Security Newsletters, Nov 20th, 2017

Posted on 2017-11-20 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Malwares/Exploits/Vulnerabilities

Summaries

두번째 크립토믹스^(CryptoMix) 랜섬웨어의 변종이 발견되었다. 최근 MalwareHunterTeam의 연구자들에 의해 새로운 CryptoMix 랜섬웨어 변종이 확인되었다. 죄근 변종은 암호화된 파일에 0000 확장자를 붙이며, 새로운 연락처 이메일 주소를 사용한다. 악성코드 연구가 Lawrence Abrams는 랜섬웨어 최근버젼이 앞서 발견된 변종과 동일한 암호화 방식을 사용하지만, 살짝 다른점이 있다고 설명했다. 몸값을 알리는 문구는 _HELP_INSTRUCTION.TXT의 같은 파일명을 사용한다. 그러나 이제는 y0000@tuta.io, y0000@protonmail.com, y0000z@yandex.com, y0000s@yandex.com 이메일을 사용하고 있다. 이 CryptoMix 변종은 11개의 RSA-1024 암호 공개키를 가지고 있으며, 피해 PC에서 파일들을 AES 암호화 하는데 사용된다.
아마존의 키^(Key) 서비스 취약점에 대한 기사가 이어지고 있다. Rhino Security Labs의 연구자는 아마존 키 서비스와 연계된 카메라를 공격하는 방법으로 공격자가 카메라에 화면이 잡히지 않으면서 고객의 집에 침입 할 수 있게 만드는 취약점에 대하여 공개했다. 아마존은 프라임 사용자들에게 인터넷 카메라와 연계하여 원격으로 지켜보는 가운데 문을 열고 배달 물건을 집 내에 놓을 수 있도록 하는 키 서비스를 제공한다고 발표한 바 있다.
Facebook, Google Plus, Twitter 등 소셜미디어 계정을 훔치는 능력까지 보유한 테르돗^(Terdot) 악성코드에 대한 기사가 계속되고 있다. 비트디펜더^{(BitDefender)}의 보안 연구가들에 의하면, Terdot 트로이는 2016년 6월에 처음 확인되었다. 이 악성코드는 프록시^(Proxy)로 기능하면서 방문하는 웹 페이지에 HTML 코드를 주사^(injecting)하여 중간자공격^{(MitM, Man-in-the-Middle Attack)}을 수행하고 신용카드 정보와 같은 금융정보를 훔쳐낸다. 비트디펜더 연구원들에 따르면 금융정보 외에도 Google Plus, Facebook, Twitter와 같은 소셜미디어의 로그인 인증정보를 훔치는 기능도 갖췄다. 야후도 정보를 훔치는 대상이지만, 러시아의 가장 큰 소셜미디어 플랫폼인 VK는 대상으로 삼지 않는다. 한가지 더 우려스러운 것은, Terdot은 자가변형하고 업데이트 할 수 있는 능력을 갖추고 있어, 악성코드를 조종하는 사람이 명령할 경우 어떤 파일이든 다운로드 받아 실행할 수 있다는 점이다. 이 것은 트로이목마가 탐지 회피 기술과 같은 안티바이러스 프로그램을 속이는 등의 새로운 기능을 스스로 업데이트 할 수 있다는 것이다.

Detailed News List

CryptoMix
- ^{[SecurityAffairs]} A second variant of the new Cryptomix Ransomware released in a few days
Amazon Key
- ^{[SecurityAffairs]} De-authentication attack on Amazon Key could let crooks to disable your camera
Terdot
- ^[HackRead] A banking trojan that steals Gmail, Facebook, Twitter and Yahoo Password

Data Breaches/Info Leakages

Summaries

미 국방부에 의한 웹 모니터링 활동 정보가 잘못 설정된 아마존 S3 버킷으로 인해 온라인에 노출되었다는 기사가 지속되고 있다. 지난번 정리에서도 다뤘지만, 이번에 유출된 데이터는 수 테라바이트 규모의 소셜미디어 모니터링 데이터가 노출되었다. 노출된 버킷의 이름이 CENTCOM과 PACOM을 포함하고 있어, 각각 미 중부사령부^{(the US CENTral COMmand)}와 미 태평양 사령부^{(the US Pacific Command)}의 소셜미디어 감시활동으로 보고있다.
지난주, 온라인 전당포^(Pawnbroker)인 Cash Converter의 구 웹 사용자 정보가 노출되었다는 기사를 정리한 바 있다. 그에대한 기사도 이어지고 있다. 지난 목요일 CachConverter는 고객들에게 이메일을 보내 무슨일이 일어났는지에 대한 해명을 했다. CashConverter에 따르면, 구 웹사이트가 해킹을 당해 고객정보가 유출되는 사고가 일어났다. 현재 CashConverter가 사용하고 있는 신규 전자상거래 플랫폼은 이에 영향을 받지 않는다. 침해를 당한 웹사이트는 제3자^{(third-party)}에 의해 운영되고 있었고, CashConverter는 9월에 계약을 종료했다. 침해당한 웹사이트가 금융정보를 포함하고 있지는 않았지만, 공격자가 사용자 상세 정보, 비밀번호, 구매 이력과 같은 사용자 정보에 접근했을 가능성이 있다.

Detailed News List

Social Media Surveillance by Pentagon
- ^[CSOOnline] Pentagon contractor spied on social media, left data unsecured in cloud
CashConverter
- ^{[SecurityAffairs]} Cash Converters suffered a data breach, users of the old webshop are at risk

Technologies/Technical Documents/Statistics/Reports

Summaries

기업에게 있어 가장 큰 위협은 KRACK이나 Heartbleed와 같이 세련된 이름이 붙은 공격법이 아니라, 내부자에 의한 위협이라는 기사가 나왔다. 불만을 품은 직원이 조직내에서 악의적인 행동을 하는 것을 상상하기는 쉬운 일이다. 반면에 큰 사건들을 보면 좋은 의도를 가진 직원이 해서는 안될 일을 저지르는 경우일 가능성도 높다는 것이다. 최근 벌어진 대형 데이터 유출 사건들이 그러한데, 엑센츄어^(Accenture)는 네개의 서버에 데이터를 공개해놨고, 버라이즌^(Verizon)은 1,400만 고객정보를 보호되지 않은 아마존^(Amazon) S3에 방치해 두었다. 그리고 호주 국영 방송 ABC는 고객정보와 1,800건의 일일 MySQL 백업을 공개해놓은 사건이 있었다.

