Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] Scam

Security Newsletters, 2018 Feb 1st, Monero 채굴하는 Smominru Botnet 外

Posted on 2018-02-01 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • Lizard Squad 그룹이 그룹을 만든 Zachary Buchta가 체포되며 끝난 것으로 여겨졌었으나, BitBotPein이라는 이름으로 여전히 활동중이라는 리포트가 발표되었다. ZingBox의 연구가들이 BigBotPein 그룹이 Lizard Squad의 새로운 이름이며, 이들과 Mirai 악성코드와 연관되어 있다는 강한 증거를 가지고 있다는 리포트를 발표했다. Lizard Squad는 소니 플레이스테이션 및 Xbox Live, Blizzard의 Warcraft의 네트워크 장애를 일으킨 사건에 책임이 있다. 수년간 많은이들이 Lizard Squad가 서비스했던 LizardStresser DDoS 서비스를 이용했으며, 운영진이 체포되면서 끝이났다. ZingBox의 연구가들이 수집한 정보에 따르면, Lizard Squad 해커들과 Mirai는 둘다 같은 우크라이나(Ukrainian) 호스팅 서비스를 사용했다. 그리고, 연구가들은 BigBotPein이 Lizard Squad와 관린되어 있다는 점을 2017년 말에 있었던 또다른 Mirai 사건과 관련된 도메인을 분석하여 찾아냈다. 이 도메인이 Lizard Squad와 관련된 개인의 이름으로 등록되어 있었던 것이다.

Detailed News list

  • Lizard Squad
    • [HackRead]
      Lizard Squad is alive and continuing activities as BigBotPein: Report

 

Exploits/Vulnerabilities

Summaries

  • CT나 MRI와 같은 의료기기가 치명적인 위협에 노출되어 있다. MRI나 CT와 같은 핵심 의료기기들이 사이버공격에 취약하다고 보안연구가들이 경고했다. PC외에도 네트워크에 연결된 의료기기들에 대한 사이버 보안에 대해 주목한 것은 심박조절기에 치명적인 쇼크를 일으킬 수 있는 버그가 발견된 2012년으로 거슬러 올라간다. 그 후로 수년간 수천개의 의료기기들에서 취약점들이 발견되었다. 이번에 이스라엘의 Beersheba의 Ben-Gurion 대학교의 연구가들이 발표한 리포트에서는, MRI(Magnetic Resonance Imaging)나 CT(Computed Tomography)와 같은 의료 영상 장비들이 더욱더 사이버 공격에 취약해지고 있다고 밝혔다.
  • 멜트다운 및 스펙터 취약점과 그 패치에 대한 기사가 계속해 이어지고 있다.

Detailed News List

  • Medical equipment
    • [InformationSecurityBuzz]
      Medical Imaging Devices Are Vulnerable To Cyber-Attacks
    • [ZDNet]
      CT, MRI machines face the greatest risk of cyberattack, researchers warn
    • [InfoSecurityMagazine]
      Vulnerable Medical Imaging Devices Open the Door to Death
  • Meltdown/Spectre
    • [SecurityWeek]
      Malware Exploiting Spectre, Meltdown Flaws Emerges
    • [InfoSecInstitute]
      Meltdown and Spectre Patches: a story of delays, lies, and failures
    • [ZDNet]
      AMD vs Spectre: Our new Zen 2 chips will be protected, says CEO
    • [SecurityWeek]
      New AMD Processors to Include Protections for Spectre-like Exploits

 

Vulnerability Patches/Software Updates

Summaries

  • 모질라에서 파이어폭스(FireFox) 브라우저의 원격 코드 실행 취약점을 패치했다. 모질라에서 파이어폭스 브라우저 58버젼에 대한 보안 업데이트 릴리즈를 통해, 원격 공격자가 임의의 코드를 실행할 수 있는 치명적인 취약점을 수정했다. 이 취약점은 CVE-2018-5124으로 파이어폭스 56버젼부터 58버젼까지 영향을 미친다.
  • 시스코 시스템즈(Cisco Systems)에서 월요일에 VPN의 치명적인 취약점을 수정하는 패치를 릴리즈했다. 시스코에 따르면, 이 취약점은 인증받지않은 원격의 공격자가 영향을 받는 장치에서 코드를 실행시킬 수 있다. 게다가 이 취약점 CVE-2018-0101은 CVSS 점수 10점을 받아서 더 주목을 받고있다. (31일에서 이어짐)
  • Oracle Micros의 PoS(Point-of-Sale)에서 기업의 전체 비즈니스 데이터를 침해하고 다운로드받을 수 있는 취약점이 발견되었다. 이 취약점은 인증받지 않은 원격의 공격자가 PoS 서버의 데이터베이스를 읽고 쓸수 있는 접근권한을 획득할 수 있게한다. Oracle은 이 취약점이 이달 초의 분기(Quarterly) 패치 스케쥴에서 패치되었다고 밝혔다. (31일에서 이어짐)

Detailed News List

  • Mozilla
    • [SecurityAffairs]
      Mozilla fixes a critical remote code execution vulnerability in Firefox
    • [TheHackerNews]
      Update Your Firefox Browser to Fix a Critical Remotely Exploitable Flaw
    • [ZDNet]
      Firefox 58.0.1: Mozilla releases fix for critical HTML hijack flaw
    • [HelpNetSecurity]
      Mozilla plugs critical and easily exploitable flaw in Firefox
    • [SecurityWeek]
      Mozilla Patches Critical Code Execution Flaw in Firefox
    • [CyberScoop]
      Firefox vulnerability allowing for arbitrary code execution is fixed
    • [TheRegister]
      Unsanitary Firefox gets fix for critical HTML-handling hijack flaw
  • Oracle PoS
    • [SecurityWeek]
      Remotely Exploitable Vulnerability Could Impact 300,000 Oracle PoS Systems
    • [TheHackerNews]
      Critical Oracle Micros POS Flaw Affects Over 300,000 Payment Systems
    • [TheRegister]
      Oracle point-of-sale system vulnerabilities get Big Red cross
    • [SecurityAffairs]
      Once again, Oracle MICROS PoS have been breached
  • Cisco VPN
    • [InformationSecurityBuzz]
      Cisco Warns Of A Critical Vulnerability In Its SSL VPN Solution

 

