Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] StorageCrypt

Security Newsletters, 2017 Dec 8th, Process Doppelgänging 外

Posted on 2017-12-08 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats

Summaries

  • 이란과 관련된 것으로 추정되는 사이버 스파이 그룹이 최근 패치된 마이크로소프트 오피스(Office)의 취약점을 사용해 표적 기관에 악성코드 유포를 진행하고 있다고 파이어아이(FireEye)가 목요일 발표했다. 이 스파이 그룹은 파이어아이에서는 APT34로, 타 기관에서는 OilRig으로 지칭된 그룹이며 최소 2014년부터 활동해 온 것으로 추정된다. 이 그룹은 금융, 정부, 에너지, 통신, 화학 분야의 기관을 공격 대상으로 삼고 있으며 특히 중동에 위치한 기관을 대상으로 한다. 4월에는 보안연구가들이 마이크로소프트가 패치를 발표한 직후 오피스 취약점 CVE-2017-0199를 공격에 사용하는 것을 확인했으며, 이번에는 마이크로소프트가 11월 14일에 패치한 CVE-2017-11882를 사용한 공격을 진행하고 있다. 이 취약점은 오피스에 17년간 존재한 방정식 편집기 컴포넌트에 영향을 주는 취약점을 공격한다.
  • 시만텍(Symantec)이 새로운 Adwind RAT(Remote Access Trojan) 변종을 유포하는 스팸메일에 대해서 경고했다. 이 악성코드는 사용자의 행동을 모니터링하고, 키 입력을 기록하며 스크린샷을 찍거나, 악성 파일을 다운로드하고 비디오 및 음성을 녹음할 수 있다. Adwind는 AlienSpy, Frutas, Unrecom, Sockrat, jRAT라고도 불리는 크로스플랫폼(cross-platform) 다기능 원격제어 트로이다. Adwind 메일은 JAR 파일이나 ZIP 파일을 첨부파일로 포함해 유포되고 있다.
  • 브라질 전자상거래에서 흔히 사용되는 지불방식인 Boleto의 송장으로 위장한 스팸메일이 유포되고 있다. 이 스팸메일들은 보통 브라질 기관들을 대상으로 유포된다. 다른 여타 스팸메일들 처럼 이 캠페인은 윈도우즈 컴퓨터들을 감염시키고 정보를 훔치려는 목적을 가지고 있다. 그러나 특이하게 이 캠페인에서 감염된 컴퓨터는 IRC(Internet Relay Chat) 트래픽을 발생시키는데, 모든 감염된 호스트들은 #MSESTRE 채널에 참여한다. 브라질 공식언어인 포르투갈어로 mestre는 master 또는 teacher를 의미한다.

Detailed News list

  • APT 34 launches Spy Campaign
    • [InfoSecurityMagazine]
      Iranian State-Sponsored APT 34 Launches Spy Campaign with Just-Patched Microsoft Vulns
    • [FireEye]
      New Targeted Attack in the Middle East by APT34, a Suspected Iranian Threat Group, Using CVE-2017-11882 Exploit
    • [SecurityWeek]
      Iranian Cyberspies Exploit Recently Patched Office Flaw
  • Spam Emails spreading Adwind RAT
    • [CSOOnline]
      Over 1 million monthly spam emails spreading new Adwind RAT variants
  • Boleto Campaign targets Brazil
    • [PaloAltoNetworks]
      Master Channel: The Boleto Mestre Campaign Targets Brazil

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 트렌드마이크로(TrendMicro)의 리포트에 따르면, 전세계 수백만 시스템을 감염시켰던 Conficker 웜이 9년이 지난 지금도 여전히 활발히 활동중이다. 이 웜은 제조, 헬스케어, 정부 분야의 조직에 강력한 위협으로 남아 있을 정도로 악성코드 방지 시스템에 의해 지속적으로 탐지되고 있다. Conficker 웜이 처음 등장한 것은 2008년이다. 이번주에 트렌드 마이크로가 발표한 리포트에 따르면, Downad라 불리는 웜은 이번 해에만 330,000건이 탐지되고 차단되었다. 이 수치는 트렌드 마이크로가 Conficker를 2016년에는 3000,000건, 2015년에는 290,000건을 탐지하고 차단한 수치와 거의 일치한다. 2008년에 처음 등장한 Conficker 웜은 처음 등장시 전세계 약 900만대의 놀라운 숫자의 컴퓨터 시스템을 감염시켰다.
  • 유명 모바일 뱅킹 앱이 중간자(MitM, Man-in-the-Middle) 공격에 취약한 것으로 드러났다. 보안연구가들이 유명 뱅킹 앱에서 인증정보를 해커에게 노출시킬 수 잇는 취약점을 발견했다. 이 취약점은 버밍엄 대학교(University of Birmingham)의 보안 및 프라이버시 그룹(Security and Privacy Group)의 연구가에 의해 발견되었다. 이 연구가는 수백개의 iOS 및 Android 뱅킹 앱을 분석했다. 이 연구에서 다수의 뱅킹 앱이 MitM 공격에 취약한 것으로 드러났으며, 영향을 받는 앱에는 Allied Irish bank와 Co-op, HSBC, NatWest, Santander등이 포함된다.
  • 유명 블로깅 웹 어플리케이션인 워드프레스(WordPress)를 사용하는 사이트에서 키로거가 발경되었다. 수천개의 워드프레스 사이트가 사용자의 입력을 가로채는 악성코드에 감염된 것이 발견되었다. 이 감염은 cloudflare.solutions이라는 악성코드로 웹사이트가 감염되었던 지난 4월의 캠페인 중 일부이다. 과거에 탐지되었을 당시에는 암호화폐를 채굴하는 기능이 포함되어 있었으며, 지금은 키로깅 기능이 포함되어 있다. 기사가 작성될 당시 cloudflare.solutions 악성코드는 5,495개의 웹사이트에 감염되어 있었으며 이 숫자는 증가하고 있는 것으로 보인다.
  • 윈도우즈의 버젼 및 안티바이러스 제품과 관계없이 윈도우즈 장치를 감염시킬 수 있는 Process Doppelgänging 이라는 공격기법이 엔드포인트 보안 기업 enSiol의 보안연구가에 의해 확인되었다. 프로세스 도플갱잉(Process Doppelgänging)은 런던에서 열린 블랙햇 유럽 2017(Black Hat Europe 2017) 보안 컨퍼런스에서 시연되었으며, 파일을 사용하지 않는(fileless) 코드 인젝션 기술(code injection technique)이나. 이 기법은 악성이라 알려진 파일지라도 그 파일을 조작된 윈도우즈 핸들러의 파일 트랜젝션(transaction) 프로세스에 전달하는 방법이다. 이 공격에서는 NTFS 트랜잭션을 이용하는데, 정상적인 파일을 트랜잭션 컨텐스트에서 덮어쓰기(overwrite)한다. 그리고 트랜잭션 컨텍스트 내의 수정된 파일에서 섹션을 만들고, 프로세스를 생성한다. 이렇게 트랜잭션 중에 있는 파일을 스캔하는 것은 현재로서는 불가능 한 것으로 보이며, 트랜잭션을 취소(rollback)하게 되면 흔적이 남지 않게 된다.

