Security Newsletters, Nov 20th, 2017

Posted on 2017-11-20 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Malwares/Exploits/Vulnerabilities

Summaries

두번째 크립토믹스^(CryptoMix) 랜섬웨어의 변종이 발견되었다. 최근 MalwareHunterTeam의 연구자들에 의해 새로운 CryptoMix 랜섬웨어 변종이 확인되었다. 죄근 변종은 암호화된 파일에 0000 확장자를 붙이며, 새로운 연락처 이메일 주소를 사용한다. 악성코드 연구가 Lawrence Abrams는 랜섬웨어 최근버젼이 앞서 발견된 변종과 동일한 암호화 방식을 사용하지만, 살짝 다른점이 있다고 설명했다. 몸값을 알리는 문구는 _HELP_INSTRUCTION.TXT의 같은 파일명을 사용한다. 그러나 이제는 y0000@tuta.io, y0000@protonmail.com, y0000z@yandex.com, y0000s@yandex.com 이메일을 사용하고 있다. 이 CryptoMix 변종은 11개의 RSA-1024 암호 공개키를 가지고 있으며, 피해 PC에서 파일들을 AES 암호화 하는데 사용된다.
아마존의 키^(Key) 서비스 취약점에 대한 기사가 이어지고 있다. Rhino Security Labs의 연구자는 아마존 키 서비스와 연계된 카메라를 공격하는 방법으로 공격자가 카메라에 화면이 잡히지 않으면서 고객의 집에 침입 할 수 있게 만드는 취약점에 대하여 공개했다. 아마존은 프라임 사용자들에게 인터넷 카메라와 연계하여 원격으로 지켜보는 가운데 문을 열고 배달 물건을 집 내에 놓을 수 있도록 하는 키 서비스를 제공한다고 발표한 바 있다.
Facebook, Google Plus, Twitter 등 소셜미디어 계정을 훔치는 능력까지 보유한 테르돗^(Terdot) 악성코드에 대한 기사가 계속되고 있다. 비트디펜더^{(BitDefender)}의 보안 연구가들에 의하면, Terdot 트로이는 2016년 6월에 처음 확인되었다. 이 악성코드는 프록시^(Proxy)로 기능하면서 방문하는 웹 페이지에 HTML 코드를 주사^(injecting)하여 중간자공격^{(MitM, Man-in-the-Middle Attack)}을 수행하고 신용카드 정보와 같은 금융정보를 훔쳐낸다. 비트디펜더 연구원들에 따르면 금융정보 외에도 Google Plus, Facebook, Twitter와 같은 소셜미디어의 로그인 인증정보를 훔치는 기능도 갖췄다. 야후도 정보를 훔치는 대상이지만, 러시아의 가장 큰 소셜미디어 플랫폼인 VK는 대상으로 삼지 않는다. 한가지 더 우려스러운 것은, Terdot은 자가변형하고 업데이트 할 수 있는 능력을 갖추고 있어, 악성코드를 조종하는 사람이 명령할 경우 어떤 파일이든 다운로드 받아 실행할 수 있다는 점이다. 이 것은 트로이목마가 탐지 회피 기술과 같은 안티바이러스 프로그램을 속이는 등의 새로운 기능을 스스로 업데이트 할 수 있다는 것이다.

Detailed News List

CryptoMix
- ^{[SecurityAffairs]} A second variant of the new Cryptomix Ransomware released in a few days
Amazon Key
- ^{[SecurityAffairs]} De-authentication attack on Amazon Key could let crooks to disable your camera
Terdot
- ^[HackRead] A banking trojan that steals Gmail, Facebook, Twitter and Yahoo Password

Data Breaches/Info Leakages

Summaries

미 국방부에 의한 웹 모니터링 활동 정보가 잘못 설정된 아마존 S3 버킷으로 인해 온라인에 노출되었다는 기사가 지속되고 있다. 지난번 정리에서도 다뤘지만, 이번에 유출된 데이터는 수 테라바이트 규모의 소셜미디어 모니터링 데이터가 노출되었다. 노출된 버킷의 이름이 CENTCOM과 PACOM을 포함하고 있어, 각각 미 중부사령부^{(the US CENTral COMmand)}와 미 태평양 사령부^{(the US Pacific Command)}의 소셜미디어 감시활동으로 보고있다.
지난주, 온라인 전당포^(Pawnbroker)인 Cash Converter의 구 웹 사용자 정보가 노출되었다는 기사를 정리한 바 있다. 그에대한 기사도 이어지고 있다. 지난 목요일 CachConverter는 고객들에게 이메일을 보내 무슨일이 일어났는지에 대한 해명을 했다. CashConverter에 따르면, 구 웹사이트가 해킹을 당해 고객정보가 유출되는 사고가 일어났다. 현재 CashConverter가 사용하고 있는 신규 전자상거래 플랫폼은 이에 영향을 받지 않는다. 침해를 당한 웹사이트는 제3자^{(third-party)}에 의해 운영되고 있었고, CashConverter는 9월에 계약을 종료했다. 침해당한 웹사이트가 금융정보를 포함하고 있지는 않았지만, 공격자가 사용자 상세 정보, 비밀번호, 구매 이력과 같은 사용자 정보에 접근했을 가능성이 있다.