Detailed News List

Insider Threats
- ^[ZDNet] Your biggest threat is inside your organisation and probably didn’t mean it

Security Newsletters, Nov 18th, 2017

Posted on 2017-11-18 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Malwares/Exploits/Vulnerabilities

Summaries

악명높은 제우스^(ZeuS) 뱅킹 트로이에 기반한 정교한 악성코드 Terdot에 페이스북, 트위터, 지메일 계정을 훔치는 기능이 추가된 것이 확인되었다. Terdot 뱅킹 트로이는 2016년 중순 이후로 활동해온 악성코드로, 초기에는 프록시^(Proxy)로 기능하도록 설계되어 중간자공격^{(MitM, Man-in-the-Middle)}을 수행하면서 방문하는 웹 페이지에 HTML 코드를 주사^(injecting)해 신용카드 정보나 로그인 인증정보를 훔쳤다. 그러나 비트디펜더^{(Bitdefender)}의 연구자들은 이 뱅킹 트로이에 가짜 SSL 인증서를 사용해 소셜 미디어 및 이메일 계정에 대한 접근권한을 얻기 위한 기능과 감염된 사용자 대신에 글을 올리는 기능까지 새로운 사이버 스파이^{(cyber espionage)} 기능을 탑재한 것을 확인했다.
인터넷에 공개되어 있는 중소기업의 RDP를 통해 SMB를 노리는 랜섬웨어 공격이 확인되었다. 많은 비즈니스 네트워크에 문제가 되는 취약한 비밀번호를 노리는 공격이다. 인터넷에 노출되어 있는 RDP 포트를 탐지하는 것은 어렵지 않다. 사이버 범죄자들은 쇼단^(Shodan)과 같은 특화된 검색엔진 등을 활용해 RDP가 열린 시스템을 찾아내고 해당 시스템에 대해서 공개된 툴이나 별도의 툴을 사용해 공격한다.

Detailed News List

Terdot banking trojan
- ^{[TheHackerNews]} Banking Trojan Gains Ability to Steal Facebook, Twitter and Gmail Accounts
- ^{[SecurityWeek]} Terdot Banking Trojan Could Act as Cyber-Espionage Tool
- ^{[DarkReading]} Terdot Banking Trojan Spies on Email, Social Media
Ransomware via RDP
- ^{[SecurityWeek]} Ransomware Targets SMBs via RDP Attacks
- ^{[DarkReading]} Crooks Turn to Delivering Ransomware via RDP

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

마이크로소프트^(Microsoft)가 소유한 스카이프^(Skype)가 도청^{(Eavesdropping)}을 거부한 결과 벨기에 법원에서 약 $35,000^(€30,000)에 달하는 벌금형을 받을 것으로 보인다. 마이크로소프트는 1) 기술적으로 불가능하며 2) 법률이 통신사업자 대상이므로 적용되어선 안된다고 말했다. 스카이프는 수요일에 벨기에 법원에서 패소했다. 독일 뉴스에 따르면, 이 문제는 2012년 시작되었다. 벨기에 정부가 Skype에서 이루어진 조직범죄자들의 대화를 도청하길 요구하면서 부터다. 검찰에 따르면 스카이프는 요청에 일부에 대해서만 응했는데, 이메일, 사용자 기록, 계정정보, 아이피 주소와 같은 메타데이터만 제공한 것이다. 그러나 대화 내용에 대해서는 스카이프는 엿듣는 것이 기술적으로 불가능한 일이라고 말했다.

Detailed News List

Skype
- ^{[NakedSecurity]} Skype faces fine after refusing to allow eavesdropping

Patches/Updates

Summaries

우크라이나^(Ukraine)의 전력망^{(Power grid)} 해킹에서 공격대상이 되었던 장비들과 유사한 수백개의 Moxa 장비들이 원격 공격에 취약한 것으로 드러났다. ICS-CERT가 공개한 경고^(Advisory)에 따르면, NPort 장치들에 영향을 미치는 취약점들이 새로운 소프트웨어 릴리즈로 패치되었다. ICS-CERT는 이 취약점들 중 하나인 CVE-2017-16719가 원격으로 패킷을 주사^(Inject)해 장비 가용성^{(Availability)}을 해칠 수 있다고 밝혔다. 또다른 취약점인 CVE-2017-16715는 이더넷 프레임 패딩^{(Ethernet frame padding)}을 다루는 것과 관련이 있는데, 정보 유출로 이어질 수 있다. CVE-2017-14028 취약점은 대량의 TCP SYN 패킷을 보내 메모리 고갈^{(Memory exhaustion)}을 일으킬 수 있다.
오라클^(Oracle)이 PeopleSoft 앱 서버의 심각한 취약점 수정을 위한 5개 패치를 릴리즈했다. 5개 취약점은 JoltandBleed라 명명된 취약점을 포함한다. 이 취약점은 2014년에 OpenSSL에서 발견된 HeartBleed와의 유사성 때문에 이런 이름이 붙었다. JoltandBleed 취약점은 PeopleSoft 플랫폼에서 구동되는 전체 어플리케이션을 인터넷을 통해 노출시킬 수 있는 심각한 취약점이다. JoltandBleed는 오라클의 Tuxedo 2 어플리케이션 서버에서 사용된, Jolt 프로토콜에 존재하는 메모리 유출 취약점이다. 조작된 네트워크 패킷을 Jolt 서비스가 제어하는 HTTP 포트로 전송하면 앱 서버의 메모리에서 세션 정보, 사용자 이름, 비밀번호 등을 평문으로 추출할 수 있다.

