Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] Slingshot

Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外

Posted on 2018-03-29 - 2018-03-29 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 유진 카스퍼스키가 미군에 의한 사이버 작전이었다고 밝힌 슬링샷(Slingshot) 리포트에 대해서 입장을 밝혔다. 현 카스퍼스키 랩(Kaspersky Lab)의 설립자인 유진 카스퍼스키가 ISIS 및 Al-Qaeda 테러리스트를 상대로 한 사이버 스파이 작전이었다고 밝혔던 슬링샷 연구 리포트에 대해 인터뷰했다. 호주 멜버른에서 열린 Formula One이벤트 후의 호주 언론과의 인터뷰에서 유진 카스퍼스키는 “우리의 X-ray에 대해 비난하지 말라”고 말했다. 그는 “우리의 엑스레이는 어떤 총이든 감지해 울리게 되어있다. 그 총의 주인이 테러리스트건 경찰이건, 누가 그 총을 가지고 있는가에 대해서는 상관하지 않는다. 우린 세계 최고 수준의 X-ray를 제공한다. 그 경보가 돈을 노린 범죄자에 대한 것이었다거나 정보를 찾던 사이버 스파이 행위였다는 것을 알기에는 며칠이 걸릴 수 있다. 우리 X-ray는 어떤 것이든 탐지하도록 만들어졌다.”고 말했다. 그리고 카스퍼스키는 다른 비유를 더 들기도 했다. “물에서 물고기를 낚는 게 우리 일이다. 우린 그 물고기가 무슨 언어를 쓰는지 알 수 없다. 물고기를 보면, 우리는 그 물고기를 잡아야 하는 거다.”

Detailed News list

  • Slingshot
    • [CyberScoop]
      Eugene Kaspersky defends publishing ‘Slingshot’ report

 

Malwares

Summaries

  • ThreadKit이라는 악성코드 제작 키트가 확인되었다. ThreadKit이라 명명된 새로운 Microsoft Office document exploit builder kit이 확인되었다. 이 빌드킷은 다양한 악성코드 유포에 사용되었는데, 그 중에는 원격제어트로이(RAT)와 뱅킹트로이도 포함되었다. 이 익스플로잇 킷은 2017년 10월에 처음 발견되었다. 그러나 전문가들에 따르면, 사이버 범죄자들은 이 익스플로잇 킷을 최소 2017년 6월부터 사용해 온 것으로 보인다.
  • GoScanSSH라는 새로운 악성코드가 탐지되었다. 이 악성코드는 온라인에 노출되어있는 SSH 서버를 노린다. 그러나 정부기관 및 군사기관 IP는 피하는 것으로 보인다. 이 악성코드는 지난 2017년 6월 부터 활동해 왔으며, 다양한 고유의 특성을 보인다. 일반적인 악성코드와는 다르게, GoScanSSH는 Go(Golang)프로그래밍언어로 작성되었다. 그리고 군사시설의 IP는 공격 대상에서 제외한다. 그리고 감염된 시스템에 맞는 악성코드 바이너리를 생성한다. 연구자들에 따르면, GoScanSSH 악성코드의 초기 감염 벡터는 브루트포스 공격이다. 7천개 이상의 사용자이름, 비밀번호가 포함된 워드리스트를 사용한다. 연구자들은 또한 GoScanSSH는 C&C(Command and control) 인프라구조로 Tor2Web 프록시 서비스를 이용해 C&C 인프라에 대한 추적(Tracking)과 차단(Takedown)을 어렵게 하고 있다. (28일에서 이어짐)

Detailed News List

  • ThreadKit
    • [SecurityAffairs]
      New ThreadKit exploit builder used to spread banking Trojan and RATs
    • [SecurityWeek]
      New “ThreadKit” Office Exploit Builder Emerges
  • GoScanSSH
    • [InformationSecurityBuzz]
      GoScanSSH Malware
    • [SecurityWeek]
      GoScanSSH Malware Targets Linux Servers

 

Exploits/Vulnerabilities

Summaries

  • 마이크로소프트에서 릴리즈한 멜트다운용 패치가 오히려 더 심각한 취약점을 만들어냈다는 기사가 공개되었다. 마이크로소프트가 멜트다운(Meltdown) 취약점 수정을 위해 릴리즈한 초기 패치들이 윈도우즈 7에서 공격자들이 커널 메모리를 더 빨리 읽을 수 있고 메모리에 쓸 수 있는 오히려 더 심각한 취약점을 만들어 냈다고 개인 보안 연구가가 밝혔다. Ulf Frisk라는 보안 연구가는 마이크로소프트가 공개한 윈도우즈7 패치에 대해서, 공격자가 기기에서 실행중인 모든 유저레벨의 프로세스에 접근할 수 있게 만든다고 밝혔다. 마이크로소프트의 대변인은 이 문제에 대해 인지하고 있으며 해결방안을 찾고 있다고 인터뷰에서 밝혔다. 취약점은 64비트 윈도우즈7(Service pack 1)과 윈도우즈 서버 2008(Service Pack1)에만 영향이 있다.