Detailed News List

Social Media Surveillance by Pentagon
- ^[CSOOnline] Pentagon contractor spied on social media, left data unsecured in cloud
CashConverter
- ^{[SecurityAffairs]} Cash Converters suffered a data breach, users of the old webshop are at risk

Technologies/Technical Documents/Statistics/Reports

Summaries

기업에게 있어 가장 큰 위협은 KRACK이나 Heartbleed와 같이 세련된 이름이 붙은 공격법이 아니라, 내부자에 의한 위협이라는 기사가 나왔다. 불만을 품은 직원이 조직내에서 악의적인 행동을 하는 것을 상상하기는 쉬운 일이다. 반면에 큰 사건들을 보면 좋은 의도를 가진 직원이 해서는 안될 일을 저지르는 경우일 가능성도 높다는 것이다. 최근 벌어진 대형 데이터 유출 사건들이 그러한데, 엑센츄어^(Accenture)는 네개의 서버에 데이터를 공개해놨고, 버라이즌^(Verizon)은 1,400만 고객정보를 보호되지 않은 아마존^(Amazon) S3에 방치해 두었다. 그리고 호주 국영 방송 ABC는 고객정보와 1,800건의 일일 MySQL 백업을 공개해놓은 사건이 있었다.

Detailed News List

Insider Threats
- ^[ZDNet] Your biggest threat is inside your organisation and probably didn’t mean it

Security Newsletters, Nov 19th, 2017

Posted on 2017-11-19 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Malwares/Exploits/Vulnerabilities

Summaries

엑셀^(Excel) 파일을 읽는데 사용하는 LibXL C 라이브러리에서 다수의 취약점이 발견되었다. 각각의 취약점들은 취약점 점수 체계 척도^{(Common Vulnerability Scoring System scale)}에서 8.8점을 받았다. 공격자는 특별하게 조작된 XLS파일을 사용하는 방식으로 이 취약점들을 공격해서 원격 코드 실행^{(Remote code execution)}을 할 수 있다. 시스코 탈로스^{(Cisco Talos)} 연구자들에 따르면 이 LibXL 라이브러리는 Windows, Mac, Linux에서 지원되며, 구형 엑셀97 부터 현재의 XLS까지 마이크로소프트 엑셀 파일 형식의 파일들을 읽을 수 있다. 발견된 취약점들은 각각 CVE-2017-2896, CVE-2017-2897, CVE-2017-12110, CVE-2017-2919, CVE-2017-12108, CVE-2017-12109, CVE-2017-12111 이다.
아마존^(Amazon)이 키 서비스^{(Key service)} 해킹을 차단하기 위한 보완을 약속했다. Rhino Security의 보안연구가들은 아마존의 Key 배달 서비스와 클라우드 캠 보안 카메라에서 취약점을 찾은바 있다. 이 취약점은 공격자가 카메라를 조작해 오프라인으로 만들어, 집에 누군가 들어오는 것이 보이지 않게 만든다. 아마존의 키 서비스는 집 주인이 원격으로 방문객을 위해 정문을 열거나 잠글 수 있도록 해준다. 이 서비스는 아마존의 클라우드 캠 보안 카메라와 함께 결합하여 동작한다. 그리고 만약 사용자가 프라임 멤버인 경우, 아마존 배달원이 인증을 통해 배달 대상 고객의 집 정문을 열고 소포를 문 안쪽에 넣어두고 다시 잠글 수 있도록 해주는 서비스다.
구글 플레이스토어^{(Google Playstore)}에 등록되어 있는 어플리케이션에서 악성코드군이 3개 더 발견되었다. McAfee, ESET, Malwarebytes의 리포트에 따르면 다수의 악성 어플리케이션이 구글 플레이스토어에서 발견되었다. 각각 Grabos, TrojanDropper.Agent.BKY, AsiaHitGroup을 발견해 리포트로 발표했다.

Detailed News List

LibXL Library
- ^[ThreatPost] MULTIPLE VULNERABILITIES IN LIBXL LIBRARY OPEN DOOR TO RCE ATTACKS
- ^{[TalosIntelligence]} Vulnerability Spotlight: Multiple Remote Code Execution Vulnerabilities Within libxls
Amazon Key Service
- ^[ThreatPost] AMAZON PROMISES FIX TO STOP KEY SERVICE HACK
- ^[ZDNet] Amazon: We’re fixing flaw that leaves Key security camera open to Wi-Fi jamming
- ^[HackRead] Researchers demonstrate Amazon Key system can be hacked
Malicious Apps on Goole Playstore
- ^[SCMagazine] 3 More Android Malware Families Invade Google Play Store
- ^[McAfee] New Android Malware Found in 144 GooglePlay Apps
- ^[ESET] Multi-stage malware sneaks into Google Play
- ^{[Malwarebytes Labs]} New Android Trojan malware discovered in Google Play
- ^{[Information Security Buzz]} ESET Researchers Have Discovered Malware With Improved Ability To Bypass Google Play’s Protection Mechanisms