Detailed News List

Moxa NPort Devices
- ^{[SecurityWeek]} Moxa NPort Devices Vulnerable to Remote Attacks
Oracle JoltandBleed
- ^{[ARSTechnica]} Oracle rushes out 5 patches for huge vulnerabilities in PeopleSoft app server
- ^[Oracle] Oracle Security Alert Advisory – CVE-2017-10269

Cyber Intelligence

Summaries

IBM Threat Intelligence에서 쿼드나인^(Quad9)이라 불리는 새로운 무료 DNS^{(Domain Name System)} 서비스를 시작했다. 이 DNS 서비스는 악성으로 분류된 웹사이트에 대한 접근을 자동으로 제한하는 자동화된 면역시스템을 제공한다. 쿼드나인이라 불리는 이유는 DNS 서버 주소가 9.9.9.9 이기 때문이다. 새로운 이 서비스는 IBM Security, Packet Clearing House^(PCH), The Global Cyber Alliance^(GCA)에 의해 런칭되었다. 이 서비스는 사용자의 DNS 질의를 보안네트워크를 통해 전달하고, 웹사이트의 인정성 여부를 판단하기 위해 실시간으로 다수의 사이버보안 기업들의 위협 정보^{(threat intelligence)}를 사용한다. 사용자의 브라우저는 시스템이 감염된 것으로 탐지되면 자동으로 웹사이트 접근을 차단한다.
소스코드 호스팅 서비스인 GitHub이 취약한 라이브러리 사용에 대해 개발자들에게 알려주는 서비스를 시작했다. GitHub는 최근 의존성 그래프^{(Dependency Graph)}라는 기능을 인사이트^(Insight) 섹션에 도입했다. 이 기능은 프로젝트가 사용하는 라이브러리 목록을 보여준다. 이 기능은 현재 자바스크립트와 루비를 지원하는데, 내년에는 파이썬까지 추가로 지원할 계획이다. GitHub이 추가한 이 새로운 보안기능은 프로젝트 의존성에 알려진 취약점이 있을 때, 개발자들에게 경고하는 것을 목표로 설계된 기능이다. 의존성 그래프와 보안 알림 기능은 공개 리포지토리^(repository)에 대해서는 자동적으로 활성화 된다. 그러나 비밀 리포지토리에 대해서는 선택적 활성화^(Opt-in) 대상이다.

Detailed News List

Quad9 DNS service
- ^{[SecurityWeek]} Group Launches Secure DNS Service Powered by IBM Threat Intelligence
- ^{[DarkReading]} IBM, Nonprofits Team Up in New Free DNS Service
GitHub Dependency Graph
- ^{[SecurityWeek]} GitHub Warns Developers When Using Vulnerable Libraries

Privacy

Summaries

원플러스^(OnePlus) 스마트폰이 루팅 없이도 루트권한을 사용할 수 있게 해주는 어플리케이션^{(EngineerMode)}이 설치되어 있었던 사건 이후, 사용자의 정보를 수집하는 앱인 OnePlusLogKit 까지 사전설치^{(pre-installed)}되어있어 또 한번 이슈가 되고있다. 이번 발견도 EngineerMode 어플리케이션을 찾아냈던 Elliot Anderson 트위터 사용자에 의해 공개되었고, 이 어플리케이션은 시스템 권한^(Privileges)으로 실행되며 사용자의 GPS 기록, WIFI 데이터, 블루투스, NFC, 사진, 동영상, 실행 프로세스 목록 등에 접근한다.

Detailed News List

OnePlus
- ^[HackRead] Another preinstalled app found on OnePlus that could collect user data
- ^{[TheHackerNews]} Another Shady App Found Pre-Installed on OnePlus Phones that Collects System Logs

Data Breaches/Info Leakages

Summaries

호주 ABC 방송국이 최소 두개의 S3 리포지토리에서 민감 정보를 유출시키는 사고가 일어났다. 11월 16일에 알려진 이 사고는 기술팀이 즉각 대응해서 문제를 해결했다고 밝혔다. 크롬테크^(Kromtech)에 따르면 노출된 데이터는 외부로 나와서는 안될 제작 서비스 및 파일들이었다. 노출된 파일에는 수천통의 이메일, ABC Commercial 사용자가 컨텐츠에 접근하기 위한 로그인 및 비밀번호 정보, 전세계 미디어 제작자들로 부터의 라이센싱한 컨텐츠 요청들, 다른 저장소들의 비밀 접근 키 및 로그인 상세정보, 비디오 컨텐츠, 2015년 부터 지금까지 1,800개의 MySQL 일일 백업 등 이었다.
카스퍼스키랩^{(Kaspersky Lab)}이 NSA 사고에 대하여 상세한 정보를 공개하고 있다. 문제가 된 PC가 다른 APT 공격에서도 공격 대상이 되었다. 카스퍼스키는 2015년 러시아 첩보기관이 NSA의 사이버 무기를 카스퍼스키 안티바이러스를 사용하는 직원중 한명의 PC에서 훔쳐냈다는 주장에서 직접적인 관련성에 대해 계속 부인해왔다. 문제가 되는 PC는 NSA 직원이 마이크로소프트 오피스^{(Microsoft Office)} 불법 복제본을 사용하는 과정에서, 오피스의 키 생성기^{(Key generator)}에 숨겨진 백도어^(backdoor)가 설치되면서 해킹 당한 것으로 알려졌다.
세계 최대의 드론 제조사중 하나인 중국의 DJI와 보안연구가 사이의 버그바운티^{(Bug bounty)} 프로그램에 대한 언쟁이 기사화 되었다. DJI는 8월말 버그바운티 프로그램을 실행함을 알리며 백도어를 만들거나, 민감한 고객정보, 소스코드, 암호화 키를 노출시키는 취약점에 대해 $100에서 부터 $30,000까지 현상금을 지불하겠다고 공지했다. Kevin Finsisterre 보안 연구가는 DJI가 SSL 키와 AES 암호화 키를 GitHub의 소스코드에 공개해 놓은 것을 확인했고, 거기에는 여권, 면허증 정보등이 포함되어 있었다. 이 내용을 DJI에 알린 후에 Kevin은 최고액인 $30,000에 해당한다는 연락을 받았다. 그러나, DJI는 버그바운티 보상금을 받기 위해서는 사전에 동의서에 서명을 했었어야 한다고 말했다.