Data Breaches/Info Leakages

Summaries

  • 호주의 차량 공유 서비스 GoGet의 사용자 데이터베이스에 침입하고 서비스를 불법으로 이용한 해커가 체포되었다. 1월 30일 수사관들이 가택 수색영장을 집행했고, 37세의 남성을 체포해 기소했다. 그리고 컴퓨터 및 노트북 등을 압수했다고 밝혔다.
  • Fortune 500 기업의 유출된 인증정보(Credentials)가 웹상에 올라온 것이 발견되었다는 연구 결과가 나왔다. 인증정보 모니터링 기업인 Vericlouds에 따르면, 포춘 500대 기업의 직원들의 계정정보가 유출되어 온라인에 존재한다. 이 연구에서 포춘 500 개입들 직원들의 10%의 이메일 인증정보가 유출된 것으로 나타났다. (31일에서 이어짐)

Detailed News List

  • Car Sharing Service
    • [ZDNet]
      Security consultant granted bail after ‘hacking’ GoGet systems
    • [HackRead]
      Hacker compromised user data & illegally used car sharing service 33 times
    • [TripWire]
      Man Arrested for Allegedly Hacking Car-Sharing Company Database
    • [ZDNet]
      ​GoGet fleet booking system accessed, alleged attacker charged
    • [TheRegister]
      Car-share biz GoGet became data share biz after 2017 hack attack
  • Fortune 500
    • [InformationSecurityBuzz]
      Dark Web Contains Trove Of Over 2.7 Million Leaked Email Credentials Of Fortune 500 Employees

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 사이버 범죄자들이 동업자(?)들의 랜섬웨어에 지불된 몸값을 훔치는 일이 벌어지고 있다. 랜섬웨어 제작자들은 TOR 브라우저를 설치할 수 없거나, 설치하기 원치 않는 사람들을 위해서 onion.top, onion.to와 같은 서비스를 통해 일반 브러우저로 TOR 네트워크를 사용할 수 있는 프록시(Proxy) 서비스로 피해자들을 유도한다. 그런데 onion.top 프록시에서 MITM(Man-in-the-Middle) 공격을 통해 특정 랜섬웨어에서 사용하는 비트코인 지갑 주소를 자신들의 비트코인 주소로 바꿔치기 하는 것이 보안기업 Proofpoint에 의해 확인되었다. (31일에서 이어짐)

Detailed News List

  • TOR Proxy
    • [InfoSecurityMagazine]
      Hackers Steal Ransomware Payments from Fellow Crims
    • [SecurityAffairs]
      Cybercriminals Stealing From Cybercriminals Ransomware Victims Left Stranded
    • [GrahamCluley]
      Bitcoin hijack steals from both ransomware authors AND their victims
    • [HackRead]
      Tor Proxy Used By Cybercriminals To Initiate Bitcoin Theft

 

Crypto Currencies/Crypto Mining

Summaries

  • 모네로(Monero) 암호화폐를 채굴하는 Smominru 봇넷이 해커에게 360만 달러를 벌어주었다는 리포트가 나왔다. Proofpoint의 연구에 따르면, Smominru라는 이름의 모네로 채굴 봇넷이 감염된 기기들에서 몰래 모네로 코인을 채굴해 봇넷을 운영하는 해커에게 수백만 달러를 벌어주었다. 봇넷 운영자는 8,900 모네로 코인을 채굴했으며, 이는 360만 달러 규모로, 주당 24모네로(8500달러)를 번 셈이다. 연구가들은 Smominru 봇넷이 확산되는 것을 2017년 5월에 확인했다. 현재는 윈도우즈 호스트를 526,000대 이상의 감염시켰으며, Smominru 봇넷은 NSA에서 개발하고 Shadow brokers 해킹그룹이 유출한 EternalBlue 익스플로잇을 사용한다. 이 봇넷의 C&C 인프라는 SharkTech라는 호스팅 및 DDoS 보호 서비스를 이용하고있다. SharkTech에서는 이에 대하여 아무런 반응도 내놓지 않았다.

Detailed News List

  • Smominru
    • [CyberScoop]
      Monero mining botnet ‘Smominru’ earns hackers $3.6 million

 

Posted in Security, Security NewsTagged BigBotPein, Crypto Currency, Cryptocurrency Mining, CVE-2018-0101, Data Breach, Information Leakage, Lizard Squad, Man-in-the-Middle Attack, Mirai, MITM, Patches, POS, Scam, Smominru, VulnerabilityLeave a comment

Security Newsletters, 2018 Jan 31st, CISCO CVE-2018-0101 취약점 外

Posted on 2018-01-31 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 미국에서 ATM에 대한 잭팟팅(Jackpotting) 공격이 최초로 확인되었다. ATM에 악의적인 소프트웨어나 하드웨어를 설치해 현금을 인출할 수 있게 하는 잭팟팅(Jackpotting) 공격은 유럽과 아시아에서는 오랫동안 은행을 위협해온 공격이었다. 그간 미국에서는 목격되지 않았으나, 이번주에 미국에서도 이러한 공격이 확인되면서 Secret Service에서는 이 공격에 대해 금융기관들에게 경고하기 시작했다. (29일에서 이어짐)

Detailed News list

  • ATM Jackpotting Attacks
    • [KrebsOnSecurity]
      Drugs Tripped Up Suspects In First Known ATM “Jackpotting” Attacks in the US
    • [SecurityWeek]
      ATM Jackpotting Attacks Strike in U.S.
    • [NakedSecurity]
      Secret Service warning: Jackpotting ATM attacks reach the US
    • [SecurityAffairs]
      Crooks target ATMs with Ploutus-D malware, these are the first confirmed cases of Jackpotting in US
    • [TheRegister]
      Crooks make US ATMs spew million-plus bucks in ‘jackpotting’ hacks
    • [HackRead]
      Jackpotting attacks hit U.S. ATMs; spit out cash in seconds

 

Vulnerability Patches/Software Updates

Summaries

  • 시스코 시스템즈(Cisco Systems)에서 월요일에 VPN의 치명적인 취약점을 수정하는 패치를 릴리즈했다. 시스코에 따르면, 이 취약점은 인증받지않은 원격의 공격자가 영향을 받는 장치에서 코드를 실행시킬 수 있다. 게다가 이 취약점 CVE-2018-0101은 CVSS 점수 10점을 받아서 더 주목을 받고있다.
  • Oracle Micros의 PoS(Point-of-Sale)에서 기업의 전체 비즈니스 데이터를 침해하고 다운로드받을 수 있는 취약점이 발견되었다. 이 취약점은 인증받지 않은 원격의 공격자가 PoS 서버의 데이터베이스를 읽고 쓸수 있는 접근권한을 획득할 수 있게한다. Oracle은 이 취약점이 이달 초의 분기(Quarterly) 패치 스케쥴에서 패치되었다고 밝혔다.