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

1/3의 미국 기업들이 유럽의 새로운 개인정보보호규정인 GDPR^{(General Data Protection Regulation)}에 대비가 안되어있다고 느낀다는 조사 결과가 나왔다. Censuswide에 의해 진행된 이 조사는 유럽과 미국의 조직들이 2018년 5월까지인 GDPR 준수 데드라인에 대해 본사가 어디에 위치해 있는지와는 상관없이 EU 국민들의 개인정보를 처리하는 기관에게는 상당한 부담이 되고 있다는 것을 보여준다. 이는 미국 기관이라도 유럽 국민의 데이터를 처리하는 기관은 2018년 5월까지 GDPR 규정을 준수해야 한다는 의미다. 연구 결과에 따르면 35%의 미국 기관들이 이미 GDPR을 제시간내에 준비하지 못할 것이라 예상했다. 거기에 덧붙여, 미국 기관들은 GDPR이 사업에 미칠 영향에 대해서도 우려하고 있다.
트위터^(Twitter)가 백인 우월주의자들에 대한 강경한 정책을 내놓았다. 지난 15일 트위터는 TwitterSupport 계정으로 확인^{(Verification)} 프로그램 정책 변경 트윗 메시지를 게시했다. 실제로 트위터는 확인됨^{(verified badges)} 뱃지에 대한 정책을 변경했다. 새로운 정책에 따르면, 트위터 사용자는 다른 사람을 괴롭히는^(harassment) 선동^(inciting)을 하거나 직접 관여^(engaging)할 경우, 인종^(race), 민족^(ethnicity), 국적^{(national origin)}, 성적취향^{(sexual orientation)}, 성별^(gender), 성 정체성^{(gender identity)}, 소속 종교^{(religious affiliation)}, 나이, 장애, 질병에 기반해 다른 사람들을 직접적으로 공격^{(directly attacking)} 또는 위협^{(threatening)}하거나 증오나 폭력을 조장하는^{(promoting hate and/or violence)} 행위, 이러한 생각을 조장하는 이를 지지하는^(supporting) 행위, 그리고 기타 다른 이유로 파란색 확인 뱃지를 잃을 수 있다. 검증^{(Verification)}이 보증/지지^{(endorsement)}로 오랫동안 잘못 인식되어 온 것에 대한 조치라는 평가다.
뉴욕경찰이 휴대전화를 감시하고 싶은 경우 영장을 필요로 한다는 판결이 내려졌다. 뉴욕주 판사는 경찰의 강력한 감시 도구인 일명, 가오리^{(스팅레이, stingray)}라는 장치가 실제의 정상적인 휴대전화 기지국을 흉내내며, “검색”을 수행하기 때문에 대부분의 상황에서 영장을 받아야 한다고 결론을 내렸다. 브루클린의 뉴욕 주 대법원 판사는 이번달 초 살인 미수 건에서 뉴욕 경찰국 경찰관은 침입^(invasive) 장비를 사용하기 전에 표준을 따라, 상당 근거에 의한 영장을 받았어야 했다고 판결을 내렸다. ARS의 2013년 기사에 따르면 스팅레이^(Stinglay)는 기지국을 속여서 휴대전화의 위치를 가늠할 수 있다. 그리고 일부의 경우, 스팅레이는 전화나 문자 메시지를 가로챌 수 있다. 한번 설치되고나면, 이 장치는 대상 휴대전화의 데이터를 인근에 위치한 휴대전화의 정보화 함께 가로챈다.

Detailed News List

GDPR
- ^{[HelpNetSecurity]} A third of US businesses do not feel prepared for GDPR deadline
- ^{[InformationSecurityBuzz]} GDPR – Know The Seven Key Principles
- ^{[DarkReading]} We’re Still Not Ready for GDPR? What is Wrong With Us?
Twitter against White supremacists
- ^{[NakedSecurity]} Twitter gets tough on white supremacists with new policy
NYPD Stinglay
- ^{[ARSTechnica]} If NYPD cops want to snoop on your phone, they need a warrant, judge rules
- ^{[ARSTechnica]} Meet the machines that steal your phone’s data

Privacy

Summaries

아마존^(Amazon) S3 버킷^(Bucket)의 잘못된 설정으로 데이터가 유출되는 사고가 또 발생했다. 이번에는 문제가 되는 것이 미군^{(US Military)}에 의한 소셜미디어에서의 테라바이트 단위의 감시 결과가 온라인에 노출된 것이다. 이 잘못 설정된 아마존 S3 버킷들은 소셜미디어 포스트와 요주의 인물^{(Person of interest)}을 식별 및 프로파일링 하기 위해 미군에 의해 전 세계로부터 수집된 유사 페이지들이 포함되어 있었다. 이 문서들은 Chris Vickey에 의해 발견되었으며, 세개의 버킷들 이름은 각각 centcom-backup, centcom-archive, pacom-archive다. CENTCOM은 미 중앙사령부^{(US Central Command)}의 축약어다. 미군 사령부는 중동, 북아프리카, 중앙아시아를 담당한다. 유사하게, PACOM은 미 태평양 사령부^{(US Pacific Command)}로 남아시아, 중국, 호주를 담당한다. 하나의 버킷에는 8년 전 부터 지금까지 자동화된 수집 활동을 보여주는 18억개의 소셜 미디어 포스트 결과가 담겨있었다.

Detailed News List

US military social media surveillance
- ^{[SecurityAffairs]} Terabytes of US military social media surveillance miserably left wide open in AWS S3 buckets
- ^{[PacketStorm]} Massive US Military Social Media Spying Archive Left Wide Open In AWS S3 Buckets
- ^[HackRead] Misconfigured Amazon S3 Buckets Exposed US Military’s Social Media Spying Campaign
- ^[Techdirt] Defense Department Spied On Social Media, Left All Its Collected Data Exposed To Anyone
- ^[CyberScoop] Pentagon left AWS databases publicly exposed

Industrial/Infrastructure/Physical System/HVAC/SCADA

Summaries

11월 초 테네시^(Tennessee) 주의 스프링 힐 시티^{(City of Spring Hill)}가 랜섬웨어 공격을 받은 바 있다. 그러나 정부에서는 사이버 범죄자들이 백업으로부터 데이터베이스 내용을 복원하는데 요구한 $250,000의 몸값 제공을 거부했다. 이 악성코드는 도시에 심각한 상처를 남겼고, 수많은 일상적인 행동들에 영향이 있었다. 근무자들이 이메일에 접근하지 못하거나, 입주민들은 온라인으로 세를 지불하거나 신용카드를 공과금을 내거나 법원 벌금을 내는데 사용할 수 없었다. 그리고 어떤 다른 금융거래도 불가능했다. 응급전화를 받는 사람들은 상황이 더 심각해 전화 기록을 손으로 받아써야 하는 정도였다.