Detailed News List

Australian Broadcasting Corporation (ABC)
- ^[ZDNet] Australian Broadcasting Corporation confirms S3 data leak
NSA Incident
- ^{[SecurityAffairs]} Kaspersky provided further details on NSA Incident. Other APTs targeted the same PC
- ^[HackRead] Kaspersky Investigators Reveal How NSA Hacking Tools Were Stolen
- ^{[TheHackerNews]} Kaspersky: NSA Worker’s Computer Was Already Infected With Malware
- ^{[SecurityWeek]} Kaspersky Shares More Details on NSA Incident
- ^[RT] ‘US will never retract accusations against Kaspersky – Russia must always be blamed for something’
- ^{[FifthDomain]} Kaspersky Lab releases report into upload of NSA documents
- ^{[DarkReading]} 121 Pieces of Malware Flagged on NSA Employee’s Home Computer
DJI
- ^{[SecurityWeek]} Drone Maker DJI, Researcher Quarrel Over Bug Bounty Program

Industrial/Infrastructure/Physical System/HVAC

Summaries

우크라이나^(Ukraine)의 전력망^{(Power grid)} 해킹에서 공격대상이 되었던 장비들과 유사한 수백개의 Moxa 장비들이 원격 공격에 취약한 것으로 드러났다. ICS-CERT가 공개한 경고^(Advisory)에 따르면, NPort 장치들에 영향을 미치는 취약점들이 새로운 소프트웨어 릴리즈로 패치되었다. ICS-CERT는 이 취약점들 중 하나인 CVE-2017-16719가 원격으로 패킷을 주사^(Inject)해 장비 가용성^{(Availability)}을 해칠 수 있다고 밝혔다. 또다른 취약점인 CVE-2017-16715는 이더넷 프레임 패딩^{(Ethernet frame padding)}을 다루는 것과 관련이 있는데, 정보 유출로 이어질 수 있다. CVE-2017-14028 취약점은 대량의 TCP SYN 패킷을 보내 메모리 고갈^{(Memory exhaustion)}을 일으킬 수 있다.

Detailed News List

Moxa NPort Devices
- ^{[SecurityWeek]} Moxa NPort Devices Vulnerable to Remote Attacks

Internet of Things

Summaries

독일의 전기통신 규제기관^{(Telecoms regulator)}인 연방네트워크기구 ^{(FNA, Federal Network Agency, Bundesnetzagentur)}에서 어린이용 스마트워치를 스파이 기기라 칭하며 금지시켰다. 그리고 부모들에게 5세에서 12세 사이의 어린이들에게 주로 사용되는 이 시계들을 부숴버리라^{(to destroy)} 촉구했다. 이러한 결정은 기관이 “내 친구 케일라 인형^{(My Friend Cayla Doll)}“을 스마트 장난감이 아이들의 대화를 듣고 실시간으로 답변하는 감시^{(surveillance)}행위를 한다며 금지시킨지 몇달 후 이루어졌다. Bundesnetzagentur는 이 인형이 인증되지 않은 무선 통신 장치의 정확한 사례에 해당한다고 설명했다.

Detailed News List

German bans Smartwatches
- ^[HackRead] Germany bans kids smartwatches, asks parents to destroy them

Social Engineering/Phishing/Con/Scam

Summaries

맥아피^(McAfee)의 해킹방지^{(Anti-hacking)} 서비스인 클릭프로텍트^{(ClickProtect)}가 이메일에 포함된 Emotet 악성코드 파일로의 URL을 안전하다고 연결하는 사건이 있었다. 이 Emotet 파일은 제3자 웹사이트에 업로드되어 있었고, 해당 주소로의 링크가 메일로 공유되었다. 보안연구가 Benkow는 메일에 포함된 모든 웹 링크를 ClickProtect가 cp.mcafee.com 도메인을 사용한 주소로 변환하는 것을 확인했다. 그리고 사용자들이 해당 링크를 클릭하면 클릭프로젝트 서비스에서 해당 링크가 안전한지 여부를 매번 확인한다. Benkow에 따르면 맥아피의 ClickProtect 도메인으로 등록된 URL은 Emotet 뱅킹 악성코드를 포함하고있는 감염된 MS 워드 문서 파일로 정상적으로 연결되었다. 이 사건이 알려지자 맥아피는 이 문제에 대해서 ClickProtect의 기능은 정상적으로 작동했다고 밝혔다. 그리고 Benkow가 말한 것은 클릭프로텍트의 평판기반^{(reputation-based)} 상태 탐지와 그에 대한 대응의 시간차^(timing)에 의한 것이라고 답했다. 최초 11월 13일 이른 시간에는 해당 URL이 악성코드를 배포하는 것으로 분류되지 않았었지만, 그 이후에는 이 링크를 위협^(threat)으로 분류하고 평판 등급을 낮음^{(Low risk)}에서 높음^{(High risk)}로 재조정해 고객들이 이 링크로 접근할 수 없도록 막았다는 것이다. 그러나 ZDNet에 따르면, 해당 링크는 목요일까지 접근 가능했으며 맥아피 주장과는 다르게 차단되지 않았다.