Detailed News List

  • Meltdown
    • [CyberScoop]
      Microsoft’s Meltdown patches introduced a whole new vulnerability
    • [SecurityAffairs]
      Meltdown security patches issued by Microsoft exposed to severe attacks
    • [ThreatPost]
      Bad Microsoft Meltdown Patch Made Some Windows Systems Less Secure
    • [ZDNet]
      Windows 7 Meltdown patch opens worse vulnerability: Install March updates now
    • [SecurityWeek]
      Microsoft Patches for Meltdown Introduced Severe Flaw: Researcher
    • [TheRegister]
      Microsoft’s Windows 7 Meltdown fixes from January, February made PCs MORE INSECURE

 

Vulnerability Patches/Software Updates

Summaries

  • 시스코에서 원격코드실행 버그를 수정하는 보안 패치를 릴리즈했다. 많이 쓰이는 네트워킹 운영체제 IOS XE의 취약점이 수정되었다. 첫번째 취약점은 CVE-2018-0151로 인증되지 않은(unauthenticated) 원격의 공격자가 서비스거부상태를 일으키거나 임의의 코드를 상승된 권한으로 실행시킬 수 있는 취약점이다. 두번째 취약점은 CVE-2018-0171로 Cisco IOS 소프트웨어 및 Cisco IOS XE 소프트웨어의 Smart Install 기능에 존재한다. 이 취약점은 대상 장비에서 무한루프를 발생시키거나 원격 코드 실행을 가능하게 한다.
  • 예정되어 있던 드루팔 코어의 보안 업데이트가 릴리즈되었다. 드루팔에서 긴급 보안 패치를 공개했다. 이 패치에서는 ‘다수의 서브시스템’의 원격 코드 실행(remote code execution) 취약점이 수정되었다. 이 취약점들은 공격자가 드루팔로 만들어진 웹사이트에서 다양한 방법으로 공격할 수 있게 하며, 사이트가 완전히 장악당할 수 있다. 웹사이트를 어떤 웹페이지에서든 공격할 수 있으며, 로그인이나 어떤 권한도 필요하지 않다. 아직은 어떠한 공격 코드도 확인된 바 없으나, 드루팔에서는 공격코드가 누군가에 의해 개발되는데 몇시간 걸리지 않을 것이라 경고했다. 취약점은 CVE-2018-7600으로 드루팔의 코어에 존재하며 버젼 6,7,8에 영향을 미친다.

Detailed News List

  • Cisco
    • [ThreatPost]
      Cisco Patches Two Critical RCE Bugs in IOS XE Software
    • [US-CERT]
      Cisco Releases Security Updates
  • Drupal
    • [US-CERT]
      Drupal Releases Critical Security Updates
    • [TheRegister]
      Running Drupal? You need to patch, patch, patch right now!

 

Cyber Intelligence/Open Source Intelligence

Summaries

  • 카스퍼스키가 내부에서 사용하던 도구를 오픈소스화 했다. 카스퍼스키가 내부에서 개발한 distributed YARA scanner를 정보보안 커뮤니티에 대한 보답차원에서 오픈소스로 공개했다. VirusTotal의 소프트웨어 엔지니어 Victor Alvarez에 의해 개발된 YARA는 연구자들이 텍스트나 바이너리의 패턴을 기반으로 위협을 정의해 악성코드를 탐지할 수 있도록 만든 툴이다. 카스퍼스키랩은 KLara라는 이름으로 이 YARA툴의 자신들의 고유 버젼을 개발했다. 대량의 악성코드 샘플을 빨리 스캔할 수 있도록 분산 구조(distributed architecture)에 사용할 수 있는 파이썬 기반 어플리케이션이다.

Detailed News List

  • Kaspersky
    • [DarkReading]
      Kaspersky Lab Open-Sources its Threat-Hunting Tool
    • [SecurityWeek]
      Kaspersky Open Sources Internal Distributed YARA Scanner

 

Mobile/Cloud

Summaries

  • 아이폰 카메라의 QR 기능 및 안드로이드용 QR코드 앱에서 버그와 악성코드가 발견되었다. iOS 카메라 앱에 내장된 QR code 리더의 버그로 인해, 사용자가 악성 웹사이트로 리다이렉트 될 수 있다. 이 취약점은 iPhone, iPad, iPod touch 기기의 최신 애플 iOS 11에 영향을 미친다. 내장 QR code 리더의 URL 파서가 URL의 호스트명을 정확하게 탐지하지 못해 화면에 표시되는 URL과는 다른 웹사이트를 열게 할 수 있다. 알림내용으로는 사파리 브라우저에서 facebook을 접속한다고 뜨지만, 실제로는 다른 웹 사이트에 접속되는 식이다.
  • 안드로이드에서 모네로 암호화폐를 채굴하며 심지어는 스마트폰을 고장내는 악성코드가 발견되었다. 트렌드 마이크로에서 구글 플레이 업데이트로 위장한 모네로 채굴 악성코드를 확인했다. 주요 공격 대상은 중국 및 인도의 사용자인 것으로 보인다. HiddenMiner라 명명된 이 악성코드는 구글 플레이 업데이트 앱으로 위장했다. 앱이 일단 설치되면, 장치 관리자 권한으로 실행하는 것을 요청하며 사용자가 활성화 버튼을 누를때까지 지속적으로 팝업을 표시한다. 악성코드는 감염된 기기의 CPU를 사용해 Monero 암호화폐를 채굴하며, 트렌드마이크로에 따르면 이 채굴은 기기가 과열되어 재부팅 될 때까지 계속된다.