Detailed News List

City of Spring Hill
- ^{[SecurityAffairs]} City of Spring Hill in Tennessee still hasn’t recovered from ransomware attack

Social Engineering/Phishing/Con/Scam

Summaries

블랙프라이데이^{(Black Friday)} 및 사이버 먼데이^{(Cyber Monday)} 연중 세일 행사를 노린 각종 공격과 사기에 대한 주의 및 경고 기사가 급증하고 있다. 카스퍼스키 랩^{(Kaspersky Lab)}에 따르면 소비자들이 놀라운 할인 기회를 얻을 수 있지만, 금융 피싱 공격이 최고치를 기록하는 날이기도 하다.

Detailed News List

Black Friday
- ^{[InfoSecurityMagazine]} Skip Black Friday for a Safer Shopping Day: Gray Saturday
- ^{[Malwarebytes Lab]} 10 tips for safe online shopping on Cyber Monday
- ^{[InfoSecurityMagazine]} Fake Black Friday Apps Set to Cause Consumer Chaos

Mobile/Cloud

Summaries

체크 포인트^{(Check Point)}가 전세계 850개 기관을 상대로 한 조사에 따르면, 모든 비즈니스가 모바일 악성코드 공격을 경험한 것으로 드러났다. 회사마다 모바일 악성코드 공격을 경험한 평균치는 54회다. 또한, 89%의 기업은 최소 한번의 중간자공격^{(MitM, Man-in-the-Middle attack)}을 Wi-Fi 네트워크에서 겪었다. 또한 엔터프라이즈 이동성^{(enterprise mobility)}은 주류 플랫폼인 안드로이드와 iOS 플랫폼 둘 다 공격에 매우 민감한 것으로 나타났다. 75%의 기업들이 최소 하나 이상의 탈옥^(jailbroken)한 iOS 장치나 루팅^(rooted)한 안드로이드 장치가 기업 네트워크에 접속되었고, 루팅되거나 탈옥한 장치들의 평균 수치는 회사당 35개였다.

Detailed News List

100% Mobile Cyberattack
- ^{[InfoSecurityMagazine]} 100% of Businesses Have Faced a Mobile Cyberattack
- ^{[DarkReading]} Mobile Malware Incidents Hit 100% of Businesses

Technologies/Technical Documents/Statistics/Reports

Summaries

절반의 기관들에서 SSH 권한에 대한 감사를 진행하지 않는 것으로 드러났다. 악의적인 내부자와 같은 사이버 범죄자들은 원격지에서 시스템에 접근하고 보안 툴들을 우회하고 권한을 상승시키기 위해 SSH 키를 사용한다. Venafi가 10월에 조사한 결과에 따르면, SSH 키가 가장 높은 관리자 엑세스 권한을 제공하더라도 정기적으로 추적하거나 관리되지 않으며 보안이 매우 취약한 것으로 드러났다.
StartCom이 인증기관 사업에서 철수한다. 논란이 되어왔던 StartCom 인증기관이 사업에서 이제 물러난다. StartCom 의장 Xiaosheng Tan은 인터뷰에서 2018년 1월 1일 새로운 인증서를 더이상 발급하지 않으며 서비스를 중단할 것이라 밝혔다. CRL와 OCSP 서비스는 2년간 지원된다. StartCom과 Wosign 인증서는 이미 모질라, 애플, 구글, 마이크로소프트에 의해 신뢰할 수 없는 대상 목록에 올랐었다. w3tech에 따르면 0.1퍼센트의 웹사이트만 StartCom SSL 인증서를 사용하고 있다.

Detailed News List

Auditing SSH entitlements
- ^{[HelpNetSecurity]} Half of organizations do not audit SSH entitlements
StartCom
- ^{[TheRegister]} Shamed TLS/SSL cert authority StartCom to shut up shop

Security Newsletters, Nov 16th, 2017

Posted on 2017-11-16 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/System Breaches

Summaries

또다른 라디오 방송국의 송신이 하이재킹 당했다. 이번에는 알려지지 않은 공격자가 북한의 단파 라디오 방송 6400kHz 전송을 장악해 1986년에 발표된 스웨덴의 락밴드인 Europe이 부른 “마지막 카운트다운^{The Final Countdown}” 노래를 방송했다. 이 사건은 친미 성향의 해커 The Jester에 의해 11월 9일 드러났다. 그는 하이재킹한 방송의 녹음 링크를 포함한 하이재킹에 대한 트윗 메시지를 올렸다.
원격데스크탑 프로토콜^{(RDP, Remote Desktop Protocol)}을 사용해 직접 랜섬웨어^(Ransomware)를 유포하는 해커들이 있다. 랜섬웨어라고 하면 보안 취약점을 사용해 웜 처럼 대량으로 확산되거나 피싱 공격을 통해 웜과 익스플로잇을 사용하지 않고도 악성코드를 다운로드하게 하는 방법을 사용할 것으로 생각한다. 그러나 일부 사이버범죄자들이 일을 제대로 처리하기 위해서 스스로 직접하는 방법을 선택했다고 소포스^(sophos) 연구원들이 밝혔다. 사이버범죄자들은 NLBrute라는 공격툴을 사용하거나 온라인에 공개된 생일등의 정보로 원격데스크탑 비밀번호를 공격하고, 로그인에 성공하면 공격툴들을 직접 다운로드 받아서 작업을 진행한다.

