Skip to content

Dev, Hack & Debug

Data Leakage, Espionage, Security Breach and Exploit

  • Front page
  • Development
  • Hacking
  • Debugging

[태그:] SCADA

Security Newsletters, 2018 Jan 16th, 금융기관 노리는 KillDisk 변종 外

Posted on 2018-01-16 by aDHDmin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 팬시베어(FancyBear) 사이버스파이그룹이 미 상원(Senate)을 노리고 있다는 경고가 나왔다. 트렌드마이크로에 따르면, 2016년 미 선거에서 민주당을 공격했던 해커들이 상원 의원들을 노리고 있다. 이 그룹은 Pawn Storm 혹은 Fancy Bear, Sednit, APT 28로도 알려져있다.

Detailed News list

  • FancyBear
    • [InfoSecurityMagazine]
      Kremlin-Linked Hackers Target Senate Ahead of Mid-Terms
    • [BankInfoSecurity]
      Fancy Bear Targets US Senate, Security Researchers Warn

 

Malwares

Summaries

  • 새로운 KillDisk 변종이 라틴 아메리카 금융기관 윈도우즈 장치들을 공격하고 있다. 디스크 삭제 악성코드인 KillDisk의 새로운 변종이 발견되었다. TROJ_KILLDISK.IUB로 명명된 이 변종은 라틴아메리카의 금융기관에 대한 사이버 공격과 관련된어 있다. KillDisk는 다양한 악성코드에 의해 유포되고 있으며, 더 큰 공격의 일부로 사용되었을 수 있다.
  • 악성 크롬 확장기능으로 약 50만명이 영향을 받은 것으로 드러났다. 이 확장기능들은 클릭 사기(click fraud)와 검색엔진 최적화 조작(SEO manipulation)에 사용되었다. 그러나 공격자들이 기업 네트워크에 대한 접근 권한을 획득하거나 사용자 정보를 얻는데 사용되었을 수 있다고 경고했다.
  • PowerStager라 명명된 툴은 파이썬 스크립트로 개발된 도구로, C 소스코드를 사용해 윈도우즈 바이너리를 만든다. 이 툴은 쉘코드 페이로드를 실행하는 PowerShell 스크립트를  동작시키는 다중 레이어 난독화(multiple layers of obfuscation)를 사용한다. PowerStager는 독특한 난독화 기술을 PowerShell에 사용한다.
  • Mirai Okiru 봇넷이 역사상 처음으로 ARC CPU기반의 IoT 장비를 대상으로 공격을 벌이는 것이 탐지되었다. 2016년 8월에 MalwareMusDie 팀의 보안연구가 unixfreaxjp가 악명높은 Mirai 봇넷을 처음으로 탐지헀는데, 이번에도 같은 연구자에 의해 새로 악성코드가 탐지되었다. 이번에 unixfreaxjp가 발견한 것은 컴퓨터 엔지니어링 역사상 처음으로, ARC CPU를 감염시키는 리눅스 악성코드다. 이 새로운 ELF 악성코드는 MIRAI OKIRU로 명명되었다. 악성코드가 ARC CPU기반의 시스템을 공격대상으로 삼은 것은 처음있는 일이다. 첫 발견때까지 Mirai Okiru는 거의 대부분의 안티바이러스에서 탐지되지 않았다. MalwareMustDie에서는 ARC CPU가 1년에 IoT 장치들을 10억대 이상 생산해내기 때문에, Linux와 IoT의 감염에 있어 큰 변화가 있을 것이라 예상했다. (15일에서 이어짐)
  • 악성코드를 설치하는 가짜 Meltdown/Spectre 패치가 유포중이다.
  • DNS 설정을 하이재킹하는 맥OS용 악성코드 MaMi가 확인되었다. OSX/MaMi라고 명명된 이 악성코드는 Malwarebytes 포럼에 DNS 설정이 82.163.143.135, 82.163.142.137로 계속 변경된다는 리포트를 통해 발견되었다. 악성코드가 어떻게 유포되는지에 대해서는 아직 밝혀진바가 없다. 이번에 분석된 샘플은 DNS를 하이재킹하는 기능만 했지만, 스크린샷을 찍거나 마우스 이벤트의 시뮬레이션, 파일 업로드/다운로드, 명령실행 등의 기능도 갖추고 있다. (13일에서 이어짐)