Detailed News List

  • CISCO
    • [ThreatPost]
      Cisco Patches Critical VPN Vulnerability
    • [CSOOnline]
      Cisco VPN remote code execution flaw rated 10 out of 10 for severity
    • [ZDNet]
      Cisco: This VPN bug has a 10 out of 10 severity rating, so patch it now
    • [SecurityAffairs]
      Cisco ASA software is affected by a flaw with 10 out of 10 severity rating. Patch it asap
    • [TripWire]
      Cisco Fixes 10.0 CVSS-Scored RCE Bug Affecting Its ASA Software
    • [SecurityWeek]
      Cisco Patches Critical Code Execution Flaw in Security Appliances
    • [TheRegister]
      Ugly, perfect ten-rated bug hits Cisco VPNs
  • Oracle Micros PoS
    • [ZDNet]
      Oracle Micros point-of-sale system vulnerability puts business data at risk

 

Data Breaches/Info Leakages

Summaries

  • Fortune 500 기업의 유출된 인증정보(Credentials)가 웹상에 올라온 것이 발견되었다는 연구 결과가 나왔다. 인증정보 모니터링 기업인 Vericlouds에 따르면, 포춘 500대 기업의 직원들의 계정정보가 유출되어 온라인에 존재한다. 이 연구에서 포춘 500 개입들 직원들의 10%의 이메일 인증정보가 유출된 것으로 나타났다.
  • 온라인으로 공유하는 피트니스 트래킹(Fitness tracking) 앱의 데이터에서 군사기지의 정보까지 노출되고 있다는 기사가 공개되었다. 핏빗(Fitbit)이나 Garmin등과 같은 웨어러블 장치들에서 수집 및 공유되는 데이터에서 민감정보가 노출된다는 것이다. 전세계 사용자들로부터 수집된 활동 정보를 표시한 히트맵(heat map)에서 사용자들의 활동 패턴을 통해 군사시설의 위치나 군대의 정찰, 전진기지의 위치 등이 노출되고 있다는 다수의 보안연구가 및 기자들의 발표가 이어지고 있다. (30일에서 이어짐)

Detailed News List

  • Fortune 500
    • [TripWire]
      Study: Alarming Number of Fortune 500 Credentials Found in Data Leaks
  • Fitness Tracking App
    • [InformationSecurityBuzz]
      Fitness Tracking App Strava Reveals Location Of Secret US Army Bases
    • [WeLiveSecurity]
      Privacy of fitness tracking apps in the spotlight after soldiers’ exercise routes shared online
    • [NakedSecurity]
      Secret military bases revealed by fitness app Strava
    • [ZDNet]
      Troops not at risk over Strava breach: Australian Defence Force

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 사이버 범죄자들이 동업자(?)들의 랜섬웨어에 지불된 몸값을 훔치는 일이 벌어지고 있다. 랜섬웨어 제작자들은 TOR 브라우저를 설치할 수 없거나, 설치하기 원치 않는 사람들을 위해서 onion.top, onion.to와 같은 서비스를 통해 일반 브러우저로 TOR 네트워크를 사용할 수 있는 프록시(Proxy) 서비스로 피해자들을 유도한다. 그런데 onion.top 프록시에서 MITM(Man-in-the-Middle) 공격을 통해 특정 랜섬웨어에서 사용하는 비트코인 지갑 주소를 자신들의 비트코인 주소로 바꿔치기 하는 것이 보안기업 Proofpoint에 의해 확인되었다.

Detailed News List

  • Stealing bitcoin from rivals
    • [TheRegister]
      Scammers become the scammed: Ransomware payments diverted with Tor proxy trickery
    • [ZDNet]
      Ransomware: Now crooks are stealing bitcoin ransom payments intended for rivals

 

Posted in Security, Security NewsTagged CVE-2018-0101, Cyber Espionage, Data Breach, Information Leakage, Jackpotting Attacks, Man-in-the-Middle Attack, MITM, Patches, ScamLeave a comment

Security Newsletters, 2017 Dec 23rd, 닛산 캐나다 파이낸스 데이터 유출 外

Posted on 2017-12-23 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 네트워크 프린터/스캐너 장치에서 보낸 것으로 위장한 악성코드 유포가 이루어지고 있다. “Scanned from HP”, “Scanned from Epson”, “Scanned from Canon”과 같이 스캐너 기능이 포함된 온라인 프린터에서 발송 된 것으로 위장하여, 악성 첨부파일을 포함한 이메일이 유포중이다. 이 이메일을 보내는 공격자들은 네트워크 프린터를 통해 스캔한 PDF문서를 동료에게 전달하는 경우가 종종 있는 것을 이용해, 악성 페이로드를 전달하는 용도로 PDF 파일을 사용하고 있다.
  • 비너스라커(VenusLocker) 랜섬웨어 배후의 범죄자들이 이제 암호화폐 채굴로 전환했다고 FortiGuard Labs가 밝혔다. 대한민국 사용자들의 컴퓨터를 공격 대상으로 삼았던 지난번 공격에서, 이제 이 위협 그룹이 공격대상 PC에 모네로(Monero) 암호화폐를 채굴하는 악성코드를 심고있다고 밝혔다. (22일에서 이어짐)

Detailed News list

  • Network Printer & Scanner Spoofing
    • [DarkReading]
      Network Printer & Scanner Spoofing Campaign Targets Millions
  • From Ransomware to Cryptocurrency Mining
    • [InfoSecurityMagazine]
      VenusLocker Switches Tactics from Ransomware to Monero Mining

 

Malwares

Summaries

  • 페이스북 메신저를 통해 moniker기반의 암호화폐 채굴 봇(cryptocurrency-mining bot)인 Digmine이 유포되고 있다. Digmine은 대한민국에서 최초 탐지되었으나, 베트남, 아제르바이잔, 우크라이나, 필리핀, 태국(Thailand), 베네수엘라 등에서도 유포중임이 확인되었다. 페이스북 메신져는 여러 플랫폼에서 제공되고 있으나, Digmine은 페이스북 메신저의 데스크탑 및 웹 브라우저(크롬) 버젼에서만 영향을 미친다. (22일에서 이어짐)

Detailed News List

  • Digmine
    • [SecurityAffairs]
      Digmine Cryptocurrency Miner spreads via Facebook messenger
    • [HackRead]
      Hackers Spreading Digmine Monero Mining Malware via Facebook
    • [TheHackerNews]
      Beware of Cryptocurrency Mining Virus Spreading Through Facebook Messenger