Detailed News List

  • QR Code Apps
    • [InformationSecurityBuzz]
      500,000 People Downloaded Malicious QR Code Apps From Google Play
    • [GrahamCluley]
      How a boobytrapped QR code can trick iOS 11 into taking you to a malicious website
    • [WeLiveSecurity]
      Be wary when scanning QR codes with iOS 11’s camera app
    • [SecurityAffairs]
      A flaw in the iOS camera QR code URL parser could expose users to attacks
    • [TheHackerNews]
      QR Code Bug in Apple iOS 11 Could Lead You to Malicious Sites
    • [HackRead]
      3-month old flaw in iPhone camera app takes users to phishing sites
  • Android HiddenMiner
    • [HackRead]
      HiddenMiner Android Monero Mining Malware Cause Device Failure
    • [DarkReading]
      New Android Cryptojacker Can Brick Phones
    • [InfoSecurityMagazine]
      HiddenMiner Stealthily Drains Androids for Monero Mining
    • [TrendMicro]
      Monero-Mining HiddenMiner Android Malware Can Potentially Cause Device Failure

 

Posted in Security, Security NewsTagged Cryptocurrency Mining, CVE-2018-0151, CVE-2018-0171, CVE-2018-7600, Cyber Espionage, Exploit Kit, GoScanSSH, HiddenMiner, KLara, Malware, Patches, Slingshot, ThreadKit, VulnerabilityLeave a comment

Security Newsletters, 2018 Mar 22nd, Slingshot 캠페인은 미군이 운영한 작전 外

Posted on 2018-03-22 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 카스퍼스키랩(KasperskyLab)에 의해 슬링샷(Slingshot) 캠페인이 미국이 주도한 작전이었음이 드러났다. 카스퍼스키랩에 의해 슬링샷이라 명명된 사이버 스파이 작전이 미 정부에 의해 테러리스트 단체들의 조직원을 노리고 운영되었던 작전이었음이 드러났다. 이번달 초 카스퍼스키에서 중동 및 아프리카의 기관들의 미크로틱 라우터를 해킹하는 등의 작전을 펼친 위협행위자(threat actor)의 활동내역에 대한 상세 리포트가 공개된 바 있다. 이 스파이 그룹은 최소 2012년부터 활동해 온 것으로 추정되며, 영어로 소통하는 것으로 추정된다고 말했다. 이 그룹이 사용한 악성코드는 연구자가 악성코드 내부에서 발견한 문자열을 따라서 슬링샷이라 명명되었다. 카스퍼스키랩은 주로 케냐 및 예멘에 위치한 약 100여명의 개인 및 기관들이 슬링샷 악성코드의 공격 대상이었음을 확인했고, 그 외에 아프가니스탄, 리비야, 콩고, 요르단, 터키, 이라크, 수단, 소말리아, 탄자니아에도 존재한다. CyberScoop은 전현직 미 첩보기관 공무원들로부터 슬링샷이 미군의 특수작전본부(SOCOM, Special Operations Command)소속인 합동특수작전본부(JSOC, Joint Special Operations Command)에 의해 ISIS나 al-Qaeda와 같은 테러리스트 단체의 조직원을 겨냥한 작전이었음을 확인했다고 주장한다.

Detailed News list

  • Slingshot
    • [SecurityWeek]
      ‘Slingshot’ Campaign Outed by Kaspersky is U.S. Operation Targeting Terrorists: Report

 

Exploits/Vulnerabilities

Summaries

  • 윈도우즈 원격 어시스턴스에서 파일을 유출시킬 수 있는 취약점이 발견되었고, 최근 Patch Tuesday에서 수정되었다. 마이크로소프트의 윈도우즈 원격 어시스턴스(Windows Remote Assistance)에서 치명적인 취약점이 발견되었다. 이 취약점은 최근의 Windows 10, 8.1, RT 8.1, 7 모든 버젼에 영향을 주며, 원격의 공격자가 공격대상 기기에서 파일을 훔칠 수 있다. 윈도우즈 원격 어시스턴스는 전 세계 어디에서든 문제를 해결하는데 도움을 줄 수 있도록, 누군가가 내 PC를 원격으로 제어할 수 있게 혹은 내가 누군가의 PC를 원격으로 제어할 수 있게 해주는 내장 기능이다. 이 기능은 원격 데스크탑 프로토콜(RDP, Remote Desktop Protocol)에 의존해 상대방과 보안 연결(secure connection)을 맺는다. 그러나 Trend Micro Zero Day Initiative의 Nabeel Ahmed가 발견해 공개한 바에 따르면, Windows Remote Assistance에 정보 노출 취약점(information disclosure vulnerability, CVE-2018-0878)이 존재한다. 공격자가 피해자의 시스템을 장악할 수 있는 정보를 획득할 수 있는 취약점이다. 이 취약점은 이번달 Patch Tuesday에서 수정되었다. 이 취약점은 Microsoft Windows Server 2016, Windows Server 2012 and R2, Windows Server 2008 SP2 and R2 SP1, Windows 10(32/64-bit), Windows 8.1(32/64-bit) and RT 8.1, Windows 7(32/64-bit)에 영향을 미친다. (21일에서 이어짐)