Detailed News List

  • Conficker won’t die
    • [DarkReading]
      Conficker: The Worm That Won’t Die
    • [TrendMicro]
      CONFICKER/ DOWNAD 9 Years After: Examining its Impact on Legacy Systems
  • Major Banking App
    • [SecurityAffairs]
      Major Banking Applications were found vulnerable to MiTM attacks over SSL
    • [TheHackerNews]
      Security Flaw Left Major Banking Apps Vulnerable to MiTM Attacks Over SSL
    • [ThreatPost]
      Banking Apps Found Vulnerable to MITM Attacks
    • [InformationSecurityBuzz]
      University Of Birmingham Found a Security Flaw That Had 10 Million Banking App Users At Risk
    • [DarkReading]
      Man-in-the-Middle Flaw in Major Banking, VPN Apps Exposes Millions
    • [InfoSecurityMagazine]
      UK Researchers Find Major Bank App Bug Affecting 10 Million
    • [ZDNet]
      Man-in-the-middle flaw left smartphone banking apps vulnerable
  • WordPress Keylogger
    • [SecurityWeek]
      Keylogger Found on 5,500 WordPress Sites
    • [SecurityAffairs]
      Thousands of WordPress sites infected with a Keylogger and cryptocurrency miner scripts
    • [Sucuri]
      Cloudflare[.]Solutions Keylogger on Thousands of Infected WordPress Sites
  • Process Doppelgänging
    • [HackRead]
      Process Doppelgänging attack affects all Windows version & evades AV products
    • [SecurityWeek]
      ‘Process Doppelgänging’ Helps Malware Evade Detection
    • [SecurityAffairs]
      Process Doppelgänging Attack allows evading most security software on all Windows Versions
    • [TheHackerNews]
      Process Doppelgänging: New Malware Evasion Technique Works On All Windows Versions
    • [ZDNet]
      Doppelgänging: How to circumvent security products to execute code on Windows

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 지난 달 미 검찰에 의해 HBO에 대한 해킹으로 기소된 Behzad Mesri가 이란 스파이 그룹과 관련이 있다는 기사가 나왔다. 보안기업 ClearSKy가 새로운 리포트를 공개했다. 이 리포트에서는 Charming Kitten또는 Newscaster, NewsBeef라는 이름으로 알려진 스파이 그룹의 활동을 자세히 다뤘다. 이 그룹은 2014년 부터 활동해 왔으며, 이란, 미국, 이스라엘, 영국 및 기타 여러국가의 여러 단체들을 공격 대상으로 삼았다. 그리고 이들의 공격 대상에는 종종 학술 연구, 인권 및 언론과 관련된 개인들도 포함되었다. (7일에서 이어짐)

Detailed News List

  • HBO Hacking linked to Iranian Hacking Group Charming Kitten
    • [SecurityAffairs]
      HBO hacker linked to the Iranian Charming Kitten APT group
    • [InformationSecurityBuzz]
      Iranian Hacker Charged For HBO Breach Part Of Charming Kitten Group
    • [EHackingNews]
      Iranian Hacking Group Creates Fake News Agency

 

Vulnerability Patches/Software Updates

Summaries

  • OpenSSL의 취약점이 패치되었다. OpenSSL 프로젝트가 목요일에 구글 연구가가 발견한 두가지 취약점이 패치된 OpenSSL 1.0.2n 버젼을 공개했다. 이 취약점은 구글 연구가 David Benjamin이 앞서 발표했던 OSS-Fuzz라는 퍼싱 서비스를 사용해 발견한 취약점이다. (11월 3일자 뉴스모음) 취약점 중 하나는 CVE-2017-3737이며, 다른 하나는 CVE-2017-3738이다.
  • 치명적인 취약점이 마이크로소프트(Microsoft)의 악성코드 보호 엔진(MPE, Malware Protection Engine)에서 발견되어 마이크로소프트가 목요일에 이에 대한 패치를 공개했다. 이 취약점은 공격자가 공격대상 컴퓨터를 완전히 장악할 수 있게 한다. 윈도우즈10용 윈도우즈 디펜더(Windows Defender)를 포함한 다양한 마이크로소프트의 보안 제품들이 영향을 받는다. 마이크로소프트 악성코드 보호 엔진은 마이크로소프트의 모든 제품의들의 안티바이러스 및 안티스파이웨어 프로그램에 핵심 기능을 제공한다. 마이크로소프트에 따르면, 아직까지 이 취약점이 실제 공격에 사용되고 있다는 흔적은 발견되지 않았다.
  • 크롬이 63 업데이트에서 더욱 강력한 보호기능을 제공한다. 어제 공개된 크롬 63에서는 기업 마켓을 겨냥한 새로운 보안 기능 개선사항들이 포함되었다. 그 첫번째로는 사이트 고립(site isolation) 기능이다. 크롬이 처음부터 사용해왔던 다중 프로세스 모델(multiple process model)의 한층 더 엄격한 버젼이다. 크롬은 여러가지 보안 및 안정화 이유로 다중 프로세스를 사용한다. 안정성면에서는 하나의 탭이 충돌하더라도 기타 다른 탭이나 브라우저 그 자체는 영향을 받지 않는다. 보안적인 면에서는 다중 프로세스를 사용함으로 인해서 악성코드가 하나의 사이트에서 다른 사이트의 비밀번호 입력과 같은 정보를 훔치기 어려워진다.