Detailed News List

McAfee ClickProtect
- ^[HackRead] McAfee’s ClickProtect Apparently Infected Devices with Banking Malware
- ^{[SecurityWeek]} EMOTET Trojan Variant Evades Malware Analysis

Security Newsletters, Nov 17th, 2017

Posted on 2017-11-17 by admin

Caution

아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
번역된 한글 제목에 오역이 있을 수 있습니다.
여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats

Summaries

중동의 목표^{(Entities in the Middle East)}를 노리고 오랫동안 지속되고 있는 표적 공격들이 여러 연구가들의 분석에도 불구하고 명확해지지 않는다고 팔로 알토 네트웍스^{(Palo Alto Networks)}가 밝혔다. 흙탕물^(MuddyWater)이라고 명명된 이 공격은, 2017년 2월에서 부터 10월까지 일어났던 공격에서 아주 혼란스러운 상황을 만들어 놓아서 이러한 별명이 붙었다. 이 작전에서는 다양한 종류의 악성 문서가 사용되어 사우디 아라비아^{(Saudi Arabia)}, 이라크^(Iraq), 이스라엘^(Israel), 아랍 에미레이트^{(United Arab Emirates)}, 조지아^(Geogia), 인도^(India), 파키스탄^(Pakistan), 터키^(Turkey), 미국^{(United States)}의 목표들을 공격했다. 연구자들은 이 공격이 천천히 진화하는 파워쉘^(PowerShell) 기반의 첫번째 단계 백도어 POWERSTATS를 사용한다고 밝혔다.
카스퍼스키 랩^{(Kaspersky Lab)}이 NSA 사고에 대한 더 자세한 정보를 공개했다. 목요일에 카스퍼스키 랩은 러시아 해커가 미국 국가안보국^{(NSA, National Security Agency)}에 속한 데이터를 자사 소프트웨어를 악용해 훔쳤다고 주장되는 사건에 대한 더 자세한 조사결과를 공개했다. 월스트리트저널^{(The Wall Street Journal)} 이 지난달 보도했던 이 사건 기사에서 월스트리트저널은 카스퍼스키가 러시아 정부가 파일을 획득하는데 도움을 주었거나, 해커가 카스퍼스키 랩의 도움 없이 해당 소프트웨어의 취약점을 악용했다고 주장했다. 목요일에 공개된 더 리포트에서 카스퍼스키는 이 사고는 2014년 9월 11일에서 11월 17일 사이에 일어났다고 밝혔다. 2014년 9월 카스퍼스키의 제품이 이퀘이젼그룹^{(Equation Group)}과 관련된 악성코드를 탐지했다. 그리고 카스퍼스키 소프트웨어는 악성으로 추정되는 파일이 담긴 자료를 더 자세한 분석을 위해 카스퍼스키 회사의 시스템으로 업로드했다. 이 자료에는 Equation 악성코드의 소스코드와 자료 분류 마크(비밀, 대외비 등)가 포함된 문서 4개가 포함되어 있었다.
가짜뉴스^{(Fake news)}가 비즈니스 모델이 되어 수익을 위해 이용되고 있다. 보안 기업 Digital Shadow가 가짜 미디어 사이트/가짜 리뷰/소셜미디어 봇 제작이나 상업 제품/서비스의 광고나 폄하를 자동으로 하는 계정을 만들어주는 서비스에 대한 리포트를 내놓았다. 이 도구들은 소셜미디어 봇을 제어하는 $7짜리 시험판 부터 가능하다.
원격데스크탑프로토콜^{(RDP, Remote Desktop Protocol)}을 사용해 손수 랜섬웨어^(Ransomware)를 설치하는 사이버 범죄자들에 대한 기사도 이어지고 있다. 소포스^(Sophos)에서는 네트워크에 공개된 RDP를 대상으로, NLBrute와 같은 도구들로 공격해 원격으로 관리자 계정에 접속 한 뒤 공격 도구 및 랜섬웨어를 내려받아 직접 공격 및 설치하는 사이버 범죄자들에 대하여 보고서를 발표했다.
북한의 사이버 공격 및 그에 사용되는 악성코드에 대한 경고가 이어지고 있다. US-CERT와 미 연방수사국(FBI, Federal Bureau of Investigation)은 북한의 히든코브라^{(Hidden Cobra)} 작전 및 FALLCHILL 악성코드를 사용한 사이버 공격에 대한 정보를 공개한 바 있다.

Detailed News list

MuddyWater
- ^{[SecurityWeek]} Middle East ‘MuddyWater’ Attacks Difficult to Clear Up
NSA Incident
- ^{[SecurityWeek]} Kaspersky Shares More Details on NSA Incident
- ^{[DarkReading]} 121 Pieces of Malware Flagged on NSA Employee’s Home Computer
- ^{[MotherBoard]} Internal Kaspersky Investigation Says NSA Worker’s Computer Was Infested with Malware
- ^{[SecurityBrief]} ‘Leaker’ behind massive NSA breach possibly still working at agency
- ^{[NakedSecurity]} Shadow Brokers cause ongoing headache for NSA
- ^[Bloomberg] Russian Hackers Aren’t the NSA’s Biggest Problem
- ^{[TheRegister]} Kaspersky: Clumsy NSA leak snoop’s PC was packed with malware
- ^[CyberScoop] Kaspersky: NSA worker’s computer was packed with malware
- ^[BBC] Kaspersky defends its role in NSA breach
Fake News Business Model
- ^{[SecurityWeek]} ‘Fake news’ Becomes a Business Model: Researchers
Delivery Ransomware via RDP
- ^{[DarkReading]} Crooks Turn to Delivering Ransomware via RDP
- ^{[NakedSecurity]} Ransomware-spreading hackers sneak in through RDP
- ^{[NakedSecurity]} Ransomware via RDP – how to stay safe! [VIDEO]
Hidden Cobra, FALLCHILL
- ^[eWEEK] North Korea Getting Ready Wage a Global Cyber War, Experts Say
- ^[eWEEK] Researcher Provides Insight Into North Korea Cyber-Army Tactics