Detailed News List

  • Windows Remote Assistance
    • [ITSecurityGuru]
      Windows Remote Assistance Tool Can Be Used for Targeted Attacks
    • [SecurityAffairs]
      Windows Remote Assistance flaw could be exploited to steal sensitive files

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • Polski, Vortex, Flotera 랜섬웨어 제작자 Tomasz T가 지난 수요일 폴란드에서 체포되었고, 금요일 이 사실이 폴란드 법 집행기관에 의해 발표되었다. Thomas 혹은 Amaged0n으로 알려진 Tomasz T는 폴란드 시민권자로 벨기에에서 거주했으며, DDoS 공격, 악성코드 유포, 랜섬웨어를 사용한 파일 암호화 등의 사이버 범죄 혐의를 받고있다. 유로폴과 협업과정에서 벨기에 경찰이 Tomasz T의 집을 수색하고 컴퓨터 장비 및 노트북, 원격 서버, 암호화키를 압수했다. 검찰에 따르면, 용의자가 처음으로 뱅킹 트로이를 통해 사용자의 클립보드에 존재하는 은행계좌번호를 그가 소유한 계좌번호로 바꿔치기 하는 방법으로 돈을 훔친 2013년부터 활동해왔다.

Detailed News List

  • Author of Three Ransomware Families Arrested in Poland
    • [EHackingNews]
      Author of Three Critical Ransomware Families Arrested in Poland

 

Vulnerability Patches/Software Updates

Summaries

  • AMD에서 최근 CTS Labs이 발표한 CPU취약점들의 패치를 곧 공개할 예정이라고 발표했다. AMD는 이번달 초 CTS Labs에의해 공개된 취약점들에 대한 패치가 몇 주 안에(in the coming weeks) 릴리즈 될 것이라 밝혔다. AMD의 CTO가 공개한 계획은 다음과 같다. Ryzen 및 Epyc 프로세서에 영향을 주는 MASTERKEY 및 PSP 권한 상승 취약점과 Ryzen, Ryzen Pro, Ryzen Mobile, Epyc 프로세서에 영향을 주는 RYZENFALL, FALLOUT 취약점은 BIOS를 업데이트하는 펌웨어 패치 릴리즈를 통해 수정될 것이며 해당 칩의 퍼포먼스에는 영향이 없다. Ryzen, Ryzen Pro 프로세서에 영향을 주는 CHIMERA 취약점은 동일한 방식으로 수정될 것이며, Promontory 칩셋을 설계 및 제조한 서드파티 제조사인 ASMedia에 의한 대응도 AMD의 협조를 통해 제공될 것이라 밝혔다.

Detailed News List

  • AMD Preps Fixes
    • [BankInfoSecurity]
      Chipmaker AMD Confirms 13 Chipset Flaws, Preps Fixes
    • [HelpNetSecurity]
      AMD confirms processor flaws found by CTS Labs, firmware fixes are coming
    • [Forbes]
      Those Nasty AMD Chip Flaws Will Be Patched In A Flash
    • [ZDNet]
      AMD on chip flaws: ‘Newly outed bugs are real but no big deal, and fixes are coming’
    • [SecurityAffairs]
      AMD will release the patches for the recently discovered flaws very soon
    • [TheHackerNews]
      AMD Acknowledges Newly Disclosed Flaws In Its Processors — Patches Coming Soon
    • [SecurityWeek]
      AMD Says Patches Coming Soon for Chip Vulnerabilities

 

Data Breaches/Info Leakages

Summaries

  • 휴가 예약 사이트인 Orbitz가 88만건의 신용카드 정보가 해커에 의해 도난당했을 수 있다고 경고했다. 성명문에 따르면, Orbiz는 지난 3월 1일 자신들의 구(legacy) 플랫폼 중 하나에서 침입의 흔적을 발견해 포렌식 팀을 요청했다고 밝혔다. Orbitz의 중앙 예약 시스템에 침입이 있었던 것으로 보이며, 이름, 지불 카드 정보, 생일, 전화번호, 이메일 주소, 실제 주소, 청구 주소, 고객의 성별 정보가 유출된 것으로 추정된다. (21일에서 이어짐)
  • 페이스북의 5천만 고객 데이터 유출에 대한 기사가 이어지고 있다. 도널드 트럼프의 대선 캠페인을 맡았던 업체가 5천만 사용자의 데이터를 수집했다는 발표 이후 페이스북 주가가 요동쳤다. 페이스북이 데이터 오용 리포트에 대한 대응으로 트럼프의 2016년 캠페인에 고용되었던 영국의 커뮤니케이션 기업 Cambridge Analytica의 계정을 정지시키면서 이에 대한 수사요청이 대서양 양측에서 일어났다. (20일에서 이어짐)