Detailed News list

North Korea Radio Station Hacking
- ^[HackRead] Someone hacked N. Korean Radio Station to Play “The Final Countdown”
Ransomware spreading through RDP
- ^{[NakedSecurity]} Ransomware-spreading hackers sneak in through RDP

Malwares/Exploits/Vulnerabilities

Summaries

원플러스^(OnePlus) 스마트폰에 (실수로) 설치되어 배포된, 제조사들이 하드웨어 장비 점검을 위해 사용하는 어플리케이션인 EngineerMode가 부트로더 언락등이 필요없이 루트권한을 사용할 수 있게 만들어줘 문제가 되고있다. EngineerMode는 퀄컴^(Qualcomm)이 개발해서 제조사들에게 테스트 목적으로 제공한 어플리케이션이다.
마이크로소프트 오피스^{(Microsoft Office)}에 존재하는 17년 된 메모리 오염^{(Memory corruption)} 취약점을 보안 연구가가 찾아냈다. 이 취약점은 CVE-2017-11882로 문서 내에 방정식^(Equations)을 삽입하거나 수정하는 MS Office 구성요소인 EQNEDT32.EXE 컴포넌트에 존재한다. EQNEDT32.EXE가 오피스에 등장한 것은 17년 전 마이크로소프트 오피스 2000 이며, 하위 호환성을 위해 오피스2007 이후부터는 지속적으로 포함되어 있었다.
새로운 안드로이드 악성코드에 감염된 어플리케이션이 구글 플레이에서 확인되었다. 8개의 앱이 새로운 트로이들에 감염되었다. Android/TrojanDropper.Agent.BKY군의 악성코드 들이 지금까지 구글플레이에 존재하는 최소 8개의 앱을 감염시켰다. 각각의 어플리케이션은 구글이 스토어에서 제거하기 전 까지 몇백 건의 다운로드밖에 존재하지 않았다. 이 악성코드들은 구글의 탐지를 회피하기 위해 다 단계로 이루어진^{(Multi-stage)} 탐지회피 기능을 사용했다.
시스코 시스템스^{(Cisco Systems)}가 자사의 Cisco Voice Operating System software platform에 승인되지 않은 원격의 해커가 권한이 상승된 접근권한을 얻어 장비에 영향을 줄 수 있는 취약점이 존재한다고 경고문을 발표했다. 이 취약점은 CVE-2017-12337로 Cisco Unified Communications Manager와 같은 플래그십 제품에 사용되는 Voice Operating System software에 존재한다.
워드프레스^(WordPress) 사이트가 Formidable Forms 취약점으로 공격의 대상이 되고 있다. 보안연구가에 의해 유명한 워드프레스의 플러그인인 Formidable Forms의 취약점이 발견되었다. 이 취약점은 공격자가 민감 정보에 접근하거나 웹사이트를 장악 할 수 있게 하는 취약점이다. Formidable Forms는 무료/유료로 사용가능한 플러그인으로 워드프레스 사용자가 연락처 페이지나 설문, 투표 등의 폼^(form)을 쉽게 만들 수 있는 기능을 제공해준다. 핀란드에 기반한 Klikki의 Jouko Pynnönen이 취약점을 발견했다.
미국 국토안보부^{(DHS, Department of Homeland Security)}가 북한이 사용하는 악성코드 FALLCHILL에 대상 상세정보를 공유한다. FALLCHILL 악성코드는 북한정부와 관련되어 있다고 여겨지는 “Hidden Cobra” 해커그룹이 사용하는 원격관리도구^{(RAT, Remote Administration Tool)}다. 히든코브라 그룹은 소니 픽쳐스, 방글라데시 중앙은행 등을 공격한 라자러스 그룹^{(Lazarus Group)}으로도 알려져 있다. 이 발표에서 83개의 FALLCHILL 악성코드가 사용하는 네트워크 인프라 노드가 발견되었으며, 통신을 위해 가짜 SSL 헤더를 사용한다고 밝혔다. 이 악성코드는 시스템 기본 정보를 수집한 이후에, C&C 서버와 암호화 통신을 시작한다고 밝혔다.

Detailed News List

OnePlus
- ^[HackRead] There is a Pre-Installed Backdoor in OnePlus 5, 3 and 3T Devices
EQNEDT32.EXE
- ^{[TheHackerNews]} 17-Year-Old MS Office Flaw Lets Hackers Install Malware Without User Interaction
- ^{[DarkReading]} Microsoft Word Vuln Went Unnoticed for 17 Years: Report
- ^[ThreatPost] MICROSOFT PATCHES 17-YEAR-OLD OFFICE BUG
- ^{[SecurityWeek]} Microsoft Patches 17 Year-Old Vulnerability in Office
Android TrojanDropper
- ^{[DarkReading]} Stealthy Android Malware Found in Google Play
- ^{[SecurityWeek]} Multi-Stage Android Malware Evades Google Play Detection
Cisco Voice Operating System
- ^[ThreatPost] CISCO WARNS OF CRITICAL FLAW IN VOICE OS-BASED PRODUCTS
WordPress Formidable Forms
- ^{[SecurityWeek]} WordPress Sites Exposed to Attacks by ‘Formidable Forms’ Flaws
FALLCHILL & Hidden Cobra(Lazarus)
- ^{[SecurityWeek]} U.S. Government Shares Details of FALLCHILL Malware Used by North Korea