Malwares/Exploits/Vulnerabilities

Summaries

루트권한을 얻을 수 있는 앱이 사전에 설치되어 있었던 원플러스^(OnePlus) 기기에서 또 다른 수상한 사전설치^{(Pre-installed)} 앱이 발견되었다. 이 앱은 시스템 로그를 수집한다. 원플러스로그킷^{(OnePlusLogKit)} 이라 명명된 이 앱은 두번째 발견된 사전설치^{(pre-installed)} 앱으로, 앨리엇 앤더슨^{(Elliot Anderson, MR.ROBOT 드라마 주인공 이름)}계정을 사용하는 트위터 사용자에 의해 발견되었다. OnePlusLogKit은 시스템 수준^(level)의 응용프로그램으로 원플러스 스마트폰의 다양한 정보를 수집하게 되어있다. 수집하는 정보는 WiFi/NFC/BlueTooth/GPS 위치 로그, 모뎀 시그널/데이터 로그, 실행중인 프로세스/서비스 목록, 배터리 상태, 기기에 저장된 모든 비디오 및 이미지를 포함한 미디어 데이터베이스 정보다.
구글이 보안연구가에게 10만 달러의 상금을 벌게 해줬던 크롬OS^{(Chrome OS)}의 코드실행 취약점 정보를 공개했다. 2015년 3월 구글은 크롬박스^(Chromebox)나 크롬북^(Chromebook)을 게스트 모드^{(Guest mode)}에서 웹페이지를 통해 영구히 장악할 수 있는 익스플로잇에 10만 달러의 상금을 지불하겠다고 발표한 바 있다. 그에 앞서 구글은 그런 익스플로잇에 5만 달러를 제공했었다. 그리고 인터넷에서 Gzob Qq라는 이름을 쓰는 연구가가 구글에게 9월 18일에 크롬박스^(Chromebox)나 크롬북^(Chromebook) 장치들에서 사용하는 크롬OS^{(Chrome OS)} 운영체제 에서 영구적인 코드 실행이 가능한 일련의 취약점들을 찾았다고 알려왔다. Gzob Qq는 구글에게 개념증명^{(Proof-of-Concept)} 익스플로잇을 보냈고, 구글은 10월 27일에 업데이트를 통해 패치했다. 그리고 10월 11일에 연구자에게 10만 달러의 보상이 제공될 것임을 알려왔다. 이런 사례는 처음이 아니며, 이전에도 발견한 취약점에 대해 구글이 여러차례 보상을 한 바 있다.
Terdot 뱅킹 트로이^{(banking trojan)}가 사이버 스파이^{(Cyber espionage)} 도구로 활용될 수 있다. 비트디펜더^{(Bitdefender)}가 리포트를 통해 Terdot 뱅킹 트로이가 정보 유출^{(information stealing)} 기능을 탑재함에 따라 쉽게 사이버 스파이 도구로 변화할 수 있다고 밝혔다. Terdot은 2011년 온라인에 유출된 제우스^(ZeuS) 소스코드에 기반한 악성코드다. 이 악성코드는 작년 10월 다시 활동을 재개했으며, 비트디펜더는 이 악성코드를 지속적으로 추적해왔다. Terdot은 중간자공격^{(MitM, Man-in-the-Middle Attack)}을 위한 프록시^(Proxy)로 기능하며 로그인 정보나 신용카드 정보 등을 훔치거나 방문하는 웹페이지에 HTML을 주사^{(Injecting HTML)}하기 위해 제작되었다. 그러나 애초에 뱅킹 트로이를 목적으로 악성코드가 제작되었지만, Terdot의 능력은 본래의 목적 그 이상으로 활용될 수 있다고 밝혔다.
맥아피^(McAfee)의 안티해킹 서비스가 사용자들을 뱅킹 악성코드로 인도하는 사고가 있었다. 악성코드는 제3자 웹사이트에 올라와 있었지만, 맥아피의 ClickProtect와 관련된 도메인을 사용해 공유되었다. 이 링크는 사용자를 cp.mcafee.com 도메인을 통해 악성 워드 문서로 사용자를 리다이렉트 시켰고, 이 파일을 다운로드 받고 열어본 사람은 Emotet 뱅킹 악성코드에 감염되었다. 맥아피는 이에 대해서 문제를 조사중이라고 밝히며 또한 기능은 정상적으로 잘 동작했다고 말했다. 최초 최종목적지 주소는 악성코드 전파 장소로 분류되지 않았지만, 그날 늦게 맥아피의 Threat Intelligence Service가 해당 웹을 위협으로 판단하고 평판정보를 낮음^{(low risk)}에서 높음^{(high risk)}로 변경해 고객들이 해당 사이트로 접근할 수 없게 막았다고 대변인은 말했다.

Detailed News List

OnePlus
- ^{[TheHackerNews]} Another Shady App Found Pre-Installed on OnePlus Phones that Collects System Logs
- ^[HackRead] Another preinstalled app found on OnePlus that could collect user data
- ^{[BleepingComputer]} Second OnePlus Factory App Discovered. This One Dumps Photos, WiFi & GPS Logs
- ^[ZDNet] OnePlus: We’ll fix flawed app that lets attackers root our phones
Chrome OS Flaws
- ^{[SecurityWeek]} Google Discloses Details of $100,000 Chrome OS Flaws
Terdot Banking Trojan
- ^{[SecurityWeek]} Terdot Banking Trojan Could Act as Cyber-Espionage Tool
- ^{[BitDefender]} Terdot: Zeus-based malware strikes back with a lbask from the past (PDF)
- ^{[DarkReading]} Terdot Banking Trojan Spies on Email, Social Media
- ^{[SecurityAffairs]} Terdot Banking Trojan is back and it now implements espionage capabilities
- ^{[InfoSecurityMagazine]} Zeus Spawn ‘Terdot’ is a Banking Trojan with a Twist
- ^{[TheRegister]} New, revamped Terdot Trojan: It’s so 2017, it even fake-posts to Twitter
- ^[ZDNet] This banking malware wants to scoop up your email and social media accounts, too
McAfee
- ^[ZDNet] McAfee’s own anti-hacking service exposed users to banking malware

Legislation/Politics/Policies/Regulations/Law Enforcement

Summaries

백악관이 제로데이^(Zero-day) 취약점 공개 절차에 투명성을 제공하는 방안을 제시했다. 수요일 미 정부는 VEP^{(Vulnerabilities Equities Policy)} 프로그램에 더 큰 투명성^{(Transparency)}을 가져오는 변화를 소개했다. 이 절차는 미 정부 기관들이 찾아낸 소프트웨어 취약점을 공개할 것인지 여부를 결정하는 프로세스다. 백악관 사이버보안 코디네이터인 롭 조이스^{(Rob Joyce)}는 왜 모든 발견내역이 공개되지 않는지를 설명했다. 그는 공개되지 않는다는 점에는 변화가 없지만, 그 결정 과정에 더 큰 투명성을 도입한다고 말했다.