Detailed News List

  • Orbitz
    • [ThreatPost]
      Orbitz Warns 880,000 Payment Cards Suspected Stolen
    • [EHackingNews]
      Orbitz data breach has affected 880,000 customers
    • [PandaSecurity]
      Travel Fare Aggregator Orbitz has Been Hacked
    • [CSOOnline]
      Orbitz: Hackers likely stole credit card details of nearly 900K Orbitz users
    • [InformationSecurityBuzz]
      Orbitz Data Leak
    • [ITSecurityGuru]
      Now that’s a bad trip: 880k credit cards ‘likely’ stolen by Orbitz hackers
    • [HelpNetSecurity]
      880,000 payment cards, user info hit in Orbitz data breach
    • [TheHackerNews]
      Expedia’s Orbitz Says 880,000 Payment Cards Compromised in Security Breach
  • Facebook
    • [Forbes]
      Facebook Breaks Silence
    • [ZDNet]
      Mark Zuckerberg outlines Facebook’s response to Cambridge Analytica controversy
    • [ThreatPost]
      Zuckerberg Breaks Silence: ‘We Made Mistakes’ Regarding Cambridge Analytica Debacle
    • [ThreatPost]
      Facebook Fallout Continues as Politicians Call For Legal Action
    • [SecurityWeek]
      Growing Mistrust Threatens Facebook After Data Mining Scandal
    • [Forbes]
      Facebook’s Data-Sharing Was ‘Normal,’ Says Cambridge Academic At Center OfScandal
    • [TechDirt]
      How ‘Regulating Facebook’ Could Make Everyone’s Concerns Worse, Not Better
    • [HackRead]
      WhatsApp Co-Founder Urges Users to Delete Their Facebook Accounts
    • [TechDirt]
      Facebook Has Many Sins To Atone For, But ‘Selling Data’ To Cambridge Analytica Is Not One Of Them
    • [ZDNet]
      Securing Facebook: Keep your data safe with these privacy settings
    • [TechDirt]
      If You’re Pissed About Facebook’s Privacy Abuses, You Should Be Four Times As Angry At The Broadband Industry
    • [ITSecurityGuru]
      Cambridge Analytica CEO, er, nixed as WhatsApp co-founder joins #DeleteFacebook movement
    • [BankInfoSecurity]
      Facebook and Cambridge Analytica: Data Scandal Intensifies
    • [Forbes]
      How Cambridge Analytica Used Big Sleaze To Mine Big Data
    • [InfoSecurityMagazine]
      Cambridge Analytica Used ProtonMail to Hide Email Paper Trails

 

Service Outage/Malfunction

Summaries

  • The Pirate Bay 토렌트 트래커가 다운되었다. 그러나 다크웹의 도메인은 운영중이다. The Pirate Bay 도메인이 전세계적으로 접속이 불가능한 상태다. The Pirate Bay는 UTC기준 20시 18분에 다운되었다. 그러나 아직까지 오프라인 상태에 대한 원인은 확실히 밝혀진 바 없다. 지난 4일간 두번째 발생한 다운타임이며, 아직 다크웹 도메인을 통한 접속은 가능한 상태다. 이전에는 미국에 위치한 다국적 인터넷 서비스 제공사인 Cogent Communications에서 Cloudflare의 새 IP주소를 차단하면서 접속장애가 발생한 바 있다.

Detailed News List

  • Pirate Bay
    • [HackRead]
      The Pirate Bay is down again but its Dark Web domain is up

 

Crypto Currencies/Crypto Mining

Summaries

  • Cacti의 Network Weathermap 취약점을 사용해 유포되는 암호화폐 채굴기가 리눅스 서버를 노리고있다. 트렌드마이크로에 따르면 이전의 JenkinsMiner 악성코드를 사용했던 암호화폐 채굴 갬페인와 연관지을 수 있는 칩입시도가 모니터링 과정에서 탐지되었다. 차이점은 이번 캠페인에서는 리눅스 서버들을 공격 대상으로 한다. 전형적인 과거 취약점의 재사용 사례이기도 하다. 트렌드 마이크로는 이 캠페인이 일본, 대만, 중국, 미국, 인도에서 이루어지고 있다고 밝혔다. 이 캠페인에서는 시스템 관리자들이 네트워크 활동내역을 시각화하는데 사용하는 Cacti의 Network Weathermap 플러그인 취약점 CVE-2013-2618를 공격한다.

Detailed News List

  • PHP Weathermap Vulnerability
    • [TrendMicro]
      Cryptocurrency Miner Distributed via PHP Weathermap Vulnerability, Targets Linux Servers

 

Posted in Security, Security NewsTagged Crypto Currency, Cryptocurrency Mining, CVE-2013-2618, Cyber Espionage, Data Breach, Information Leakage, Outage, Patches, Slingshot, VulnerabilityLeave a comment