Detailed News List

  • KillDisk
    • [SecurityAffairs]
      New KillDisk variant targets Windows machines in financial organizations in Latin America
    • [SecurityWeek]
      New KillDisk Variant Spotted in Latin America
    • [TrendLabs]
      New KillDisk Variant Hits Financial Organizations in Latin America
  • 크롬 확장
    • [SecurityWeek]
      Half Million Impacted by Four Malicious Chrome Extensions
  • PowerStager
    • [SecurityWeek]
      “PowerStager” Tool Employs Unique Obfuscation
  • Mirai Okiru
    • [CSOOnline]
      Mirai Okiru: New DDoS botnet targets ARC-based IoT devices
    • [TheHackerNews]
      New Mirai Okiru Botnet targets devices running widely-used ARC Processors
  • MaMi
    • [ZDNet]
      MaMi malware targets Mac OS X DNS settings
  • Fake Meltdown/Spectre Patch
    • [SecurityWeek]
      Fake Meltdown/Spectre Patch Installs Malware
    • [InfoSecurityMagazine]
      Phishers Push Malware Disguised as Meltdown Fix

 

Exploits/Vulnerabilities

Summaries

  • 멜트다운/스펙터(Meltdown/Spectre)에 대한 기사가 이어지는 중이다.

Detailed News List

  • Meltdown/Spectre
    • [NYTimes]
      Keeping Up With the Meltdown and Spectre Bugs
    • [ARSTechnica]
      Spectre and Meltdown patches causing trouble as realistic attacks get closer (ArsTechnica)
    • [TheRegister]
      Now Meltdown patches are making industrial control systems lurch
    • [ZDNet]
      Meltdown-Spectre: More businesses warned off patching over stability issues
    • [SecurityAffairs]
      Spectre/Meltdown patches had a significant impact on SolarWinds’s AWS infrastructure
    • [CSOOnline]
      Spectre and Meltdown explained: What they are, how they work, what’s at risk
    • [TheRegister]
      Meltdown/Spectre fixes made AWS CPUs cry, says SolarWinds
    • [TheRegister]
      Oracle still silent on Meltdown, but lists patches for x86 servers among 233 new fixes
    • [SecurityWeek]
      Device Manufacturers Working on BIOS Updates to Patch CPU Flaws

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 캐나다 경찰이 유출된 비밀번호 정보를 제공하던 LeakedSource.com의 운영자를 고소했다. 캐나다 당국이 27세의 온타리오 남성을 훔친 비밀번호 정보 수십억건을 온라인에서 판매한 혐의로 체포 및 기소했다. 2017년 12월 22일 Royal Canadian Mounted Police(RCMP)가 Jordan Evan Bloom을 기소했다.
  • 아이폰의 애플 헬스 데이터가 살인사건 재판에 증거로 사용되었다. 2016년 10월 19세의 의대생 Maria Ladenburger를 강간하고 살해한 독일의 아프간 난민에 대한 재판에서 이 정보가 사용되었다. Hussein Khavari는 Ladenburger를 강간하고 그녀를 Dreisam강에 익사시킨 것을 인정했다.

Detailed News List

  • LeakedSource.com
    • [KrebsOnSecurity]
      Canadian Police Charge Operator of Hacked Password Service Leakedsource.com
  • iPhone Apple Health
    • [NakedSecurity]
      iPhone’s Apple Health data used as evidence in murder trial

 

Vulnerability Patches/Software Updates

Summaries

  • 중국의 레노보(Lenovo)의 엔지니어가 네트워킹 스위치에 존재하는 백도어를 찾아냈다. 보안권고문(CVE-2017-3765)에 따르면 이 “HP backdoor”는 펌웨어에 대한 내부 보안 감사(internal security audit)을 모든 제품들에 대하여 진행하여 발견되었다. 이 백도어는 Enterpise Network Operating System(ENOS)에 영향을 미친다. 레노보는 업데이트를 릴리즈 했으며, 인증이나 인가를 우회할 수 있는 메커니즘을 절대 허용하지 않는다고 언급했다. (15일에서 이어짐)