Detailed News List

Zero-day Disclosure Process, VEP
- ^{[SecurityWeek]} White House Cyber Chief Provides Transparency Into Zero-Day Disclosure Process
- ^{[DarkReading]} White House Releases New Charter for Using, Disclosing Security Vulnerabilities
- ^[ThreatPost] White House Releases VEP Disclosure Rules

Patches/Updates

Summaries

아파치 카우치디비^(CouchDB)의 심각한 취약점이 패치되었다. 지난주 공개된 아파치 카우치DB 업데이트에서 공격자가 악용할 수 있는 권한상승 및 코드실행 공격 취약점이 패치되었다. 카우치DB는 문서지향^{(document-oriented)} 오픈소스 데이터베이스 관리 시스템으로, NPM 등에서 사용되고 있다. 취약점은 CVE-2017-12635로 공격자가 관리자가 아닌 권한으로 관리자 권한을 획득하고 궁극적으로는 임의의 코드를 실행할 수 있다.
시스코^(Cisco)의 협업 제품인 Voice Operating System^(VOS)에서 심각한 취약점들이 발견되었다. 시스코에 따르면, 이 취약점들은 VOS에 기반한 제품들의 업그레이드 방식에 영향을 미친다. CVE-2017-12337 번호가 부여된 취약점은, 인증되지 않은 공격자가 원격으로 이 취약점을 공격하여 해당 장비의 루트 권한의 제어권을 획득할 수 있다.

Detailed News List

Apache CouchDB
- ^{[SecurityWeek]} Critical Vulnerabilities Patched in Apache CouchDB
Cisco Voice Operating System
- ^{[SecurityWeek]} Critical Flaw Exposes Cisco Collaboration Products to Hacking
- ^{[SecurityAffairs]} Cisco issued a security advisory warning of a flaw in Cisco Voice Operating System software

Privacy

Summaries

왓츠앱의 보낸 메시지 삭제 기능이 실제로는 삭제되지 않는다는 기사가 나왔다. 왓츠앱^(WhatsApp)은 최근 메시지 전송 취소기능을 소개한 바 있다. 메시지를 잘못 보냈을 경우 해당 메시지를 취소하면 ‘이 메시지는 삭제되었습니다^{(This message was deleted)}‘라고 바뀌며 화면상에 보이지 않게 된다. 이는 문자 메시지외에 사진, 동영상, GIF, 보이스 메시지에도 적용된다. 그러나 실제로는 스냅챗^(Snapchat)이 영구히 삭제된다^{(disappeared forever)}고 말했던 것과 다르게 스마트폰에 저장되었던 것 처럼, 왓츠앱 메시지도 기기에 그대로 남아있으며 쉽게 접근할 수 있다는 것이다.
아이폰의 페이스아이디 기사는 여전히 계속되고 있다. 최초 애플이 광고했던 바와는 확연히 다르게, 3D 프린터로 만들어낸 가면과 닮은 얼굴로도 인증이 뚫려버려서 기사는 꽤 오래 지속될 것으로 보인다.

Detailed News List

WhatsApp Messages
- ^{[NakedSecurity]} Deleted WhatsApp sent messages might not be gone forever
- ^{[Android Jefe]} How to SEE a deleted WhatsApp message after 7 minutes
- ^{[WeLiveSecurity]} Think you deleted that embarrassing WhatsApp message you sent? Think again
- ^{[eHackingNews]} WhatsApp: Deleted messages can be read using Third-Party app
Apple FaceID
- ^{[NakedSecurity]} Apple’s Face ID security fooled by simple face mask

Data Breaches/Info Leakages

Summaries

로스엔젤레스에 위치한 의류 소매업체인 Forever 21이 신용카드 정보에 허가되지 않은 접근이 있었다고 발표했다. Forever 21은 고객들에게 자사의 카드지불 시스템에 대한 조사를 시작했다고 공지했다. Forever 21은 2015년에 암호화 및 토큰화 시스템을 구현했으나 몇몇 Forever 21 매장의 일부 PoS^{(Point-of-Sale)} 장치들의 암호화가 동작하지 않고 있었다고 밝혔다.
유명 드론 제작사인 DJI가 SSL과 펌웨어 키를 GitHub에 몇년간이나 공개해 왔던 것으로 드러났다. 중국의 드론 제조사인 DJI가 .com 도메인 HTTPS 인증서^{(certificate)}의 비밀키^{(Private key)}를 GitHub에 4년간이나 공개해온 것으로 드러났다. SSL 비밀키는 DJI 소유의 GitHub 리포지토리에서 발견되었다. AWS 계정 인증정보와 펌웨어 AES 암호화 키 역시 노출되었는데, 잘못 설정되어 공개되어있는 AWS S3 버켓 정보도 있었다. DJI는 해당 HTTPS 인증서를 회수^(Revoked)조치 하고 9월달에 새로운 인증서를 발급받았다.
Cash Converters가 데이터 유출 사고가 있었다고 인정했다. Cash Converters는 사용자이름, 비밀번호, 주소 정보가 제3자에 의해 접근되었을 가능성이 있다고 언급했다. 이 데이터 침해 사고는 2017년 9월에 교체된 구 영국^(UK)사이트의 정보가 노출되었다. Cash Converters는 사람들이 보석이나 전자기기 등을 현금으로 거래하는 사이트다.