Security Newsletters, 2018 Mar 13th, 중국 배후 APT 그룹의 악성코드 外

Posted on 2018-03-13 - 2018-03-13 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 중국이 배후인 것으로 추정되는 APT 그룹이 새로운 백도어를 사용해 다양한 영국 정부 기관 및 군사 기관들의 계약업체를 노린 공격으로 추정된다. 지난 주 카스퍼스키의 Security Analyst Summit(SAS)에서 NCC 그룹의 Senior malware researcher인 Ahmed Zaki가 영국 정부의 서비스 제공사를 노린 악성코드 기반의 공격에 대한 상세 정보를 발표했다. 이 발표에서 중국과 관련된, Ke3chang, Mirage, Vixen Panda, Playful Dragon으로도 알려진 APT15 그룹이 이 공격을 실행했다고 밝혔다. 이 공격은 영국 정부 및 군사 기관들의 계약업체를 노린 큰 공격의 일부였다고 밝혔다. APT15 그룹은 최소 2010년부터 활동해 왔으며, 전 세계를 대상으로 한 사이버 스파이 캠페인을 펼쳐왔다. NCC Group은 이 해킹그룹과 관련된 두개의 새로운 악성코드를 탐지했다고 밝혔다. 침해 분석과정에서 APT15의 공격도구들 중 일부로 보이는 백도어들을 찾아냈다. 이 그룹에 의해 지속적으로 사용된 BS2005라는 백도어와 함께, RoyalCli 및 RoyalDNS라는 백도어가 확인되었다.
  • 2017년에 CCleaner 유틸리티에 심어졌던 백도어에 대한 조사가 이어져, 이 공격의 배후가 침해 컴퓨터들에 ShadowPad 악성코드를 설치하려 계획했다고 Avast가 밝혔다. Avast는 CCleaner 제작사인 Piriform을 인수했으며, 지난 2017년 9월 처음 악성코드 공격이 밝혀진 이래 계속적으로 조사해 왔다. Avast는 감염된 컴퓨터에서 세번째 단계(Third stage)의 바이너리 증거를 찾지 못했으나, “세번째 단계의 의도가 무엇이었는가”에 대한 증거를 찾아냈다고 지난주에 열린 Kaspersky Lab의 Security Analyst Summit(SAS)에서 밝혔다. Avast에 따르면, 2017년 3월에서 7월 4일 사이에 Piriform의 빌드서버에 악성코드가 유포되었다. 지난 9월 Avast 및 Kaspersky Lab의 Costin Raiu는 중국 사이버 스파이 그룹인 Axiom이 이 공격의 배후라 밝힌바 있다.

Detailed News list

  • Chinese APT Goup APT15
    • [SecurityAffairs]
      China-Linked APT15 used new backdoors in attack against UK Government’s service provider
    • [SecurityWeek]
      China-Linked Spies Used New Malware in U.K. Government Attack
  • Chinese APT Group Axiom
    • [DarkReading]
      Chinese APT Backdoor Found in CCleaner Supply Chain Attack
    • [Threatpost]
      CCleaner Attackers Intended To Deploy Keylogger In Third Stage

 

Malwares

Summaries

  • 카스퍼스키랩의 연구원들에 의해 복잡하고도 뛰어난 해킹 기법을 통해 최소 지난 2012년 이래로 비밀리에 해킹을 지속해온 APT 그룹이 드러났다. 이 해킹 그룹은 슬링샷(Slingshot)이라 명명된 고도화된 악성코드를 사용해 중동 및 아프리카의 라우터 해킹을 통해 수많은 피해자들을 감염시켰다. 카스퍼스키랩이 공개한 25페이지 분량의 보고서에 따르면, 이 그룹은 라트비아의 네트워크 하드웨어 제작사인 미크로틱(Mikrotik) 라우터의 알려지지 않은 취약점을 공격해 감염벡터의 첫번째 단계로 시용했으며, 이를 이용해 피해대상의 컴퓨터에 비밀리에 스파이웨어를 심었다. (10일에서 이어짐)

Detailed News List

  • Slingshot
    • [ZDNet]
      Spy malware secrets: How complex ‘Slingshot’ hit targets via hacked routers
    • [CyberScoop]
      Kaspersky uncovers sophisticated cyber-espionage operation across Africa and Middle East
    • [InformationSecurityBuzz]
      ANNOUNCEMENT: Check Your Router – Kaspersky Lab Discovers Slingshot Malware
    • [BankInfoSecurity]
      How ‘Slingshot’ Router Malware Lurked for Six Years
    • [Threatpost]
      Cyber Espionage Campaign ‘Slingshot’ Targets Victims Via Routers
    • [SecurityAffairs]
      Sophisticated APT group compromised routers to deliver Slingshot Spyware
    • [TheRegister]
      Slingshot malware uses cunning plan to find a route to sysadmins

 

Exploits/Vulnerabilities

Summaries

  • 물리적으로 분리(Air-Gapped)된 컴퓨터에서의 스피커를 이용한 MOSQUITO Attack 이라는 데이터 유출 방법에 대한 기사가 공개되었다. 이스라엘의 Ben-Gurion 대학의 연구자들이 금요일에 공개된 논문에서 동일 공간에서의 두 컴퓨터 간에 마이크를 사용하지 않는 초음파(ultrasonic sound waves) 형태의 데이터 추출 방법을 설명했다. 논문은 “MOSQUITO: Covert Ultrasonic Transmissions between Two Air-Gapped Computers using Speaker-to-Speaker Communication”이다.