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 미국에 이어서 리투아니아(Lithuania)도 카스퍼스키랩(KasperskyLab)의 소프트웨어 제품을 잠재적 국가 보안 위협(potential national security threats)으로 분류해 사용을 금지했다. 미국 연방 정부가 카스퍼스키 제품을 금지한데 이은 결정이다. 영국에서는 첩보기관에서 정부 기관들은 러시아산 사이버보안 제품들의 사용을 피하라는 경고를 내기도 했다.
  • 중국인이 허가받지 않은(Unauthorized) VPN 서비스를 운영한 죄로 징역 5년에 처해졌다. 중국 당국이 한 남성에게 정부로부터 적법한 면허(license)를 취득하지 않은 채 VPN 서비스를 팔았다는 이유로 5년의 징역형을 선고했다. 이번년도 초, 중국 정부는 ‘허가받지 않은’ VPN 서비스를 금지한다고 발표한 바 있다. 국내에서 이러한 서비스를 운영하기 위해서는 회사가 의무적으로 면허를 발급 받아야 한다.
  • 두명의 루마니아인이 워싱턴DC의 65%의 감시카메라(Surveillance Camera) 컴퓨터들을 해킹한 혐의로 기소당했다. 12월 11일 두명의 용의자 Mihai Alexandru Isvanca와 Eveline Cismaru가 의도적으로 보호된 컴퓨터에 인증없이 접근한 등의 혐의로 고소당했다. USSS(United States Secret Service)가 포렌식으로 수집한 증거에 따르면, 이 두 루마니아인 용의자들은 콤럼비아 특별구 경찰청(Metropolitan Police Department of the District of Columbia, MPDC)이 운영하는 187개의 감시카메라 중 123의 운영을 돕는 컴퓨터들을 침해한 것으로 드러났다. (22일에서 이어짐)

Detailed News List

  • Lithuania
    • [CyberScoop]
      Lithuania bans Kaspersky software, citing potential national security threats
    • [SecurityAffairs]
      After US, also Lithuania bans Kaspersky Software due to its alleged link to the Kremlin
  • 5-Year Prison
    • [TheHackerNews]
      Chinese Man Gets 5-Year Prison for Running ‘Unauthorized’ VPN Service
  • DC Surveillance Camera Computers
    • [HackRead]
      Two arrested for Hacking DC Security Cameras Before Trump Inauguration
    • [NakedSecurity]
      Washington DC’s surveillance cameras hacked… to send spam
    • [BankInfoSecurity]
      Feds Charge Romanians With Hacking Washington CCTV Cameras

 

Vulnerability Patches/Software Updates

Summaries

  • 오페라 브라우저가 크립토재킹(Cryptojacking) 방지 기능을 데스크탑 브라우저에 추가했다. 목요일에 공개한 블로그 포스트에 따르면, 오페라 버젼 50에 안티 크립토재킹(Anti-Cryptojacking) 기능이 추가되며, 사용자의 CPU 파워를 암호화폐 채굴에 사용하지 못하도록 막는다.
  • Schneider Electric이 Pelco Video Management System의 취약점을 수정했다. Pelco VideoXpert Enterprise는 전세계 상업 시설에서 주로 사용되는 비디오 관리 시스템(Video Management System)이다. 보안연구가 Gjoko Krstic이 두개의 디렉토리 순회(directory traversal) 버그와 부정확한 접근제어(access control)로 임의의 코드 실행이 가능한 취약점을 발견했다. 취약점 번호는 CVE-2017-9964, CVE-2017-9965, CVE-2017-9966 이다.

Detailed News List

  • Opera
    • [CyberScoop]
      Opera adds cryptojacking defense to latest desktop browser
    • [ZDNet]
      ​Opera just added a Bitcoin-mining blocker to its browser
  • Pelco Video Management System
    • [SecurityWeek]
      Schneider Electric Patches Flaws in Pelco Video Management System

 

Data Breaches/Info Leakages

Summaries

  • 닛산 캐나다 파이낸스(Nissan Canada Finance)가 목요일에 113만명의 데이터 침해에 대해 고지했다. 이 침해사고는 2017년 12월 11일에 발생했으며, 신원이 확인되지 않은 제3자가 사용자들의 이름, 주소, 차량 모델, 차량번호, 신용점수, 대출량, 월 지불금액 정보에 접근했다. 고객들은 목요일에 이 침해사고에 대하여 이메일을 받았으며, 닛산 캐나다 파이낸스는 침해사고에 대한 추가정보를 공개했다.
  • 미국 1억 2,300만 가정의 민감 데이터가 Alteryx의 아마존 S3로 부터 유출되는 사고가 발생했다. 이번에도 잘못 설정된(misconfigured) 아마존 웹서비스 S3 클라우드 스토리지 버킷이 이유였다. UpGuard의 블로그 포스트에 따르면, 노출된 데이터는 미 인구 통계국(US Census Bureau)와 Alteryx의 것으로 보인다. 연구자들은 이 데이터가 Alteryx가 Experian으로부터 구매한 데이터로 보고있다. (21일에서 이어짐)

Detailed News List

  • Nissan Canada Finance
    • [ThreatPost]
      Nissan Canada Finance Notifies 1.1 Million of Data Breach
    • [SecurityAffairs]
      Nissan Finance Canada hacked, 1.13 million customers may have been exposed
    • [TripWire]
      Nissan Canada Notifies 1.1 Million Customers of Data Breach
    • [InfoSecurityMagazine]
      Nissan Canada Data Breach: 1.1 Million Customers Notified
    • [SecurityWeek]
      Nissan Canada Informs 1.1 Million Customers of Data Breach
    • [TheHackerNews]
      Nissan Finance Canada Suffers Data Breach — Notifies 1.13 Million Customers
    • [TheRegister]
      Braking news: Nissan Canada hacked, up to 1.1m Canucks exposed
  • 123M Households exposed
    • [NakedSecurity]
      Data on 123 million US households exposed
    • [PandaSecurity]
      Alteryx: a new massive data leak

 

Internet of Things

Summaries

  • 미라이(Mirai) 봇넷 변종인 사토리(Satori)가 화웨이 라우터를 공격 대상으로 삼아 퍼지는 중이다. 사토리는 악명높은 미라이 봇넷의 업데이트 된 변종으로, 화웨이 HG532 장치의 포트 37215를 노린다. 이러한 공격이 미국, 이탈리아, 독일, 이집트 등 전세계에서 관찰되었다. 공격은 화웨이 라우터의 제로데이 취약점인 CVE-2017-17215를 공격한다.

Detailed News List

  • Satori
    • [SecurityWeek]
      Mirai Variant “Satori” Targets Huawei Routers

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 싱가폴 에어라인(Singapore Airlines)과 DBS Bank 고객들을 대상으로, 메시지 및 이메일을 통해 항공권에 당첨되었다고 속여 피해자의 신용카드 정보를 빼내려는 사기가 벌어지고 있다. 싱가폴 에어라인처럼 보이는 웹사이트를 이용하거나 서비스 제공을 빌미로 전화로 개인정보 및 금융 정보를 요구한다.