Detailed News List

  • OpenSSL patched
    • [SecurityWeek]
      Two Vulnerabilities Patched in OpenSSL
    • [OpenSSL]
      OpenSSL Security Advisory 07, Dec, 2017
  • Microsoft Releases Security Update
    • [US-CERT]
      Microsoft Releases Security Updates for its Malware Protection Engine
    • [CyberScoop]
      Critical vulnerability found in Microsoft Malware Protection Engine
  • Apple patches macOS, watchOS, tvOS
    • [TheRegister]
      Apple gets around to patching all the other High Sierra security holes
    • [SecurityWeek]
      Apple Patches Vulnerabilities in macOS, watchOS, and tvOS
    • [HelpNetSecurity]
      Apple users, it’s time for new security updates
    • [US-CERT]
      Apple Releases Security Updates
  • Chrome 63 offers even more protection
    • [TechRepublic]
      Google ups Chrome security for business users with new features and policies
    • [ARSTechnica]
      Chrome 63 offers even more protection from malicious sites, using even more memory
    • [US-CERT]
      Google Releases Security Update for Chrome
    • [SecurityWeek]
      Chrome Improves Security for Enterprise Use
    • [ZDNet]
      Chrome 63 vs Windows 10 Edge: Google steps up rivalry with site isolation security

 

Privacy

Summaries

  • 애플이 사용자의 프라이버시를 해치지 않으면서 사용자의 정보를 수집하고 있다고 주장했다. 애플은 최근 어떻게 사용자의 개인정보를 연관시키지 않으면서 정보를 수집하는지에 대해 밝혔다. 최근 애플의 머신러닝 저널에 공개된 포스트에 따르면, 애플은 민감 사용자 데이터를 그들 고객의 프라이버시를 지키면서도 수집할 수 있게하는 알고리즘을 개발했다. 사용자가 누군이지 드러내지 않으면서 정보를 얻기 위해서, 애플은 iOS10을 릴리즈하면서 차등 개인정보(local differential privacy)를 사용하는 시스템 구조(system architecture)를 개발했다. 포스트에 따르면 이 아이디어는 신중히 조정된 노이즈를 사용해 사용자 데이터를 가리는데 사용하는 것에 근원을 두고 있으며, 많은 사용자들이 데이터를 제공할 때, 추가된 잡음(noise)이 평균화되고(added averages out) 의미있는 정보가 나타난다. 지역 차등 프라이버시(local differential privacy)를 사용하면서 사용자 데이터는 장치에서 전송되기 전에 랜덤화(randomized)되고, 서버는 원본 데이터(raw data)를 보거나 수신할 수 없게 된다.

Detailed News List

  • Apple collect your data
    • [TechRepublic]
      Apple claims it can collect your data without violating your privacy; here’s how
    • [ZDNet]
      Apple to iPhone, Mac users: Here’s why our data gathering doesn’t invade your privacy
    • [Apple Machine Learning Journal]
      Learning with Privacy at Scale

 

Data Breaches/Info Leakages

Summaries

  • 나이스해시(NiceHash)가 해킹당해 수천 비트코인을 도둑맞았다. 암호화폐 채굴 마켓인 나이스해시(NiceHash)가 해킹으로 전체 비트코인 지갑을 잃게 되었다고 발표했다. 나이스해시는 사용자들이 자신의 컴퓨터 사이클을 암호화폐 채굴을 위해 사고파는 마켓이다. 나이스해시는 수요일 정오에 성명을 발표했는데 NiceHash 웹 사이트에 보안 침해가 있었으며, 지불 시스템이 완전히 침해당해 나이스해시의 비트코인 지갑을 도둑맞았다고 발표했다. 나이스해시가 정확한 금액을 밝히지는 않았지만, 추정되는 금액은 약 6천만 달러에 달할 것으로 보인다.
  • 우버(Uber)가 해킹한 사람을 확인하고 추가 사고를 막기위해 정보 공개를 하지 않겠다는 약속을 받는 목적으로 10만 달러의 금액을 그들의 버그바운티 프로그램(bug bounty program)에서 지불한 것으로 로이터 통신이 보도했다. 로이터 통신이 이 침해사고에 대해 잘 알고있는 익명의 소식통으로부터 입수한 바에 따르면, 해커는 20세의 플로리다의 남성으로 우버는 이 사람의 컴퓨터에서 포렌식 수사를 진행했으며, 훔친 정보를 삭제한 것이 맞는지 확인하는 과정을 거쳤다.
  • 유명 키보드 앱이 3100만명의 사용자 개인정보를 수집하고 이 정보를 유출시키는 사고가 있었다. 문제는 앱 제조사의 데이터베이스가 비밀번호로 보호되고 있지 않았기 때문이었다. 서버는 전세계 4000만명 이상의 사용자가 사용하는 개인화 가능한 온스크린(on-screen) 키보드 앱인 AI.type의 공동설립자 Eitan Fitusi의 소유다. 서버가 비밀번호로 보호되어있지 않아서 누구나 사용자 레코드에 접근이 가능했고, 데이터베이스에는 577기가바이트 이상의 민감 정보가 존재했다. 해당 내용을 발견한 Kromtech Security Center에서 연락을 취한 후 보안설정이 되었으나, Fitusi는 이에대한 답변을 하지 않았다. 노출된 데이터는 사용자 이름, 이메일 주소, 앱 설치기간 이었고, 사용자의 도시와 국가와 같은 위치정보도 포함되어 있었다. 무료버젼을 사용하는 사용자 정보는 더 자세한 정보도 존재했다. 장치의 IMSI와 IMEI 번호, 장치의 제조번호 및 모델정보, 화면 해상도, 안드로이드 정보와 같은 중요 정보들도 존재했다. (6일에서 이어짐)

Detailed News List

  • NiceHash got Hacked
    • [InfoSecurityMagazine]
      $64m in Bitcoin Stolen from NiceHash Mining Platform
    • [SecurityAffairs]
      NiceHash: security breach leads to 60 million lost – Iceman is behind?
    • [NakedSecurity]
      NiceHash cryptomining exchange hacked; everything’s gone
    • [DarkReading]
      Bitcoin Miner NiceHash Hacked, Possibly Losing $62 Million in Bitcoin
    • [InformationSecurityBuzz]
      $60 Million Worth Of Bitcoin Stolen From Cryptocurrency Site
    • [TripWire]
      NiceHash Temporarily Ceases Operations Following Security Breach
    • [ZDNet]
      Bitcoin exchange NiceHash hacked, $68 million stolen
    • [SecurityAffairs]
      NiceHash Hacked – Crooks have allegedly stolen $60m worth of Bitcoin
    • [TheHackerNews]
      Largest Crypto-Mining Exchange Hacked; Over $70 Million in Bitcoin Stolen
    • [HelpNetSecurity]
      NiceHash suffers security breach, around $70 million in Bitcoin stolen
    • [HackRead]
      Cryptocurrency mining market NiceHash hacked; $67m might be stolen
    • [TheRegister]
      NiceHash diced up by hackers, thousands of Bitcoin pilfered
  • Uber Hacking
    • [DarkReading]
      Uber Used $100K Bug Bounty to Pay, Silence Florida Hacker: Report
    • [ZDNet]
      Uber paid 20-year-old man to hide hack, destroy data
    • [TheHackerNews]
      Uber Paid 20-Year-Old Florida Hacker $100,000 to Keep Data Breach Secret
    • [Reuters]
      Exclusive: Uber paid 20-year-old Florida man to keep data breach secret – sources
  • Keyboard App
    • [GrahamCluley]
      Oops! This Android keyboard app accidentally leaked 31 million users’ personal details
    • [WeLiveSecurity]
      Virtual keyboard app exposes personal data of 31 million users
    • [EHackingNews]
      Misconfigured Ai.Type Virtual Keyboard Database Exposes 31 Million Users’ Personal Data
    • [EHackingNews]
      Personal data of 31 million Android users of virtual keyboard app revealed