Detailed News List

  • MOSQUITO Attack
    • [TheHackerNews]
      MOSQUITO Attack Allows Air-Gapped Computers to Covertly Exchange Data
    • [TheRegister]
      Air gapping PCs won’t stop data sharing thanks to sneaky speakers

 

Internet of Things

Summaries

  • 사물인터넷(IoT, Internet of Things) 카메라 해킹과 관련된 기사들이 이어졌다. 카스퍼스키랩의 Vladimir Dashchenko에 따르면 한화의 스마트캠에서 다수의 취약점이 발견되었다. 취약점은 펌웨어 업데이트나 상호작용을 위해 사용하는 HTTP 프로토콜을 가로챌 수 있으며, 웹 기반의 사용자 인터페이스를 조작하거나 루트 권한으로 원격 명령을 실행할 수 있고 서비스 거부 공격, 관리자 계정에 대한 브루트포스 공격, 인증 우회 등이 가능하다. 전문가들은 인터넷이 노출되어 있는 대략 2,000개 정도의 카메라의 IP를 확인했다. 그러나 이 취약점들이 인터넷에 직접적으로 연결되어 있지 않아도 스마트캠 클라우드 인프라의 취약점으로 인해 공격받을 수 있어, 실질적으로 훨씬 더 많은 수의 장비들이 취약할 것으로 보고있다.

Detailed News List

  • IoT Camera
    • [SecurityWeek]
      Remotely Exploitable Flaws Found in SmartCam Cameras
    • [Securelist]
      Somebody’s watching! When cameras are more than just ‘smart’
    • [HackRead]
      Sauna security camera hacked; nude videos of Dutch Women’s Handball Team leaked
    • [HackRead]
      Israeli Rabbi arrested for hacking CCTV cameras at women’ bathing suit shop
    • [EHackingNews]
      Sauna Camera Breached; Nude Video of Dutch Women Handball Team Players Leaked

 

Posted in Security, Security NewsTagged APT15, Axiom, BS2005, Cyber Espionage, IoT, Ke3chang, Malware, Mirage, MOSQUITO Attack, Playful Dragon, RoyalCli, RoyalDNS, ShadowPad, Slingshot, Vixen PandaLeave a comment

Security Newsletters, 2018 Mar 10th, Mikrotik 해킹 및 슬링샷 악성코드 外

Posted on 2018-03-10 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 카스퍼스키랩의 연구원들에 의해 복잡하고도 뛰어난 해킹 기법을 통해 최소 지난 2012년 이래로 비밀리에 해킹을 지속해온 APT 그룹이 드러났다. 이 해킹 그룹은 슬링샷(Slingshot)이라 명명된 고도화된 악성코드를 사용해 중동 및 아프리카의 라우터 해킹을 통해 수많은 피해자들을 감염시켰다. 카스퍼스키랩이 공개한 25페이지 분량의 보고서에 따르면, 이 그룹은 라트비아의 네트워크 하드웨어 제작사인 미크로틱(Mikrotik) 라우터의 알려지지 않은 취약점을 공격해 감염벡터의 첫번째 단계로 시용했으며, 이를 이용해 피해대상의 컴퓨터에 비밀리에 스파이웨어를 심었다.
  • 최근 패치된 Adobe Flash의 제로데이 취약점이 터키의 금융 서비스 기관들에 대한 해킹에 악용되고 있다고 맥아피(McAfee)가 경고했다. 맥아피는 추후 터키 금융기관에서의 절도를 목적으로 데이터를 수집하는 것으로 보이는 초기활동을 확인했다고 밝혔다. 이 캠페인에서 최근 Adobe Flash 제로데이 취약점을 사용한 것을 확인했다고 목요일 블로그포스트를 통해 밝혔다. 이 공격에서 사용된 악성코드는 뱅크샷(Bankshot)이라 불리는 트로이다. 이 악성코드는 이전의 히든코브라(Hidden Cobra)또는 라자러스(Lazarus Group), Reaper, Group 123 등 북한이 배후인 것으로 추정되는 해킹그룹과 관련되어있다.
  • 평창 동계 올림픽에 대한 사이버 공격의 배후가 북한이 아니었으며, 북한으로 보이도록 의도적으로 위장한 공격이었다는 리포트가 이어졌다. 2018 동계 올림픽 인프라에 장애를 가져왔던 악성코드에 대한 면밀한 조사결과, 그 배후가 북한으로 보이도록 만들기 위한 의도가 있었는 리포트가 공개되었다. 평창동계올림픽 첫날 Olympic Destroyer라는 악성코드에 의해 매인 웹사이트가 다운되고 행사장 주변 WiFi 네트워크가 중단되며, 서버의 데이터가 지워지는 사태가 발생했었다. 그리고 이어지는 몇주간 여러 공격들이 Lazarus Group이라고도 알려진 북한 배후의 해킹그룹의 소행이라는 분석이 계속되었다. 그러나 이번에 카스퍼스키랩 엔지니어들은 Lazarus Group이 코드를 작성하지 않았다고 주장한다. (9일에서 이어짐)