Detailed News List

  • New Phishing/Vishing
    • [InfoSecurityMagazine]
      Singapore Airlines Warns of New Phishing/Vishing Campaign

 

Crypto Currencies/Crypto Mining

Summaries

  • 사이버 범죄 조직이 암호화폐 채굴에 사용할 새로운 봇넷 구성을 위해 데이터베이스 서비스들을 노리고있다. GuardiCore Labs의 연구자들에 의해 탐지된 이 공격은 Hex-Men 공격이라 이름 붙었다. 이 공격은 지난 3월부터 점차적으로 확대되어왔다. 이 공격엔 크게 3가지 변형이 있는데 각각 Hex, Hanako, Tayler 라 부른다. 각각은 서로 다른 SQL 서버를 노리며, 고유의 특정 목적, 규모, 목표 서버들을 가진다. 수집된 정보에 따르면, 공격자들은 중국에 기반하여 활동하며 중국 외에도 태국, 미국, 일본 및 기타 전세계 국가들을 공격 대상으로 하고있다. (20일에서 이어짐)

Detailed News List

  • Database botnet
    • [SecurityWeek]
      Chinese Hackers Target Servers With Three Types of Malware

 

Posted in Security, Security NewsTagged Anti-Cryptojacking, Crypto Currency, Cryptocurrency Mining, CVE-2017-17215, CVE-2017-9964, CVE-2017-9965, CVE-2017-9966, Cyber Espionage, Data Breach, Digmine, Hex-Men Attack, Information Leakage, Infrastructure, Internet of Things, IoT, Patches, Satori, ScamLeave a comment

Security Newsletters, 2017 Dec 20th, VMWare VNC 취약점 外

Posted on 2017-12-20 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 영국에 이어 미국 정부가 워너크라이(WannaCry) 랜섬웨어 공격에 대해 북한을 공식적으로 비난했다. 워너크라이 공격에 대해 “부주의하고 무모한(careless and reckless)” 공격이라고 백악관 국토안보 보좌관(Homeland Security Adviser) Tom Bossert가 백악관 기자 브리핑에서 말했다.
  • 마이크로소프트 오피스(Microsoft Office) 문서파일의 매크로(Macro) 만큼이나 컴파일된 HTML 도움말 파일(Compiled HTML Help file)역시 악성코드 제작자들이 파일을 유포하는데 10여년 넘게 활용되어 왔다. 최근 스팸 켐페인이 브라질 기관들을 이러한 CHM 첨부파일을 동봉하여 공격하고 있는 것이 탐지되었다.
  • 사이버 스파이 작전 스핑크스(Sphinx)가 AnubisSpy를 이용하여 모바일로 전환했다. 트렌드마이크로(TrendMicro)에 따르면 이 AnubisSpy 악성코드가 Sphinx 캠페인(APT-C-15)와 관련된 것으로 보인다. AnubisSpy의 조종자가 Sphinx의 조종자와 같을 가능성도 있다고 밝혔다. AnubisSpy는 문자메시지를 훔치거나, 사진, 동영상, 연락처, 이메일 계정, 달력 일정, 브라우저 기록 등을 훔칠 수 있다. 그리고 피해자를 장치에 설치된 앱을 통해 감시할 수 있다.
  • NSA의 익스플로잇을 사용하는 다단계 공격 캠페인이 보안 연구가들에 의해 탐지되었다. 공격은 취약 서버를 스캔하며 시작되는데, 아파치 스트러츠(Apache Struts) 취약점(CVE-2017-5638)과 닷넷누크(DotNetNuke, CVE-2017-9822)가 열려있는 서버를 찾는다. 이러한 윈도우즈 장치가 탐지되면 NSA와 관련된 두가지 익스플로잇을 사용해 공격한다. 그리고 파워쉘 agent를 사용해 Monero 채굴 페이로드를 설치한다. 리눅스나 OSX 장치에는 파이썬 Agent 기반의 EmpireProject post-exploitation framework가 암호화폐 채굴기를 설치하는데 사용된다.
  • 드래곤 플라이 작전(Operation Dragonfly)이 이전의 공격들과 연관되는 지점들이 발견되었다. 지난 9월 6일 시만텍은 Dragonfly 캠페인에 대한 정보를 공개한 바 있다. 2017년에 걸쳐 에너지 기업 십여곳을 대상으로한 공격이었다. 이 공격은 2014년에 시작된 공격의 개선 버젼인 Dragonfly2.0 이었다. 이 공격은 선세계 에너지 기업들을 대상으로 스피어 피싱 이메일을 활용하며, 성공시 트로이 소프트웨어를 다운로드 하게 해 피해 시스템 및 네트워크에 공격자가 접근할 수 있게 한다. 최초 리포트는 Dragonfly 공격이 에너지 부문을 공격대상으로 했지만, 맥아피 랩과 Advanced Threat Research팀이 밝혀낸 바에 따르면 제약(phamaceutical) 및 금융(financial), 회계(accounting) 산업도 공격 대상으로 하고 있다. 그리고 피해 대상에 대한 공격을 실행하기 전에 정찰을 수행한다. 그리고 피해 대상의 네트워크에 대한 발판(foothold)을 마련하기 위해, 스피어피싱, 워터링 홀(watering holes), 이전 캠페인을 통한 서플라이체인(supply-chain) 공격과 같은 다양한 기법들이 사용되는 것을 확인했다.

Detailed News list

  • US blames NK
    • [ThreatPost]
      U.S. Government Blames North Korea for WannaCry
    • [SecurityWeek]
      White House Blames North Korea for Cyberattack
    • [BankInfoSecurity]
      Trump Administration: ‘North Korea Launched WannaCry’
    • [DarkReading]
      Trump Adviser: North Korea Waged WannaCry Attack
    • [GrahamCluley]
      USA blames North Korea for WannaCry ransomware outbreak
    • [TheRegister]
      UK, US govt and pals on WannaCry culprit: It woz the Norks wot done it
    • [CSOOnline]
      North Korea to blame for WannaCry, Trump administration says
    • [SecurityAffairs]
      U.S. blames North Korea for the massive WannaCry ransomware attack
    • [SecurityWeek]
      U.S. Declares North Korea Led Huge WannaCry Cyberattack
    • [ZDNet]
      WannaCry ransomware: Now the US says North Korea was to blame
    • [HackersOnlineClub]
      US officially Declares North Korea Behind WannaCry Ransomware CyberAttack
    • [CyberScoop]
      White House blames North Korea for WannaCry ransomware outbreak
  • CHM Badness
    • [SpiderLabs]
      CHM Badness Delivers a Banking Trojan
  • Sphinx
    • [TrendMicro]
      Cyberespionage Campaign Sphinx Goes Mobile With AnubisSpy
  • Monero Campaign
    • [InfoSecurityMagazine]
      New Monero Mining Campaign Uses NSA Exploits
  • Dragonfly, BlackEnergy, TeamSpy
    • [SecurityAffairs]
      The thin line between BlackEnergy, DragonFly and TeamSpy attacks