 

Industrial/Infrastructure/Physical System/HVAC/SCADA

Summaries

  • 다수의 산업용 지멘스(Siemens) 제품들에서 심각한 취약점이 발견되었다. 다수의 산업용 장비들에서 공격자가 원격으로 시스템을 서비스거부(DoS, Denial-of-Service) 상태로 만들 수 있는 취약점이 발견되었다. 이 취약점은 CyberX의 연구가들에 의해 지멘스에 보고되었으며, CVE-2017-12741로 높은 심각성(high severity)등급으로 분류되었다. 지멘스에 따르면 영향받는 제품들은 SIMATIC S7-200 Smart micro-PLCs for small automation applications, 일부 SIMATIC S7 CPUs, SIMATIC WinAC RTX 소프트웨어 컨트롤러(software controllers), SIMATIC ET 200 PROFINET 인터페이스 모듈(interface modules), SIMATIC PN/PN 커플러(couplers), SIMATIC Compact field units, PROFINET IO의 개발 도구(development kits), SIMOTION 동작 제어 시스템(motion control systems), SINAMICS 컨버터(converters), SINUMERIK CNC 자동화 제품(automation solutions), SIMOCODE 모터 관리 시스템(motor management systems), SIRIUS 3RW motor soft starters 다.

Detailed News List

  • Siemens Products
    • [SecurityWeek]
      Serious Flaw Found in Many Siemens Industrial Products
    • [Siemens]
      SSA-346262: Denial-of-Service in Industrial Products(PDF)

 

Internet of Things

Summaries

  • 다수의 차량을 포함한 온갖 기기들이 점차 더 많이 네트워크에 연결되기 시작하면서, 이를 걱정하는 기사들이 이어지고 있다. 해커들이 인터넷에 접속된 차량에 침입하게 되면 에어백이나 브레이크, 잠금장치 등을 무력화 할 수 있고 차량을 훔칠 수도 있다. 최근에 테슬라(Tesla)차량이 중국 해커들에 의해 해킹된 최근의 사건에 주목할만 하다.
  • 사토리(Satori)봇넷이라 이름 붙은, 라우터(Router)의 제로데이에 기반한 봇넷 공격이 임박했다고 하는 기사가 나왔다. 새로운 Mirai 변종이 공격준비가 끝났다는 것이다. 14개월 전 소스코드가 공개된 이후, 봇넷 운영자들은 새로운 버젼을 계속적으로 릴리즈해 왔다. 가장 최근의 변종에서는 근래에 발견된 가정 및 소규모 사무실용으로 많이 사용되는 라우터를 취약점을 공격하는 기능이 들어가있다. 이 취약점은 강력한 암호를 설정해 놓고너 원격 관리기능(remote administration)을 꺼 놓아도 공격가능하다. 영향을 받는 화웨이(Huawei) 장치 중 하나는 EchoLife Home Gateway이고 다른 하나는 Huawei Home Gateway다. 약 90,000에서 100,000대의 새로 감염된 장치들이 두 화웨이 라우터 모델 중 하나다. 새로운 악성코드는 다른 장치들을 대상으로 공격하기 위한 65,000개의 사용자 이름 및 비밀번호 사전을 갖추고있다. (6일에서 이어짐)

Detailed News List

  • Driverless cars
    • [UpstateBusinessJournal]
      Cybersecurity concerns surround the promise of driverless cars
    • [ZDNet]
      No, we’re not trying to get backdoors in smart homes, cars, says Germany
    • [EHackingNews]
      Rising peril of autonomous vehicles due to cyber attacks
  • Satori Botnet
    • [InformationSecurityBuzz]
      Satori Botnet

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • 안드로이드 랜섬웨어 킷(Android Ransomware Kits)이 다크넷에서 붐이 일고 있다. 이번해에 지금까지 5,000개 이상의 안드로이드 랜섬웨어 킷이 존재하는 것이 확인되었으며, 평균 가격은 $200이다. 대다수의 랜섬웨어 키트는 여전히 윈도우즈 시스템을 대상으로 하고있다. 그러나 새로나온 리포트에 따르면, 안드로이드 랜섬웨어 키트가 비싼 값에 거래되고 있으며, 그 판매량과 가격이 증가할 것으로 예상된다. 안드로이드 랜섬웨어 키트는 윈도우즈 랜섬웨어 키트가 평균 $10라는 가격에 판매되는 것에 비해 평균 $200라는 20배 높은 가격으로 판매되고 있다고 카본블랙(Carbon Black)이 발표했다. 이 랜섬웨어 키트의 가격은 $250에서 $850선이다.

Detailed News List

  • Android Ransomware Kit
    • [DarkReading]
      Android Ransomware Kits on the Rise in the Dark Web

 

Crypto Currencies/Crypto Mining

Summaries

  • StorageCrypt 랜섬웨어가 SambaCry 익스플로잇을 사용해 NAS 장치들을 노리고있다. 새로운 종류의 랜섬웨어가 5월에 패치된 SambaCry 취약점을 사용해 NAS(Network-Attached Storage) 장치를 노리고 있다. StorageCrypt라 명명된 이 랜섬웨어는 0.4에서 2비트코인을 암호화 파일을 풀어주는 것에 대한 몸값으로 요구한다. NAS 장치를 감염시키기 위해서 StroageCrypt는 리눅스 삼바(Samba) 취약점(CVE-2017-7494)을 이용한다. (7일에서 이어짐)

Detailed News List

  • StorageCrypt
    • [SecurityAffairs]
      The StorageCrypt ransomware is the last malware in order of time exploiting SambaCry to target NAS Devices

 

Posted in Security, Security NewsTagged Adwind RAT, Android Ransomware Kits, APT34, Bug Bounty Program, Charming Kitten, cloudflare.solutions, Conficker, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, CVE-2017-0199, CVE-2017-11882, CVE-2017-3737, CVE-2017-3738, CVE-2017-7494, Cyber Espionage, DarkNet, Deep web, Industrial Control System, Information Leakage, Internet of Things, IoT, Keylogger, Malware, Malware Protection Engine, Man-in-the-Middle Attack, Mirai, MITM, NewsBeef, Newscaster, OilRig, OpenSSL, OSS-Fuzz, Patches, PLC, Privacy, Process Doppelgänging, SambaCry, Satori Botnet, StorageCrypt, Underground Market, VulnerabilityLeave a comment