Detailed News list

  • Slingshot APT
    • [KasperskyLab]
      Slingshot APT: Riding on a hardware Trojan horse
    • [TheHackerNews]
      APT Hackers Infect Routers to Covertly Implant Slingshot Spying Malware
    • [DarkReading]
      ‘Slingshot’ Cyber Espionage Campaign Hacks Network Routers
    • [InfoSecurityMagazine]
      Slingshot APT Actor Shoots onto the Scene
    • [SecurityWeek]
      Sophisticated Cyberspies Target Middle East, Africa via Routers
    • [Securelist]
      The Slingshot APT FAQ
  • Turkey
    • [TheRegister]
      Citizen Lab says Sandvine network gear aids government spyware
    • [BankInfoSecurity]
      Bankshot Trojan Targets Turkish Financial Sector
    • [TheHackerNews]
      ISPs Caught Injecting Cryptocurrency Miners and Spyware In Some Countries
    • [SecurityWeek]
      New North Korea-linked Cyberattacks Target Financial Institutions
    • [CyberScoop]
      ISPs inside Turkey and Egypt spread FinFisher spyware in massive espionage campaign
    • [Forbes]
      Did This American Tech Help Turkey Spy In Syria?
  • Olympic Destroyer
    • [KasperskyLab]
      Olympic Destroyer: who hacked the Olympics?
    • [ITSecurityGuru]
      The Olympic False Flag: How infamous Olympic Destroyer malware was designed to confuse cybersecurity community
    • [SecurityAffairs]
      Olympic Destroyer, alleged artifacts and false flag make attribution impossible

 

Exploits/Vulnerabilities

Summaries

  • 오라클 웹로직(WebLogic) 취약점을 공격하는 채굴 공격이후, 아파치 Solr 취약점을 공격하는 새로운 공격이 확인되었다. 2월의 마지막에 해커들이 1,400대의 아파치 Solr 서버들을 공격하여 랜섬웨어가 아닌 암호화폐 채굴기를 심는 일이 발생했다. 1월에 있었던 오라클 웹로직의 패치되지 않은 취약점을 공격해 암호화폐를 채굴했던 일과 유사한 사건이다. Morphus Labs에 따르면, Apache Solr 공격자들은 CVE-2017-12629 원격 코드 실행(RCE, Remote Code Execution) 취약점을 사용하고 있다. 이 취약점은 아파치 소프트웨어 재단이 지난 10월에 패치를 공개했다.

Detailed News List

  • Solr
    • [ZDNet]
      After Oracle WebLogic miner attack, critical Apache Solr bug is now targeted
    • [HelpNetSecurity]
      Vulnerable Apache Solr, Redis, Windows servers hit with cryptominers

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 중국의 취약점 데이터베이스가 중국정부의 영향력을 감추기 위해서 취약점 공개를 늦춰왔음이 밝혀졌다. 미 보스턴에 위치한 보안기업 Recorded Future에 따르면, 중국 국영 취약점 데이터베이스가 중국과 연관된 해킹그룹들이 취약점 사용에 있어 이익을 취할 수 있도록 조작되어왔다. 중국 취약점 데이터베이스인 CNNVD가 위치한 MSS에서 취약점을 공개하기에 앞서 첩보작전에 사용할 수 있을지를 평가하고 공개했다는 것이다.

Detailed News List

  • China’s Vulnerability Database
    • [DarkReading]
      China’s Vulnerability Database Altered to Hide Govt. Influence
    • [TheSecurityLedger]
      China caught pushing Vulnerability Reporting Delays down the Memory Hole
    • [InfoSecurityMagazine]
      China Backdated Bug Disclosures to Hide State Hacking: Report
    • [CyberScoop]
      China’s national vulnerability database is merely a tool for its intelligence agencies

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 브라질 카드 사기꾼들에 의한 카드 복제가 확인되었다. 최근 미국에서는 신용카드 및 직불카드의 안전하지 않은 마그네틱 띠(stripe)로부터, EMV 표쥰으로 규제되는 보다 더 안전한 칩 및 PIN카드로의 전환이 있었다. 이는 신용카드 사기를 줄이고 거래의 보안성을 향상시키는데 큰 진전이며, 카드 복제에 의존하는 카드사기를 종식시키는데 근접했다는 생각이 있었다. 그러나 카스퍼스키랩의 연구원들이 최근 밝혀낸 바에 따르면, 브라질의 사이버범죄자들이 chip-and-PIN 카드의 데이터를 훔쳐 성공적으로 복제할 수 있는 방법을 개발했다.

Detailed News List

  • Cloning Chip-and-PIN cards
    • [KasperskyLab]
      Cloning chip-and-PIN cards: Brazilian job
    • [Securelist]
      Goodfellas, the Brazilian carding scene is after you

 

Posted in Security, Security NewsTagged Apache Solr, Bankshot, Card fraud, CVE-2017-12629, Cyber Espionage, Group123, Hidden Cobra, Lazarus Group, National Vulnerability Database, Olympic Destroyer, Reaper, Slingshot, VulnerabilityLeave a comment

Search

Recent Posts

  • Exploit PoC for CVE-2023-20887 VMWare Aria Operations for Networks
  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外

Categories

  • Diet (7)
  • Exploit (1)
  • Flaw (2)
  • Hacking (1)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2023년 6월 (1)
  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.