트코인^(SpriteCoin)‘을 소개하며 피해자들에게 지갑 파일을 다운로드하고 비밀번호를 생성하라고 속였다. 이 지갑 설치파일은 윈도우즈 기반의 컴퓨터를 감염시키는 악성코드 였으며, 시스템의 파일들을 암호화 시키고 잠긴 파일들의 암호를 푸는것에 대해 몸값을 오구한다.

Detailed News List

• ICO
  • _[ZDNet]
    Hackers steal almost $400M from cryptocurrency ICOs
• SpriteCoin
  • _[HackRead]
    SpriteCoin cryptocurrency ransomware spy on user, steal saved passwords
  • _[ZDNet]
    Fake cryptocurrency scam delivers ransomware – and more malware when you pay up
  • _{[HelpNetSecurity]}
    Fake cryptocurrency wallet carries ransomware, leads to spyware