Security Newsletters, 2017 Dec 7th, TeamViewer 취약점 外

Posted on 2017-12-07 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats

Summaries

  • 펩시(PepsiCo)가 러시아의 농업 감시단체가 주장한 다국적 음료 및 식품 거대기업이 그들의 컴퓨터 네트워크를 해킹해 내부 문건을 훔치려 했다는 주장에 대해서 부인했다. 이 이상해 보이는 주장은 월요일에 러시아의 Rosselkhoznadzor가 미국기반의 기업이 ‘국가기관으로부터 정보를 얻기위해 불법적인 방법’을 사용했다는 공개설명을 내면서 시작되었다. 특히 이 기관은 문제가되는 회사가 ‘for official use’ 도장이 찍힌 문서를 취득했다고 말했다.
  • 첼야빈스크(Chelyabinsk) 법원 웹사이트가 데이터 암호화 악성코드로 공격을 당했다. 해커들이 유럽과 아시아 국경에 있는 러시아의 첼야빈스크 중재법원(Arbitration court)의 웹사이트를 해킹해 서버를 데이터 암호화 악성코드로 감염시키는 사건이 발생했다. 이 악성코드는 서버의 정보와 파일들을 암호화 시켰다. 이 사건은 10월 4일에 발생했고, 10월 10일에 전문가가 이전 백업데이터로 웹사이트를 복구했다. 그러나 백업이 1월에만 실시되어 있어, 법원은 웹사이트에서 올해 발행한 모든 데이터를 잃고 말았다.

Detailed News list

  • Pepsi denies claim
    • [CyberScoop]
      Pepsi denies claim that it hacked Russian government watchdog
  • Chelyabinsk
    • [EHackingNews]
      Website of Chelyabinsk court hits by data-encrypting malware

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 팀뷰어(TeamViewer) 제품에서 완전히 컴퓨터를 장악할 수 있는 취약점이 발견되었다. 최근 Gellin이라는 GitHub 사용자가 팀뷰어에서 공격자가 사용자 동의없이, 몰래 원격으로 컴퓨터를 장악할 수 있는 취약점을 발견했다. GitHub에 발표된 개념증명(PoC, Proof-of-Concept)에 따르면, Naked inline hooking과 메모리 직접 변경(direct modification)을 사용하는 주입가능한(injectable) C++ dll으로 사용자는 알지 못한채로 팀뷰어의 권한을 변경할 수 있다. 이 취약점은 팀뷰어 x86 13.0.5058 버젼에서 이루어졌고, 공격자는 데스크탑 세션중 상대방의 PC를 장악할 수 있다. 원래는 클라이언트가 수동으로 상대방이 사용하도록 허가해야 하지만, 취약점을 통해 마우스와 컨트롤 설정, 권한을 허가할 수 있는 것이다.
  • 이제는 패치된 인텔 마이크로프로세서 ME(Management Engine)의 취약점에 대한 상세 정보가 Black Hat Europe에서 공개되었다. 이 취약점을 발견한 연구가는 2015년 부터 대부분의 인텔 칩에 포함된, 자체 운영체제를 가지고 있는 인텔 Management Engine(ME) 11 시스템의 스택 버퍼오버플로우 버그에 대한 상세 정보를 공개했다. 그리고 인텔이 11월 20일 이 취약점에 대한 보안 권고와 업데이트를 내놓았지만, 보안연구가 Emolov와 Goryachy는 공격자가 인텔이 최근 ME 업데이트에서 수정한 다른 취약점을 사용해 공격하는 것을 막지 못한다고 말했다. 여기엔 ME kernel(CVE-2017-5705), Intel Server Platform Services Firmware kernel(CVE-2017-5706), Intel Trusted Execution Engine Firmware kernel(CVE-2017-5707)의 버퍼오버 플로우 취약점이 포함된다.
  • 30개 이상의 유명 이메일 클라이언트에 영향을 미치는 Email 스푸핑 취약점이 발견되었다. 다른 사람이 보낸 메일인 것처럼 위장할 수 있는 취약점이 발견되었다. MailSploit이라는 이름이 붙은 이 취약점은 Apple Mail(macOS, iOS, watchOS), Mozilla Thunderbird, Microsoft email clients, Yahoo Mail, ProtonMail 및 기타 메일클라이언트들에 영향을 미친다. 이 클라이언트들에 DKIM이나 DMARC와 같은 스푸핑 방지 메커니즘이 구현되어 있지만, MailSploit은 이메일 클라이언트와 웹 인터페이스가 From 헤더를 파싱하는 것을 이용한다. (6일에서 이어짐)

Detailed News List

  • TeamVierer
    • [MalwarebytesLabs]
      Use TeamViewer? Fix this dangerous permissions bug with an update
    • [HackRead]
      TeamViewer Vulnerability Lets Attackers Take Full Control of PCs
    • [ZDNet]
      TeamViewer issues emergency fix for desktop access vulnerability
    • [TheHackerNews]
      New TeamViewer Hack Could Allow Clients to Hijack Viewers’ Computer
    • [SecurityAffairs]
      TeamViewer fixes a flaw that allows users sharing a desktop session to gain control of the other’s PC
    • [ThreatPost]
      TeamViewer Rushes Fix for Permissions Bug
  • Intel’s Management Engine
    • [DarkReading]
      How the Major Intel ME Firmware Flaw Lets Attackers Get ‘God Mode’ on a Machine
    • [TheRegister]
      Intel Management Engine pwned by buffer overflow
    • [BlackHatEurope]
      How to hack a turned off computer or running unsigned code in intel management engine
  • MailSploit
    • [SecurityAffairs]
      MailSploit vulnerabilities allow email spoofing with more than 30 email clients
    • [SecurityWeek]
      Mailsploit: Popular Email Apps Allow Spoofing, Code Injection
    • [TheRegister]
      Mailsploit: It’s 2017, and you can spoof the ‘from’ in email to fool filters
    • [InfoSecurityMagazine]
      Mailsploit Allows Spoofed Mails to Fool DMARC