 

Malwares

Summaries

  • 마이크로소프트 오피스(Microsoft Office) 문서를 사용해 Loki 악성코드가 배포중이다. Loki 악성코드는 인증정보(Credential)을 훔치는 기능을 가지고 있으며, 마이크로소프트 엑셀이나 기타 오피스 응용프로그램을 사용해 탐지를 회피하며 유포되고 있다.
  • 넷트레블러(NetTraveler) 악성코드는 거의 10년이상 활동해왔다. 그러나 최근 러시아 및 이웃 유럽국가들을 대상으로 이루어진 사이버 스파이 공격에서 다시금 수면위로 등장했다. 몇년전에 이 악성코드는 40개 이상의 국가를 공격했던 캠페인과 관련되어 있다. 이 악성코드는 감지를 목적으로 설계되었었고, 새로운 변종은 Travle나 PYLOT으로 불린다. 이 변종은 이번 년도 초에 등장한 것으로 보인다. 중국인 공격자와 관련 있을것으로 추정되는 이 악성코드는 분석 대상에서 발견된 “Travle Path Failed!” 오타로 Travle로 명명되었다.
  • 최근 발견된 원격 제어 트로이(RAT, Remote Access Trojan)가 2017년 11월에 패치된 마이크로소프트 오피스의 17년된 취약점을 사용해 유포되고 있다고 Netskope가 경고했다. 텔레그램RAT(TelegramRAT)이라 명명된 이 악성코드는, 텔레그램 메신저 응용프로그램을 사용해 명령 및 제어(C&C, Command and Control) 용도로 사용한다. 그리고 클라우드 저장소 플랫폼(Cloud storage platform)을 악용하여 페이로드를 저장한다. 이 접근법으로 일부 전통적인 보안 스캐너들을 우회할 수 있다.
  • Loapi 악성코드가 안드로이드 스마트폰을 공격하고 있다. 이 Loapi 트로이를 광고를 클릭하거나 가짜 AV나 성인 콘텐츠 앱을 다운로드하며 설치하게 된다. 설치 후, Loapi는 관리자 권한을 끊임없이 요구한다. 사용자가 관리자 권한을 박탈하려 하면, 이 트로이는 화면을 잠가버리고 설정 윈도우를 닫아버린다. 그리고 사용자가 장치 보호를 위한 안티바이러스 앱과 같은 응용프로그램을 다운로드하려 하면 Loapi는 이 프로그램을 악성이라 분류하고 삭제할 것을 요구한다. 이러한 알림 팝업이 끊임없이 반복된다. (19일에서 이어짐)
  • 새로운 GnatSpy 모바일 악성코드 종이 발견되었다. 올해 초 중동의 여러 부문을 노린 공격이 탐지된 바 있다. 이 공격자는 Scorpion이나 APT-C-23으로 불린다. 이후 VAMP라 불리는 새로운 모바일 컴포넌트가 발견되었으며, FrozenCell이라 명명된 변종이 10월에 발견되었다. VAMP는 피해 스마트폰에서 다양한 종류의 데이터를 노린다. 최근 트렌드마이크로 연구자들에 의해 GnatSpy 모바일 악성코드 종이 발견되었다. 이 악성코드는 VAMP의 새로운 변종으로 추정되며, APT-C-23 배후의 공격자들이 아직도 활동중이며 악성코드를 계속적으로 개선해 나가고 있는 것으로 보인다. 일부 VAMP의 C&C 도메인이 최근 GnatSpy 변종에서 재사용되었다. (19일에서 이어짐)

Detailed News List

  • Loki Malware
    • [DarkReading]
      Microsoft Office Docs New Vessel for Loki Malware
  • NetTraveler
    • [SecurityWeek]
      Successor to NetTraveler Malware Dissected
    • [SecureList]
      Travle aka PYLOT backdoor hits Russian-speaking targets
  • TelegramRAT
    • [SecurityWeek]
      New TelegramRAT Exploits Recently Patched Office Vulnerability
    • [DarkReading]
      Telegram RAT Escapes Detection via Cloud Apps
  • Loapi
    • [TheHackerNews]
      This New Android Malware Can Physically Damage Your Phone
    • [HackRead]
      New Android Malware Loapi Attacks Phones in Five Different Ways
    • [SecurityWeek]
      Loapi Android Trojan Does All Sorts of Bad
    • [TheRegister]
      Android trojan has miner so aggressive it can bork your battery
  • GnatSpy
    • [Anomali]
      WTB: New GnatSpy Mobile Malware Family Discovered

 

Exploits/Vulnerabilities

Summaries

  • VMWare 제품들의 VNC 구현상의 오류로 코드 실행(code execution) 가능한 취약점이 Cisco Talos에 의해 공개되었다. VMWare는 VNC를 원격 관리(remote management)나 원격 접근(remote access), 자동화(automation) 목적을 위해 Workstation, Player, ESXi와 같은 VMWare 제품들에 구현해 두었다.
  • CoreSecurity의 보안 연구가에 의해 트렌드마이크로(TrendMicro)의 Smart Protection Server에서 취약점이 발견되었다. 스마트 프로텍션 서버는 보안 위협을 탐지하기 위한 클라우드 기반의 파일 및 웹 평판을 다루는 솔루션이다. 이 제품의 관리 인터페이스에서 정보 노출(information exposure) 및 부적절한 인증(improper authentication), 부적절한 관리 및 필터링 문제(improper control and improper filtering issues)가 발견되었다.
  • 구글의 프로젝트 제로(Project Zero)에서 완전 패치된 윈도우즈10(fully patched Windows 10) PC에서 신뢰되지 않는(untrusted) 자바스크립트를 샌드박스 외부의 환경에서 실행시킬 수 있게 하는 로컬 개념증명(PoC, Proof-of-Concept) 공격에 대한 상세정보가 공개되었다. 이 공격은 WPAD/PC 공격의 변형이다.
  • 보안연구가가 Cambium의 ePMP 및 cnPilot 무선 네트워킹 제품에서 거의 10여개 이상의 보안 취약점을 발견했다. Cambium의 ePMP 및 cnPilot 무선 제품은 서비스 제공사나, 정부, 소매업, ISP, 호텔, 학교, 기업, 산업기관등에서 사용된다. 이 취약점들은 9월에 Rapid7을 통해 전달되었고, 주요 취약점들이 지난달 패치되었다. 그중 하나는 CVE-2017-5254로 ePMP 장치에서의 권한 상승 취약점이다.