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

휴대용 기기^{(Mobile devices)}가 유럽의 개인정보보호규정인 GDPR^{(General Data Protection Regulation)} 미준수^{(noncompliance)}의 위험을 키우고 있다. Lookout의 보고서에 따르면 모바일 기기로부터의 데이터 접근은 GDPR 미준수 위험을 키운다. 84%의 미국 보안 및 IT 책임자들이 직원들의 휴대용 기기에서의 개인정보 접근이 그들 기업을 큰 GDPR 미준수 위험에 처하게 할 수 있다는데 동의했다. 실제로는 64%의 미국 고용인들은 그들 기관의 고객 및 파트너, 직원 정보를 그들의 휴대용 기기에서 접근한다고 밝힌바 있다.
백악관이 새로운 보안 취약점 공개 및 사용 헌장^{(Charter for Using, Disclosing Security Vulnerabilities)}을 발표했다. 개정된 Vulnerability Equities Process에서는 정부가 제품 및 서비스에서 발견한 새로운 취약점들을 어떻게 처리해야 하는지에 대한 투명성을 제공한다. 수요일에 트럼프 행정부는 VEP^{(Vulnerability Equities Process)}라 불리는 개정안에 대하여 발표했다.
영국 사이버사이버보안센터^{(NCSC, National Cyber Security Centre)} 센터장인 시아란 마틴^{(Ciaran Martin)}이 해킹 공격에 대하여 러시아를 비난했다. 러시아가 영국의 브렉시트에 간섭했다는 보도가 나온 가운데, 영국의 NCSC 센터장은 수요일에 러시아가 지난 몇년 간 영국 미디어, 통신사, 에너지 영역에 대하여 사이버 공격을 계속해 왔다고 말했다.

Detailed News List

GDPR
- ^{[HelpNetSecurity]} Mobile devices present a significant risk for GDPR noncompliance
VEP
- ^{[DarkReading]} White House Releases New Charter for Using, Disclosing Security Vulnerabilities
- ^[WhiteHouse] Vulnerabilities Equities Policy and Process for the United States Government (PDF)
UK blames Russia
- ^{[SecurityWeek]} UK Cyber Security Chief Blames Russia for Hacker Attacks
- ^[TheTimes] Suspect Russian accounts tweeted about Brexit in run-up to vote
- ^[BBC] How Russian bots appear in your timeline
- ^[Medium] How A Russian Troll Fooled America

Patches/Updates

Summaries

모질라^(Mozilla)의 파이어폭스^(Firefox) 57이 공개되었다. 파이어폭스 57은 퀀텀^(Quantum)이라는 이름으로 공개되었고, 다양한 성능 향상이 있었다.
마이크로소프트^(Microsoft)의 정기 패치^{(Patch Tuesday)}에서 53개의 취약점이 수정되었다. 이번 패치에서는 19개의 심각^(critical), 31개의 중요^(important), 3개의 보통^(moderate) 업데이트로 구성되어 있다. 이번에 패치된 취약점들 중 최소 4개는 공격자들이 사용가능한 공개 익스플로잇이 존재한다. 하지만, 아직 실제로 악용되는 사례는 확인된 바 없었다. 익스플로잇이 공개된 취약점들은 CVE-2017-8700, CVE-2017-11827, CVE-2017-11848, CVE-2017-11883 이다. 그리고 17년 된 MS Office의 취약점 CVE-2017-11882는 원격 코드 실행이 가능한 취약점으로, 지난 17년간의 모든 버젼의 마이크로소프트 오피스^{(Microsoft Office)}가 취약하다는 것이 확인되었고 최신버젼의 윈도우즈 10 Creators 업데이트까지 포함해 모든 윈도우즈 버젼이 취약하다. 패치된 다른 취약점들로는 CVE-2017-11836, CVE-2017-11837, CVE-2017-11838, CVE-2017-11839, CVE-2017-11871, CVE-2017-11873 이 있다.
오라클^(Oracle)이 화요일에 Oracle Tuxedo의 Jolt Server 컴포넌트에 대한 심각^(critical)과 높음^(high) 수준의 취약점들이 포함된 패치를 진행했다고 고객들에게 발표했다. 오라클 턱시도^{(Oracle Tuxedo)}는 Oracle Fusion Middleware의 주요 구성요소로 사용자가 비자바^(non-Java) 프로그래밍 언어로 개발된 엔터프라이즈 응용프로그램을 빌드 및 배포하도록 돕는 어플리케이션 서버다. 해당하는 취약점 다섯개는 CVE-2017-10269, CVE-2017-10272, CVE-2017-10267, CVE-2017-10278, CVE-2017-10266 이다.

Detailed News List

Firefox 57 Quantum
- ^{[HelpNetSecurity]} Firefox Quantum: Security and privacy improvements
Patch Tuesday
- ^{[TheHackerNews]} Patch Tuesday: Microsoft Releases Update to Fix 53 Vulnerabilities
- ^[ThreatPost] MICROSOFT PATCHES 20 CRITICAL VULNERABILITIES
- ^[ThreatPost] MICROSOFT PATCHES 17-YEAR-OLD OFFICE BUG
- ^{[SecurityWeek]} Microsoft Patches 17 Year-Old Vulnerability in Office
Oracle Tuxedo
- ^{[SecurityWeek]} Oracle Patches Critical Flaws in Jolt Server for Tuxedo

Privacy

Summaries

텍사스 주 방위군^{(Texas National Guard)}이 두개의 DRT 1301C 셀사이트 시뮬레이터^{(Cell-site simulator)} 장치를 구매했다. 구매 목적은 전화를 가로채거나 문자 메시지와 사진을 모니터링하기 위함이었다. 그리고 이 장비들은 두대의 감시 비행기^{(Surveillance planes)}에 설치되었는데, 이 장치들이 사용되기 전에 영장^(warrant)이 발부되었는지, 어떻게 셀사이트 시뮬레이터가 사용될 수 있었는지에 대해서는 정확히 밝혀진 바가 없다. 셀사이트 시뮬레이터는 가짜 기지국^{(cellphone towers)} 역할을 하면서 휴대전화가 접속하도록 속이는 행위를 해서, 휴대전화가 해당 시뮬레이터에 접속하게 되면 접속한 휴대전화에 대한 감시행위를 한다.그러나 감시를 수행하기 위해서는 대상이 되는 휴대전화가 1/3 마일^{(약 500미터)} 안에 위치해 있어야 한다.
아이폰X의 페이스아이디^(FaceID)가 150달러짜리 3D프린팅 된 가면에 뚫렸다는 기사 이후, 가면도 필요없이 페이스아이디 인증이 뚫렸다는 기사가 올라왔다. 이번에는 10살짜리 소년이 어머니의 아이폰X를 자신의 얼굴만으로 언락하는 장면이 공개되었다. 공개된 동영상에 따르면 비슷하게만 생기면 아이폰X의 페이스아이디의 잠금해제가 가능한 것으로 보인다.