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 지난 달 미 검찰에 의해 HBO에 대한 해킹으로 기소된 Behzad Mesri가 이란 스파이 그룹과 관련이 있다는 기사가 나왔다. 보안기업 ClearSKy가 새로운 리포트를 공개했다. 이 리포트에서는 Charming Kitten또는 Newscaster, NewsBeef라는 이름으로 알려진 스파이 그룹의 활동을 자세히 다뤘다. 이 그룹은 2014년 부터 활동해 왔으며, 이란, 미국, 이스라엘, 영국 및 기타 여러국가의 여러 단체들을 공격 대상으로 삼았다. 그리고 이들의 공격 대상에는 종종 학술 연구, 인권 및 언론과 관련된 개인들도 포함되었다.
  • 유출된 인증정보에 대한 유료 서비스를 제공했던 LeakBase가 주말을 지나며 서비스를 종료했다. 이 서비스는 작년 9월 서비스를 시작했고, 주요 해킹사건에서 유출된 20억건의 계정정보를 제공한다고 주장했다. 이 서비스는 2017년 1월에 LeakdSource가 중단되면서 주목을 받았었다. LeakBase는 트위터를 통해 유료서비스에 대한 환불을 진행할 것이라 밝혔다. 서비스를 중단하는 이유는 아직 확실히 밝혀진 것이 없지만, 브라이언 크렙스(Brian Krebs)는 LeakBase 소유자중 한명이 다크웹 마켓 Hansa와 관련이 있을 것으로 보고있다. (5일에서 이어짐)
  • 친구를 조기석방 시키려던 미시건 주의 남성이 체포되어 감옥신세를 지게 됐다. Konrads Voits라는 27세의 남성은 Washtenaw Country 정부 컴퓨터 시스템에 친구를 조기석방 시키려는 목적으로 악성코드를 설치한 혐의에 대해 유죄를 인정했다. 시도는 성공하지 못했고 그는 경찰에 의해 체포되었다. 법원 문서에 따르면, Voits는 1월에 Washtenaw와 유사한 피싱 도메인 ewashtenavv.org w대신 v두개를 사용해 만들었다. 그리고 피싱 이메일과 소셜 엔지니어링으로 악성코드를 설치하게 했다. 계속적인 공격으로 죄수를 감시하는 Xjail 컴퓨터 시스템을 포함해 직원 1,600여명의 로그인 정보를 획득했으나, 이러한 시도들이 탐지되어 결국 체포되었다. (5일에서 이어짐)
  • 여러 영국 하원(MP, Member of Parliament)의원들이 자신들의 해이한 보안의식을 드러내면서 정부의 사이버보안 규정에 대한 의문이 일고있다. Mid Bedfordshire의 하원의원인 Nadine Dorries는 지난 주말 여러 트윗을 통해 그녀의 직원이 자신의 비밀번호를 사용해 자신의 의회 사무실 컴퓨터에 로그인 한 것을 드러냈다. 그리고 “교환 프로그램의 인턴까지” 포함해 그녀의 직원들이 그녀 인증정보를 사용해 Nadine의 이름으로 이메일을 보내기도 한다고 덧붙였다. (5일에서 이어짐)
  • 역사상 가장 오래되고 널리 퍼진 봇넷 중 하나였던 안드로메다(Andromeda) 봇넷이 지난주 FBI가 이끈 국제적인 법 집행 작전에 의해 운영이 종료되었다. 유로폴에 따르면, 안드로메다 봇넷의 악성코드 기반구조는 해체되었고, 신원이 확인되지 않은 한명의 용의자가 벨라루스에서 체포되었다. 2011년에 처음 등장한 안드로메다는 마이크로소프트에 따르면, 지난 6개월간 매달 평균 100만개의 장치들에서 발견되었다. 이 악성코드는 2016년 최고 스팸 캠페인들중 하나의 배후이며, 침해당한 웹사이트나 광고 네트워크에서 자주 발견되는 악성코드 최대 80 종(families)과 관련이 있는 봇넷이다. (5일에서 이어짐)

Detailed News List

  • HBO Hacking linked to Iranina Spy Group
    • [SecurityWeek]
      HBO Hacker Linked to Iranian Spy Group
  • LeakBase goes dark
    • [InformationSecurityBuzz]
      Leakbase.pw Hacked Password Service Goes Dark
    • [NakedSecurity]
      Questions linger as data breach trading site LeakBase disappears
  • Facing Jail for Hacking Jail
    • [NakedSecurity]
      Hacker who tried to free inmate early may soon join him in jail
  • MPs’ lax cybersecurity practices
    • [InformationSecurityBuzz]
      MPs Sharing Log-In Credentials
  • Andromeda(Gamarue) Botnet Take Down
    • [EHackingNews]
      Andromeda botnet taken down, Belarusian involved arrested
    • [HackRead]
      Authorities dismantle Andromeda Botnet that infected millions of devices

 

Vulnerability Patches/Software Updates

Summaries

  • 안드로이드 응용프로그램 개발자 도구에서 취약점이 발견되었다. 안드로이드 스튜디오, 이클립스, IntelliJ-IDEA에 취약점이 존재한다고 체크포인트 보안연구가들이 밝혔다. 안드로이드 어플리케이션 패키지 툴(APKTool), 쿠쿠드로이드(Cuckoo-Droid) 서비스, 기타 안드로이드 어플리케이션 리버스 엔지니어링(reverse-engineering) 도구들 역시 취약점이 존재한다. APKTools의 XML External Entity(XXE) 취약점은 전체 OS 파일 시스템을 사용자에게 노출시킬 수 있다. 공격자는 악의적인 AndroidManifest.xml 파일을 사용해 XXE 취약점을 공격할 수 있다. (6일에서 이어짐)

Detailed News List

  • Android Application Developer Tools
    • [SecurityWeek]
      Android Development Tools Riddled with Nasty Vulnerabilities
    • [TheHackerNews]
      Critical Flaw in Major Android Tools Targets Developers and Reverse Engineers
    • [TheRegister]
      Google and pals rush to repair Android dev tools, block backdoor risks
    • [TheRegister]
      Beware the IDEs of Android: three biggies have vulnerabilities

 

Privacy

Summaries

  • 이디오피아(Ethiopia) 정부가 반체제인사 및 기자들을 감시하기 위해 이스라엘 스파이웨어를 사용한 것으로 드러났다. 이스라엘 정부가 이스라엘 회사 Cyberbit이 개발한 스파이웨어로 전세계의 반체제 인사들을 노린 것으로 토론토의 Citizen Lab의 연구결과에서 드러났다. 미국, 영국 그리고 약 20개 국가의 반체제 인사가 어도비 플래시 업데이트 및 PDF 플러그인으로 위장한 스파이웨어를 포함한 피싱 이메일의 공격 대상이 되었다. 공격 대상에는 이디오피아의 언론, 변호사, 박사과정 학생도 포함되었다. Citizen Lab의 연구가 Bill Marczak도 조사과정에서 공격 대상이 되었다.
  • 미국, 영국, 유럽의 자동차 렌트 회사들이 고객 개인정보 보호를 위한 충분한 노력을 기울이지 않는다는 리포트가 나왔다. 유럽 및 영국, 미국의 렌트 회사를 조사한 결과에 따르면, 일련의 자동차들을 임대하고 이 차량의 인포테인먼트 시스템에 의해 수집된 데이터를 조사한 결과, 과거 사용자들의 개인정보와 동행자들에 대한 정보가 모든 차량에서 발견되었다. 여기에는 사용자들의 과거 위치들 및 스마트폰 식별자, 그들이 입력한 위치, 학교등이 포함된다.