Detailed News List

  • VMWare VNC
    • [CiscoTalos]
      Vulnerability Spotlight: VMWare VNC Vulnerabilities
  • TrendMicro Smart Protection Server
    • [SecurityWeek]
      Code Execution Flaws Found in Trend Micro Smart Protection Server
  • Project Zero Chains Bugs
    • [ThreatPost]
      Project Zero Chains Bugs for ‘aPAColypse Now’ Attack on Windows 10
  • Cambium Wireless Networking Devices
    • [SecurityWeek]
      Cambium Wireless Networking Devices Vulnerable to Attacks

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 결국 카스퍼스키랩(KasperskyLab)이 연방 기관들에서 자사 소프트웨어 사용이 금지당한 것에 대하여 미 국토안전부(DHS, Department of Homeland Security)를 고소했다. 카스퍼스키랩은 이 고소장에서 연방 기관들의 이러한 금지 조치가 상당수 루머와 정체를 알 수 없는 출처에 기반한 미디어 리포트에 기반하고 있다고 주장했다. (19일에서 이어짐)
  • 암 치료 업체가 230만 달러의 벌금을 내는데 동의했다. 방사능치료(radiation therapy) 및 암치료(cancer treatment) 제공업체가 2015년에 겪었던 데이터 침해사고에 대하여 230만 달러의 벌금을 지불하는데 동의했다. 2017년 12월 11일, 뉴욕 북부의 미 파산법원(U.S Bankruptcy Court)은 21st Century Oncology에 대한 합의안(a settlement agreement)을 승인하는 명령을 받았다. 이 협의안은 암치료 업체가 수년젼 겪었던 보안 침해사고에 대하여 미 보건복지부(U.S. Department of Health & Human Services)에 230만 달러를 지불하는 내용이 담겨있다. (15일에서 이어짐)

Detailed News List

  • KasperskyLabs
    • [SkyNews]
      Russian cybersecurity company sues White House
    • [BankInfoSecurity]
      Kaspersky Lab Sues US Government Over Ban
    • [SecurityAffairs]
      Kaspersky Lab files Lawsuit over DHS Ban of its products and services
    • [TheHackerNews]
      Kaspersky Lab Sues U.S. Government Over Software Ban
    • [BuzzFeed]
      Russian Cybersecurity Firm Kaspersky Sues US For Banning Its Products
    • [TheRegister]
      Kaspersky Drags Uncle Sam Into Court To Battle AV Ban
    • [ZDNet]
      Kaspersky hauling Homeland Security to court to overturn federal ban
    • [TheHill]
      Overnight Cybersecurity: Trump national security strategy calls out Russian cyber threat | Kaspersky sues over federal…
  • 21st Century Oncology
    • [BankInfoSecurity]
      Bankrupt Cancer Clinic Chain’s Insurer to Cover Breach Fine

 

Vulnerability Patches/Software Updates

Summaries

  • 마이크로소프트(Microsoft)가 워드(Word)의 DDE(Dynamic Data Exchange) 기능을 비활성화 했다. 사이버 범죄자들이 동적 업데이트 교환 프로토콜을 악용하는 것을 방지하기 위해서 모든 버젼의 워드에서 해당 기능을 비활성화 했다. DDE 프로토콜은 윈도우즈 응용프로그램이 데이터를 서로간에 전송하는 목적으로 설계되었다. 오피스 응용프로그램간에 데이터를 교환하기 위해 공유메모리를 사용하며, DDE 프로토콜은 오피스에서 오브젝트 링크 및 임베딩(OLE, Object Linking and Embedding)을 대체해왔다. (18일에서 이어짐)

Detailed News List

  • Microsoft Word
    • [NakedSecurity]
      Microsoft Word slams the door on DDEAUTO malware attacks

 

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 산업 안전 시스템(Industrial safety system)을 공격하는 악성코드에 대해서 국토안전부(DHS, Department of Homeland Security)가 경고에 나섰다. 지난주 파이어아이(FireEye)와 드라고스(Dragos)가 Triton 및 Trisis가 중동의 주요 인프라 기관의 운영중단을 일으킨 것에 대해 보도한 바 있다. 산업 보안에 특화된 CyberX 보안 기업은 이 공격의 배후에 이란이 있다고 추정하고 있다. 국토안보부는 HatMan이라 명명된 악성코드에 대해서 리포트를 공개하며, 대응 방안 및 YARA 룰을 공개했다.
  • 중동국가의 주요 사회기반시설 조직들을 대상으로 공격하는 사이버 공격에 대해서 파이어아이(FireEye)가 공개한지 며칠 후에 새로운 공격이 탐지되었다. Nyotron이 공개한 정보에 따르면, 이 공격자들은 사우디 아라비아, 이란, 알제리 와 관련된 것으로 보이며. Nyotron이 Copperfield라 명명한 악성코드는 H-Worm에 기반한다. H-Worm은 후디니(Houdini)에서 유래한 것으로, 4년된 원격접근트로이(RAT, Remote access trojan)다. 이 트로이는 알제리 해커가 만든 것으로 추정된다. 악성코드는 주로 감염된 USB 드라이브를 통해 유포된다.

Detailed News List

  • HatMan, Industrial Safety Systems
    • [SecurityWeek]
      DHS Warns of Malware Targeting Industrial Safety Systems
  • Copperfield
    • [DarkReading]
      Another Cyberattack Spotted Targeting Mideast Critical Infrastructure Organizations

 

Internet of Things

Summaries

  • 사용자의 무관심으로 인해 수백종의 Lexmark 프린터들이 온라인에 공격받기 쉬운 상태로 무방비로 노출되고 있다. NewSky의 보안연구자들이 수백종의 Lexmark 프린터들이 잘못 설정되어 있는 것을 발견했다. 프린터들이 공공 인터넷에 공개되어있어 쉽게 접근 가능하고, 누구나 대상 장비를 제어할 수 있는 것이다. 연구자들은 1,123개의 Lexmark 프린터들이 기업이나 대학교, 미 정부 사무실에 위치한 것을 확인했다. 이런 취약한 프린터들을 사용해서 백도어를 추가하거나 프린트 작업을 캡쳐하고, 동작이 불가능한 상태로 만들거나, 쓰레기 내용을 출력해 작업을 방해하는 등의 다양한 악의적 행위들이 가능하다.