Detailed News List

  • Lenovo
    • [SecurityWeek]
      Backdoor Found in Lenovo, IBM Switches

 

Data Breaches/Info Leakages

Summaries

  • 원플러스(One Plus) 웹사이트의 지불 시스템이 해킹당해 고객 신용카드 정보가 침해당했다. 중국의 스마트폰 제조사가 결제 페이지가 Magento 버그로 침해당했다는 것을 부인했다. 원플러스는 다수의 고객들이 원플러스의 공식 웹사이트에서 스마트폰을 구매한 이후에 신용카드 사기 및 구매에 대한 문제를 제기한 것에 대한 성명을 발표했다. 원플러스는 부인했지만, 다른 한편으로는 영국의 IT 보안 기업인 Fidus InfoSecurity Limited는 onPlus의 결제 세피이가 마젠토(Magento) eCommerce 플랫폼을 사용하고 있었으며, 최근에 해커에 의해 공격받았음을 조사를 통해 발견했다고 밝혔다.
  • HaveIBeenPwned에 침해사이트 정보가 등록되었다. 이번에 업데이트 된 정보는 TheFlyOnTheWall, LyricsMania, Open CS:GO로 TheFlyOnTheWall 사이트는 8만여명의 계정정보를, LyricsMania 사이트는 10만여명의 계정정보, Open CS:GO 사이트는 50만여명의 계정정보가 침해당했다
  • 누구인지 알려지지 않은 해커가 병원 서버를 장악한 뒤 몸값으로 비트코인을 요구하고 있다. 1월 11일 밤 Greenfield Indiana의 Hancock Health 병원이 정교한 사이버 공격으로 전체 네트워크가 장악 당했다. 해커는 컴퓨터 시스템에 비트코인으로 몸값을 지불할 것을 요구하는 메시지를 띄웠다. 병원에서는 해커가 감염을 확산시키는 것을 막기위해 그들의 시스템을 중단하기로 결정하고 FBI에 신고했다.

Detailed News List

  • One Plus
    • [HackersOnlineClub]
      One Plus Website’s Payment System Got Hacked And Customers Credit Card Info Compromised
    • [TheHackerNews]
      OnePlus Site’s Payment System Reportedly Hacked to Steal Credit Card Details
    • [HackRead]
      OnePlus denies checkout page hack amid credit card fraud reports
    • [TheRegister]
      Customers reporting credit card fraud after using OnePlus webstore
  • TheFlyOnTheWall
    • [HaveIBeenPwned]
      The Fly on the Wall – 84,011 breached accounts
  • LyricsMania
    • [HaveIBeenPwned]
      Lyrics Mania – 109,202 breached accounts
  • Open CS:GO
    • [HaveIBeenPwned]
      Open CS:GO – 512,311 breached accounts
  • Indiana Hospital
    • [CyberScoop]
      Indiana hospital shuts down systems after ransomware attack
    • [TripWire]
      Hospital Shut Down Its Computer Network Following Ransomware Attack

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 피닉스 컨택트(Phoenix Contact) 산업용 스위치에서 심각한 보안 결함이 발견되었다. 독일 기반의 산업 자동화 솔루션을 생산하는 피닉스 컨택트(Phoenix Contact)의 산업용 스위치에서 보안 취약점이 발견되었다. Phoenix Contact의 FL SWTICH 산업용 이더넷 스위치들이 인증 우회(authentication bypass) 및 정보노출(information exposure)취약점에 영향을 받는 것이 확인되었다. 이 취약점은 펌웨어 버젼 1.0부터 1.32까지를 사용하는 3xxx, 4xxx, 48xx 시리즈에 영향이 있다. 이 취약점은 1.33에서 수정되었다. 더 심각한 취약점은 CVE-2017-16743으로, 원격에서 인증되지 않은 공격자가 조작된 HTTP Request를 전송하는 것으로 인증을 우회하여, 관리 기능에 접근(gain administrative access)할 수 있다. 두번째 취약점 CVE-2017-16741은 중간 등급의 취약점으로, 원격의 인증받지 않은 공격자가 장치의 모니터 모드를 공격해 진단 정보를 읽을 수 있다. 펌웨어 1.33에서는 사용자가 모니터 기능을 비활성화 할 수 있다.
  • 주요 스카다(SCADA, Supervisory Control And Data Acquisition)시스템의 모바일 앱에서 보안 취약점이 발견되었다. 2년 전, 산업제어시스템(ICS, Industrial Control Systems)의 소프트웨어 및 하드웨어에서 취약점을 찾은바 있는데, 이번에는 스카다 모바일 앱에 대한 연구를 진행했다. IOActive와 Embedi에 소속된 이들이 34개 제조사의 SCADA 모바일 어플리케이션에 대한 조사 결과, 그들 중 대다수에서 취약점들이 발견되었다. 분석 대상 어플리케이션들은 구글 플레이에 등록되어있는 앱들 중에서 34개가 임의로 선택되었다. (12일에서 이어짐)