Detailed News List

  • Ethiopian Government used spyware
    • [CyberScoop]
      Ethiopia using Israeli spyware to spy on dissidents, journalists
  • Rental Cars Leaks Personal Data
    • [InfoSecurityMagazine]
      Connected Rental Cars Leak Personal Driver Data
    • [ZDNet]
      Connected cars: What happens to your data after you leave your rental car behind?

 

Data Breaches/Info Leakages

Summaries

  • 홍콩의 여행사가 데이터 사고에 시달리고 있다. 하나의 해커 그룹이 WWPKG Holding Company 여행사의 시스템에 접근권한을 얻었으며, 엄청난 양의 고객 데이터를 훔쳐냈다. 이 해커들은 클라이언트 데이터베이스의 원격 접속 권한을 얻었으며, 수천명의 고객 정보를 침해했다고 밝혔다. 유출된 정보는 고객의 이름, 홍콩ID 번호, 여권번호, 고객의 이메일, 전화번호, 신용카드까지 포함된 것으로 알려졌다. 훔친 데이터에 대한 몸값은 비트코인으로 지불할 것이 요구되었다.
  • 유명 키보드 앱이 3100만명의 사용자 개인정보를 수집하고 이 정보를 유출시키는 사고가 있었다. 문제는 앱 제조사의 데이터베이스가 비밀번호로 보호되고 있지 않았기 때문이었다. 서버는 전세계 4000만명 이상의 사용자가 사용하는 개인화 가능한 온스크린(on-screen) 키보드 앱인 AI.type의 공동설립자 Eitan Fitusi의 소유다. 서버가 비밀번호로 보호되어있지 않아서 누구나 사용자 레코드에 접근이 가능했고, 데이터베이스에는 577기가바이트 이상의 민감 정보가 존재했다. 해당 내용을 발견한 Kromtech Security Center에서 연락을 취한 후 보안설정이 되었으나, Fitusi는 이에대한 답변을 하지 않았다. 노출된 데이터는 사용자 이름, 이메일 주소, 앱 설치기간 이었고, 사용자의 도시와 국가와 같은 위치정보도 포함되어 있었다. 무료버젼을 사용하는 사용자 정보는 더 자세한 정보도 존재했다. 장치의 IMSI와 IMEI 번호, 장치의 제조번호 및 모델정보, 화면 해상도, 안드로이드 정보와 같은 중요 정보들도 존재했다. (6일에서 이어짐)

Detailed News List

  • Hong Kong Travel Agency
    • [DarkWebNews]
      Hong Kong Travel Agency Suffers Major Data Hack
  • Keyboard App
    • [InfoSecurityMagazine]
      Israeli Start-Up Leaks Data on 31m Users
    • [SecurityAffairs]
      31 Million of client records belonging to the virtual keyboard app AI.type leaked online
    • [HackRead]
      Keyboard app caught collecting users data after 31M records leaked online
    • [TheRegister]
      Data-slurping keyboard app makes Mongo mistake with user data

 

Industrial/Infrastructure/Physical System/HVAC/SCADA

Summaries

  • 독일에 기반을 둔 WAGO의 PLC(Programmable Login Controller)에서 취약점이 발견되었다. SEC Consult의 보안연구가에 의해 발견된 이 취약점은, 리눅스 기반의 WAGO PFC200 PLC 시리즈에 영향을 미친다. 보안 취약점은 CODESYS 런타임 툴킷 2.4.7.0 버젼 때문인데, 이 임베디드 소프트웨어는 3S(Smart Software Solutions)에 의해 개발되었고 기타 산업 컨트롤러와 수백개의 PLC들을 제조하는 여러 제조사에서 사용한다. (6일에서 이어짐)

Detailed News List

  • WAGO PLCs
    • [SecurityAffairs]
      17 models of WAGO PFC200 PLC Vulnerable to Unauthenticated Remote Access Exploit

 

Internet of Things

Summaries

  • 사토리(Satori)봇넷이라 이름 붙은, 라우터(Router)의 제로데이에 기반한 봇넷 공격이 임박했다고 하는 기사가 나왔다. 새로운 Mirai 변종이 공격준비가 끝났다는 것이다. 14개월 전 소스코드가 공개된 이후, 봇넷 운영자들은 새로운 버젼을 계속적으로 릴리즈해 왔다. 가장 최근의 변종에서는 근래에 발견된 가정 및 소규모 사무실용으로 많이 사용되는 라우터를 취약점을 공격하는 기능이 들어가있다. 이 취약점은 강력한 암호를 설정해 놓고너 원격 관리기능(remote administration)을 꺼 놓아도 공격가능하다. 영향을 받는 화웨이(Huawei) 장치 중 하나는 EchoLife Home Gateway이고 다른 하나는 Huawei Home Gateway다. 약 90,000에서 100,000대의 새로 감염된 장치들이 두 화웨이 라우터 모델 중 하나다. 새로운 악성코드는 다른 장치들을 대상으로 공격하기 위한 65,000개의 사용자 이름 및 비밀번호 사전을 갖추고있다. (6일에서 이어짐)

Detailed News List

  • Satori Botnet
    • [GrahamCluley]
      Satori botnet rears its head, exploiting IoT vulnerabilities

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • 영국의 사법당국이 엑스터시(Ecstasy, MDMA) 알약에 의한 연쇄 사망사고에 긴급하게 경고를 발표했다. 다크웹의 판매자를 통해 엑스터시 알약을 구매한 사용자들은 자동차 이름을 사용하는 브랜드를 멀리하라는 경고를 받았다. 최근 리포트에 따르면, 다크웹의 판매자들은 대부분 영국의 십대들에게 위험한 마약을 팔아왔다. 이 강력한 MDMA 알약은 롤스로이스(Rolls Royce), 테슬라(Tesla)와 같은 차량  브랜드 이름을 본따 만들어졌다. 이 마약들은 암스테르담과 독일에서 영국으로 보내지는 것으로 보도되었으며, 다크넷을 통해 십대들이 쉽게 구매한 것으로 알려졌다. 이번년도 10월에는 십대 소년이 할로윈 레이브 파티(rave party) 이후 사망하는 사건이 있었다. 이 소년은 핑크 롤스로이스 엑스터시 알약을 먹은것으로 알려져있다. 같은 달 16세 십대역시 사망했는데, 이 피해자는 빨간 부가티 베이론(Bugatti Veyron) 또는 보라색 닌자터틀(Ninja Tutles)을 복용한 것으로 추정된다.