Detailed News List

Texas National Guard
- ^[HackRead] Texas National Guard secretly installed spying devices on surveillance aircrafts
- ^[TechDirt] Texas National Guard Latest Agency To Be Discovered Operating Flying Cell Tower Spoofers
FaceID
- ^[HackRead] 10-year-old kid uses his face to unlock mom’s iPhone X with Face ID
- ^{[HotForSecurity]} 10-year-old kid succeeds in unlocking his mum’s iPhone X, with just a glance

Mobile/Cloud

Summaries

훔친 스마트폰이나 주운 스마트폰을 구매해 다시 되파는 방법은 불법이긴 하지만 전세계적으로 횡행하는 사업중 하나다. 잃어버렸던지 도둑맞았던지 간에 아이폰은 종종 실 소유자에 의해 잠겨있었다. 어떤 경우에도 판매자나 구매자는 잠금을 해제하고 재활성화 시킬 방법이 필요하다. 아이폰의 내폰 찾기 기능을 꺼버리고 팔기 위해서 데이터를 지워야 했다. 그러기 위해서는 원 소유자의 iCloud 계정에 접근할 수 있어야 했다. 다행스럽게(?)도 이러한 작업들을 도와주는 몇가지 도구들이 존재한다.

Detailed News List

Tools for iPhone criminals
- ^{[HelpNetSecurity]} The tools criminals use to prepare a stolen iPhone for resale

Data Breaches/Info Leakages

Summaries

차량 콜 서비스 Fasten의 사용자 정보 및 운전자 정보가 노출되었다. 크롬테크^{(Kromtech Security)}에 따르면, 잘못 설정된^{(misconfigured)} 서버가 인터넷을 통해 내부 데이터에 접속할 수 있도록 방치되어 있었고, 거기에는 내부정보, 운전자 기록, 고객 기록, Fasten의 기밀정보 등이 존재했다. 연구원들이 발견한 고객 정보의 양은 약 1백만 건의 모바일 어플리케이션 사용자 정보, 수천 건의 운전자 정보 등 이었다.
심각한 수준의 정보유출 사건을 겪은 NSA에 대한 기사가 이어지고 있다. NSA는 에드워드 스노든에 의한 내부자료 유출로 힘든 시간을 보낸 바 있다. 그러나 뉴욕타임스에 따르면 NSA는 몇년간 더 깊이 침투당한 것으로 드러났다. 특히 섀도우브로커스^{(Shadow Brokers)}가 2016년 8월 13일 NSA의 사이버 인프라에 대한 어마어마한 양의 데이터 유출을 벌인 이후, 섀도우브로커스 그룹은 NSA의 서버로부터 빼낸 데이터를 중국이나 러시아, 이란, 북한등의 모든 사람들에게 온라인으로 판매하거나 공개했다.
FOREVER 21이 일부 상점에서 신용카드 정보가 유출되었다고 경고했다. 지난 화요일 Forever 21은 알려지지 않은 공격자들에게 그들의 일부 매장에서 신용카드 정보에 승인되지 않은 접근을 허용하는 보안 침해가 있었다고 발표했다. 아직 조사가 진행중이기 때문에 영향을 받은 고객의 정확한 숫자나 사고에 대한 정확한 내용은 알려지지 않은 상태다.

Detailed News List

Fasten
- ^[HackRead] Unsecure Server Exposed Private Data of Popular Ride-Hailing Service
NSA
- ^[HackRead] NSA rocked after The Shadow Brokers Breach
- ^[NYTimes] Security Breach and Spilled Secrets Have Shaken the N.S.A. to Its Core
- ^{[NakedSecurity]} Shadow Brokers cause ongoing headache for NSA
Forever 21
- ^{[TheHackerNews]} Forever 21 Warns Shoppers of Payment Card Breach at Some Stores
- ^{[DarkReading]} Forever 21 Informs Shoppers of Data Breach
- ^{[SecurityWeek]} Forever 21 Investigating Payment Card Breach

Industrial/Infrastructure/Physical System/HVAC

Summaries

영국 헬스케어 IT 전문가들 중 1/4은 각 기관의 사이버 공격 대응 능력에 대하여 자신없어 한다는 Infoblox의 조사결과가 나왔다. 헬스케어 기관의 디지털로의 전환 정책으로 인터넷에 연결된 의료기기의 증가, 빅데이터 분석을 통한 빠르고 더 정확한 진단, 환자 기록 교환을 쉽게하는 종이없는 시스템 등의 기술 수요가 급성장하고 있다. 이렇게 핵심 의료서비스에 기술이 더욱 뿌리내릴수록 서비스 장애나 민감 환자 정보 유출, 실제 생명을 위협하는 사이버 공격등의 위협이 증가한다.
보잉757 비행기 원격 해킹에 대한 기사도 이어지고 있다. 국토안보부가^{(DHS, the Department of Homeland Security)} 진행했던 실험에서 실제로 뉴저지 애틀란틱 시티^{(Atlantic City, New Jersey)} 공항 활주로에 있는 보잉757^{(Boeing 757)}기를 원격으로 해킹해서 내부 시스템에 침투하는 것이 가능했다는 내용이 Virgina Tysons Corner에서 열린 2017 CyberSat Summit 발표에서 나온 것이다.