Detailed News List

  • Phoenix Contact Industrial Switches
    • [SecurityWeek]
      Serious Flaws Found in Phoenix Contact Industrial Switches
  • SCADA App
    • [NakedSecurity]
      More SCADA app vulnerabilities found
    • [InformationSecurityBuzz]
      Vulnerabilities Found In SCADA Mobile Applications
    • [InformationSecurityBuzz]
      IOActive And Embedi Uncover Major Security Vulnerabilities In ICS Mobile Applications

 

Service Outage/Malfunction

Summaries

  • 실수로인해 하와이에 있는 사람들에게 탄도 미사일(ballistic missile) 경보가 발송되었다. 하와이에서 토요일 아침에 휴대전화로 긴급경보가 발송되고 TV와 라디오에도 송출되었다. 놀란 사람들은 대피소를 찾았다. 그리고 약 38분 후 잘못된 경고였음이 밝혀졌다. 하와이 정부의 David Ige는 CNN과의 인터뷰에서 거짓 경보 발송의 원인은 해킹이 아니었으며, 근무 교대의 표준 절차중에 실수로 버튼을 잘못 누른 결과였다고 밝혔다. (15일에서 이어짐)

Detailed News List

  • Hawaii
    • [GrahamCluley]
      Hawaii’s ballistic missile false alarm and a user interface failure

 

Crypto Currencies/Crypto Mining

Summaries

  • Blackwallet 서비스가 DNS 하이재킹으로 해킹당해, 사용자들의 계정으로부터 400,000 달러가 도난당했다. BlackWallet.co가 1월 13일 DNS 하이재킹으로 공격을 받았다. 그결과 공격자들이 사용자의 계정에서 40만 달러를 빼냈다.

Detailed News List

  • Blackwallet
    • [SecurityAffairs]
      Blackwallet hacked, hackers stole $400,000 from users’ accounts through DNS hijacking

 

Posted in Security, Security NewsTagged Crypto Currency, Data Breach, Fancy Bear, ICS, Industrial Control System, Information Leakage, KillDisk, Malware, MaMi, Mirai, Mirai Okiru, Patches, PowerStager, SCADALeave a comment

글 내비게이션

이전 글
다음 글

Search

Recent Posts

  • 8월 보안 업데이트 : Microsoft의 최신 취약점 패치와 중요 내용
  • Cisco Smart Software Manager CVE-2024-20419 취약점
  • Windows 업데이트 취약점: CVE-2024-38202, CVE-2024-21302
  • Apache OFBiz 취약점: CVE-2024-38856긴급 패치 필요
  • Rockwell Automation ControlLogix 1756 취약점: CIP 명령어 무단 실행 가능
  • VMware ESXi 취약점: 20,000개 인터넷 노출 인스턴스에 영향
  • Telit Cinterion 모뎀, 산업 IoT 기기 취약점 CVE 7건 발견!

Categories

  • Diet (7)
  • Exploit (1)
  • Flaw (23)
  • Hacking (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (202)
  • Security News (178)

Archives

  • 2024년 8월 (6)
  • 2024년 7월 (8)
  • 2024년 4월 (1)
  • 2024년 3월 (2)
  • 2024년 2월 (6)
  • 2024년 1월 (8)
  • 2023년 12월 (15)
  • 2023년 6월 (1)
  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.
Go to mobile version