Detailed News List

  • Ecstasy Pills on the Dark Web
    • [DarkWebNews]
      Teens Being Sold ‘Killer’ Ecstasy Pills on the Dark Web

 

Service Outage

Summaries

  • Bitfinex 서비스가 DDoS 공격으로 잠시 중단되는 사고가 있었다. 암호화폐 교환소인 Bitfinex가 월요일 분산서비스거부(DDoS, Distributed Denial of Service)에 의해 잠시 오프라인이 되었다. DDoS 공격에 대한 첫번째 트윗 메시지 이후, 홍콩 기반의 암호화폐 거래소 플랫폼은 오프라인이 되었고. 정상적인 작동은 1시간 이후 재개되었다. 이러한 공격은 11월 26일에도 있었다. 이 공격의 배후나 의도에 대해서는 아직 불분명하다.
  • Macklenburg 카운티의 컴퓨터 시스템이 랜섬웨어에 감염되어, 복호화 키에 대한 몸값으로 2만3천 달러를 요구하고 있다. 12월 5일에 North Carolina의 Macklenburg 카운티 정부는 트위터에 컴퓨터 시스템 장래를 겪고 있다고 알렸다. Macklenburg의 웹사이트에 올라온 내용에 따르면, 이 사고로 인해 추후 통지가 있을 때 까지 전국 정보기술서비스(Country-wide Information Technology Services, ITS)시스템이 중단될 것이며, 이에따라 이메일, 프린팅 및 대부분의 카운티 사무실에서의 업무 수행을 포함한 카운티 서비스에 영향이 있을 것이라 밝혔다. 아직까지 복구 시간이 얼마나 걸릴지는 모른다고 전했다.

Detailed News List

  • Bitfinex
    • [WeLiveSecurity]
      Cryptocurrency exchange Bitfinex plagued by DDoS attacks
  • Macklenburg Country
    • [TripWire]
      Ransomware Attacker Demands $23K from Mecklenburg County

 

Crypto Currencies/Crypto Mining

Summaries

  • 가상 고양이인 크립토키티즈(CryptoKitties)에 대한 열풍으로 가장 큰 암호화폐중 하나인 이더리움(Ethereum)의 거래가 느려지고 있다는 기사가 나왔다. 크립토키티즈는 사용자가 이더리움의 블록체인(blockchain) 네트워크 기반에서 가상 암호애완동물(crypto-pets)을 구매하고 기를 수 있는 서비스다. Etherscan은 이 게임이 릴리즈되고 난 후 Ethereum에 대한 거래가 6배 증가했다고 밝혔다. ETH Gas Station에 따르면, 크립토키티 게임이 이더리움의 10% 이상의 네트워크 트래픽을 차지하고 있다. 트래픽이 늘어날 수록 거래가 빨리 진행되기 어려워진다.
  • 암호화폐 거래소를 노리는 분산서비스거부(DDoS, Distributed Denial of Service) 공격이 증가하고 있다. 비트코인 가격의 엄청난 유동성은 투기꾼들이 극단 사이에서 이득을 취할 수 있게 하는데, 규제되지 않는 암호화폐 생태계의 본질로 인해 유명한 금융관련 인사의 발언 같은 것들이 가격에 큰 영향을 미칠 수 있다. 이런 가격에 영향을 미칠 수 있는 또다른 방법은 거래소에 대한 DDoS 공격이다. Imperva의 최근 리포트에 따르면 2017년 3분기에 비트코인 거래소 및 그들의 서비스를 사용하는 관련 사이트들의 3/4이 DDoS 공격을 당했다.
  • StorageCrypt 랜섬웨어가 SambaCry 익스플로잇을 사용해 NAS 장치들을 노리고있다. 새로운 종류의 랜섬웨어가 5월에 패치된 SambaCry 취약점을 사용해 NAS(Network-Attached Storage) 장치를 노리고 있다. StorageCrypt라 명명된 이 랜섬웨어는 0.4에서 2비트코인을 암호화 파일을 풀어주는 것에 대한 몸값으로 요구한다. NAS 장치를 감염시키기 위해서 StroageCrypt는 리눅스 삼바(Samba) 취약점(CVE-2017-7494)을 이용한다.
  • Quant 트로이가 중요한 업데이트를 진행했다. 암호화폐 지갑 및 그 지갑에 들어있는 비트코인을 대상으로 하는 공격기능이 추가되었다. 화요일 Forcepoint Security Labs의 연구가들은 Quant 악성코드가 업데이트 된 것을 발견했다. 러시아의 언더그라운드 포험에서 구매할 수 있는 Quant는 MrRaiX 또는 DamRaiX라는 사용자가 광고를 하고 있으며 지정학적 타겟팅(geographical targeting)과 EXE 및 DLL을 다운로드하고 실행할 수 있는 간단한 로더(loader)였다. 그러나 이번 분석결과 블로그 포스트에서 Forcepoint 연구가들은, 다수의 우려스러운 기능이 이 악성코드에 추가되었다고 밝혔다. 새로운 파일은 암호화폐를 훔치는 bs.dll.c와 인증정보를 훔치는 zs.dll.c에서 사용하는 SQLite 라이브러리 파일 sql.dll.c다.

Detailed News List

  • CryptoKitties
    • [BBC]
      CryptoKitties Craze Slows Down Transactions On Ethereum
  • DDoS against Exchanges
    • [HelpNetSecurity]
      DDoS attackers increasingly targeting cryptocurrency exchanges
  • StorageCrypt
    • [SecurityWeek]
      StorageCrypt Ransomware Targets NAS Devices via SambaCry Exploit
  • Quant Trojan
    • [ZDNet]
      Quant Trojan upgrade targets Bitcoin, cryptocurrency wallets

 

Posted in Security, Security NewsTagged Andromeda Botnet, Crypto Currency, Cryptocurrency Exchanges, CVE-2017-5705, CVE-2017-5706, CVE-2017-5707, CVE-2017-7494, Cyber Espionage, DarkNet, Data Breach, DDoS, Distributed Denial of Service, IME, Industrial Control System, Information Leakage, Intel Management Engine, Internet of Things, IoT, MailSploit, Malware, Mirai, Outage, Privacy, Quant Trojan, Ransomware, SambaCry, Satori Botnet, StorageCrypt, Vulnerability, XML External Entity, XXELeave a comment

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.