Detailed News List

Healthcare
- ^{[HelpNetSecurity]} Is the healthcare industry prepared to combat evolving cyber threats?
Airplane Hacking
- ^{[NakedSecurity]} DHS says it remotely hacked a Boeing 757 sitting on a runway

Internet of Things

Summaries

아마존 에코^{(Amazon Echo)}와 구글 홈^{(Google Home)} 장치들이 블루본^(BlueBorne) 공격에 취약하다고 알려졌다. 2017년 9월에 Armis의 IT 보안 연구가들에 의해 블루투스 프로토콜에 존재하는 8개의 제로데이^(zero-day) 취약점이 발견된 적 있다. 이는 블루본^(BlueBorne)이란 이름이 붙었는데, 블루투스 기능이 활성화 된 수많은 윈도우즈, 리눅스, iOS, 안드로이드 기반 장치들과 IoT 장치들에 영향을 미쳤다. Armis가 이번에는 아마존 에코와 구글 홈 스마트 스피커가 이 블루본 공격에 취약하다는 것을 찾아냈다. 연구가들은 또한 아마존 에코가 CVE-2017-1000250, CVE-2017-1000251에 취약하다는 점과 구글 홈은 CVE-2017-0785에 취약하다는 점을 찾아냈다.
아마존 에코^{(Amazon Echo)}와 구글 홈^{(Google Home)}이 목소리 인식에 있어 취약하다는 기사도 올라왔다. 은행등 에서 목소리 인식 기능을 채택하는 이유는 사람의 목소리 지문^{(Voice prints)}를 이용해 사기 등에 대항하기 위함이지만, 어린아이 처럼 소리를 내거나 나이가 많은 사람처럼 저음을 내서 목소리 인식 기능을 우회할 수 있다는 것이다.

Detailed News List

BlueBorne Attack against Amazon Echo & Google Home
- ^[HackRead] Amazon Echo and Google Home Devices Vulnerable to BlueBorne Attack
- ^{[SecurityWeek]} Amazon Echo, Google Home Vulnerable to BlueBorne Attacks
Voice Recognition
- ^{[NakedSecurity]} Hackers mimicking little kids can fool voice recognition systems

Technologies/Technical Documents/Statistics/Reports

Summaries

Ponemon Institute가 진행한 소매, 의료, 금융 서비스 등 고도의 목적산업^{(highly targeted industries)}들에 대한 연구에서 봇 주도^(bot-driven) 웹 트래픽의 확산과 그로인한 조직의 어플리케이션 보안의 영향을 보여주고 있다. 모든 인터넷 트래픽 흐름중 52%가 봇에 의해 만들어진다. 몇몇 기관들에게는 봇이 그들의 전체 트래픽 중 75% 이상을 차지한다. 이것은 1/3의 기관이 좋은 봇과 나쁜 봇을 구분할 능력이 없다는 점에서 중요한 발견이다. 리포트는 또한 45%의 응답자가 작년에 데이터 침해를 겪었으며, 68%는 기업정보를 안전히 지키고 있는지에 대하여 자신없어 한다는 점을 확인했다.
마이크로소프트^(Microsoft)가 퍼징^(Fuzzing)능력 향상을 위해 신경망^{(Neural Networks)} 기술을 사용한다. 마이크로소프트가 소프트웨어 취약점 진단을 위한 새로운 기술을 개발했다. 심층신경망^{(Deep Neural Networks)}과 머신러닝^{(Machine learning)}을 사용하는 이 기술은 지금의 테스트 접근방식을 개선하는데 사용된다.
파일을 사용하지 않는 공격의 성공률이 10배 이상 높다는 연구결과가 나왔다. Ponemon Institute의 새로운 리포트에 따르면 엔드포인트 보안이 더욱더 어려워지고 복잡해지며, 더 많은 시간을 소요하지만 성공적이지는 못한 것으로 드러났다. 엔드포인트 보안 기업인 Barkly의 보고서에 따르면, 많은 사용자들이 기존의 서명 기반^{(Signature-based)}의 악성코드 탐지 방식에서 추가적인 보호능력^{(additional protection)}이나 대응능력^{(response capabilities)}을 가진 것들을 대체하거나 추가하는 쪽으로 이동하고 있다. 이런 구식/신규 방어 법들에 대항하기 위해 공격자들은 파일을 사용하지 않는 공격법을 사용하고있다. Ponemon에 따르면 2017년의 29%의 공격이 파일을 사용하지 않는다. 이는 2016년의 20%보다 증가한 수치이며, 2017년에는 35%로 늘어날 것으로 예상된다. Fileless 공격은 탐지가능한 파일을 설치하지 않는 공격으로, Ponemon은 익스플로잇이 악성코드나 스크립트를 메모리나 감염된 장치에서 탐지되기 쉬운 흔적을 남기지 않고 직접 실행하도록 설계된 방식이다.

Detailed News List

Bot-driven web traffic & impact
- ^{[HelpNetSecurity]} Bot-driven web traffic and its application security impact
Neural Networks to Fuzz
- ^{[DarkReading]} Microsoft Uses Neural Networks to Make Fuzz Tests Smarter
Fileless Attacks
- ^{[SecurityWeek]} Fileless Attacks Ten Times More Likely to Succeed: Report