Detailed News List

  • Lexmark Printers
    • [SecurityAffairs]
      Networked Printers are Some of the Oldest IoT Devices, and over 1,000 Lexmark Printers Are Vulnerable Today
    • [ThreatPost]
      Lexmark Printers Open To Attack

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 구글 애드워즈(AdWords)와 구글사이트를 사용해 학성코드를 배포하는 해커들이 탐지되었다. HackRead에서 사용자들이 가짜 구글 크롬 브라우저를 다운로드하게 하는 사기를 발견했다. Adwords는 구글에게 비용을 지불하고, 검색결과 상위 위치에 광고를 표시해주는 온라인 광고 서비스다. 그런데 이 광고를 구매해서 가짜 프로그램을 배포하는데 사용하는 사기가 벌어지고 있다.

Detailed News List

  • Google Adwords & Google sites
    • [HackRead]
      Hackers using Google Adwords & Google Sites to spread malware

 

Crypto Currencies/Crypto Mining

Summaries

  • 사이버 범죄 조직이 암호화폐 채굴에 사용할 새로운 봇넷 구성을 위해 데이터베이스 서비스들을 노리고있다. GuardiCore Labs의 연구자들에 의해 탐지된 이 공격은 Hex-Men 공격이라 이름 붙었다. 이 공격은 지난 3월부터 점차적으로 확대되어왔다. 이 공격엔 크게 3가지 변형이 있는데 각각 Hex, Hanako, Tayler 라 부른다. 각각은 서로 다른 SQL 서버를 노리며, 고유의 특정 목적, 규모, 목표 서버들을 가진다. 수집된 정보에 따르면, 공격자들은 중국에 기반하여 활동하며 중국 외에도 태국, 미국, 일본 및 기타 전세계 국가들을 공격 대상으로 하고있다.
  • 싱가폴이 화요일에 암호화폐 가격 급등에 따라 암호화폐에 대하여 경고를 발표했다. 싱가폴의 금융당국(Monetary Authority of Singapore)이 암호화폐에 대한 투자에 있어서 심각한 리스크가 발생할 수 있음을 인지하고 극히 조심하라는 경고를 발표했다.
  • 암호화폐 거래소인 유빗(구 야피존)이 일년새 두번 연속 해킹을 당하면서 결국 파산을 선언했다. 유빗이 이변 년도에만 두번째 해킹을 당하면서 결국 운영을 중단했다. 유빗은 화요일에 파산을 선언했다. 유빗은 지난번 해킹 공격에서 17퍼센트의 자산을 잃었다고 밝혔다. 대한민국 내 암호화폐 거래소가 파산한 첫번째 사건이다. 8개월 전, 해커가 유빗 전체 자산의 거의 40퍼센트에 해당하는 4,000 비트코인을 훔친 바 있다.

Detailed News List

  • Database Botnet
    • [DarkReading]
      New Database Botnet Leveraged for Bitcoin Mining
  • Singapore
    • [SecurityWeek]
      Singapore Issues Cryptocurrency Warning
    • [ZDNet]
      Singapore issues another cautionary note on cryptocurrencies
  • Youbit
    • [SecurityAffairs]
      South Korea cryptocurrency exchange Youbit shuts down after second hack in 2017
    • [GrahamCluley]
      Bitcoin exchange shuts down after being hacked twice in one year
    • [TripWire]
      Bitcoin Exchange Bids Adieu after Suffering Second Hack This Year
    • [SecurityWeek]
      South Korea Cryptocurrency Exchange Shuts Down After Hacking

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 최악의 비밀번호 목록에 대한 통계가 발표되었다. 역시나 이번년도에도 변함없이 123456과 같은 너무나 뻔한 비밀번호들이 상위를 차지하고 있다.
  • 영국 인터넷 서비스 제공사(ISP)가 이번년도 들어 두번째로 TeamViewer를 차단했다. 사용자를 잠재적인 사기범들(Scammers)로 부터 보호한다는 목적하에서다. 지난번 TeamViewer가 차단된 일은 이번 해 3월이었다. 차단은 채 하루가 넘지 않았다. TalkTalk은 인터넷 서비스 제공사(ISP)로 2015년에 157,000명의 사용자 개인정보를 노출시키는 데이터 침해사고를 겪은바 있다.
  • 다크웹에서 14억개의 평문 인증정보(credentials)를 담고있는 파일이 발견되었다. 최근 다크웹을 모니터링하는 4iQ에서 41기가바이트의 거대한 파일을 발견했다. 이 파일은 14억개의 로그인 인증정보를 담고 있는데, 그 내용은 이메일과 비밀번호가 평문(cleartext)으로 기록되어있다. 연구자들은 이 파일이 지금까지 다크 웹에서 발견된 것들 중 가장 큰 종합 데이터베이스라 보고있다. 4iQ의 블로그 포스트에서 밝힌 바에 따르면, 이 덤프는 이전의 252개의 침해사고를 하나로 모은 것으로 보인다. 이 파일은 다크웹에서 2017년 12월 5일에 발견되었고, 총 데이터 량은 1,400,553,869개의 사용자이름, 이메일, 평문 비밀번호다. (11일에서 이어짐)

Detailed News List

  • 123456
    • [TripWire]
      “123456” Still Reigns Supreme on Worst Passwords List
    • [CSOOnline]
      Top 25 worst, most insecure passwords used in 2017
    • [TrendMicro]
      With 1.4 Billion Stolen Log-Ins on the Dark Web, it’s Time to Take Password Management Seriously
    • [DarkReading]
      ‘Starwars’ Debuts on List of Worst Passwords of 2017
  • TalkTalk
    • [TheRegister]
      TalkTalk banbans TeamTeamviewerviewer againagain
  • 1.4 Billion
    • [TheRegister]
      Archive of 1.4 BEEELLION credentials in clear text found in dark web archive

 

Posted in Security, Security NewsTagged Copperfield, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, CVE-2017-5254, Cyber Espionage, DDE, Dynamic Data Exchange, GnatSpy, HatMan, Hex-Men Attack, Industrial Control System, Internet of Things, IoT, Loapi, Loki, Malware, NetTraveler, Operation Dragonfly, PYLOT, Scam, Sphinx, TelegramRAT, Travle, Triton Malware, VulnerabilityLeave a comment

글 내비게이션

이전 글

Search

Recent Posts

  • Exploit PoC for CVE-2023-20887 VMWare Aria Operations for Networks
  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外

Categories

  • Diet (7)
  • Exploit (1)
  • Flaw (2)
  • Hacking (1)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2023년 6월 (1)
  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.