Detailed News List

Forever 21
- ^{[NakedSecurity]} Forever 21 informs customers of a potential data breach
- ^[SCMedia] Forever 21 reports data breach, failed to turn on POS encryption
- ^{[HotForSecurity]} Forever 21 clothing stores hit by credit card data breach after encryption failure
DJI
- ^{[TheRegister]} Drone maker DJI left its private SSL, firmware keys open to world+dog on GitHub FOR YEARS
Cash Converters
- ^[BBC] Cash Converters reveals customer data breach
- ^{[TheRegister]} Pawnbroker pwnd: Cash Converters says hacker slurped customer data

Internet of Things

Summaries

최근에 공개된 수십억 대의 안드로이드, iOS, 윈도우즈, 리눅스 장치들에 영향을 미치는 일련의 치명적인 블루투스 취약점들이, 수백만 대의 구글 홈^{(Google Home)}이나 아마존 에코^{(Amazon Echo)}와 같은 목소리로 제어되는 개인비서^{(Personal assistant)} 장치들 에서도 발견되었다. 블루본 공격은 총 8개의 블루투스 구현 취약점을 공격하는 정교한 공격법에 붙여진 이름이다. 이 공격법은 범위내에 있는 공격자가 대상 장치에서 악의적인 코드를 실행하거나 민감한 정보의 탈취, 제어권 장악, 중간자 공격 수행을 할 수 있게 한다.
몇년에 걸친 규제 단속에도 불구하고 일부 보안 카메라가 여전히 해커에게 무방비로 공개되어 있다는 결과가 나왔다. 메릴랜드^(Maryland)에 위치한 사이버보안 스타트업인 ReFirm이 미국내에서 TRENDnet, Belkin, Dahua 제조사에 의해 판매되는 인터넷 연결 제품들에서 취약점을 찾아냈다고 밝혔다. 이 취약점은 보안 카메라의 비디오 피드에 자유로이 접근할 수 있는 취약점이다.
자기 자동차의 인포테인먼트 시스템^{(infotainment system)}을 조사한 보안연구가의 놀라운 결과가 공개되었다. 자기차의 시스템을 조사한 이 연구가는 현대 소프트웨어 보안 원칙이 반영되지 않은 설계로 만들어 졌다고 말했다. 사용자의 스마트폰으로 부터 취득한 수많은 개인정보를 저장하고 있다는 것이다. 차량의 인포테인먼트 기기에서 코드를 실행시키는 것이 특별히 제작된 스크립트를 넣은 USB 플래시 드아리브를 접속시키는 정도로 아주 쉬우며, 시스템이 이 파일을 자동으로 읽고 전체 관리자 권한으로 실행시킨다. 또 이 연구자는 전화 기록, 연락처, 문자메시지, 이메일 메시지, 모바일 폰의 디렉토리 목록까지 차량에 동기화되어 인포테인먼트 기기에 평문으로 영구적으로 저장되는 중대한 프라이버시 문제를 찾아냈다.

Detailed News List

Amazon Echo/Google Home
- ^{[TheHackerNews]} Bluetooth Hack Affects 20 Million Amazon Echo and Google Home Devices
- ^{[SecurityWeek]} Amazon Echo, Google Home Vulnerable to BlueBorne Attacks
- ^[Armis] BlueBorne Attack
- ^[Armis] BlueBorne Cyber Threat Impacts Amazon Echo and Google Home
- ^[ZDNet] Google Home and Amazon Echo hit by big bad Bluetooth flaws
Vulnerable Security Cameras
- ^{[TheWashingtonPost]} Years after regulatory crackdown, some security cameras still open to hackers
Car Infotainment System
- ^{[MotherBoard]} Researchers Hack Car Infotainment System and Find Sensitive User Data Inside

Social Engineering/Phishing/Con/Scam

Summaries

싱가폴에서 경찰을 사칭한 웹사이트를 통해 $60,000의 사기 피해가 일어났다. 11월 13일에 60세의 여성이 사기에 넘어가 일생동안 저축한 $60,000 가량의 금액을 잃어버리는 사건이 발생했다. 이 사건은 싱가폴 경찰^{(SPF, Singapore Police Force)}이라 주장한 누군가의 전화 한통으로 시작되었다. 전화에서 은행 계좌가 돈세탁 등의 악의적인 목적으로 사용되고 있다고 하며 개인정보 및 은행 정보를 요구했다. 그리고 수사가 진행중이므로 누구에게도 이 내용을 발설하지 말라며 경고했다. 그리고 이튿날 가짜 경찰 웹사이트로 연결되는 링크를 받았고, 결국엔 $60,000에 달하는 금액이 사라졌다.

Detailed News List

Fake Police Website Scam
- ^[HackRead] Woman scammed for $60,000 through fake Police website

Technologies/Technical Documents/Statistics/Reports

Summaries

NSA와 CIA의 익스플로잇들이 유출되어 공개되고 미 정부의 VEP^{(Vulnerabilities Equities Policy)} 프로세스가 공개된 와중에, 기타 다른 정부들도 자신들의 제로데이 익스플로잇을 가지고 있을 것이라는 믿음에는 이제 의심의 여지가 없다. 그러나 이에 대한 정보는 알려진 바가 거의 없었다. 그러나 레코디드퓨처^{(Recorded Future)}가 오늘 발표한 보고서에 따르면, 중국 정부와 관계가 있을 수 있는 APT 그룹이 사용하는 심각한 취약점들에 대한 정보는 공개를 늦추고 있다는 결과를 내놓았다. 중국에는 중국 국가 안보부^{(MSS, Chinese Ministry of State Security)}에서 운영하는 보안 취약점 데이터베이스^{(CNNVD, China’s National Vulnerability Database)}가 있다. 이 데이터베이스는 일반적으로 미국의 유사한 NVD^{(National Vulnerability Database)}와 비교할 때 취약점을 더 빨리 공개한다. 그러나 몇몇 경우에서 느린 경우가 발견되었는데, 이 ‘아웃라이어’들의 경우가 놀라운 결과를 보여준다. 첫번째 경우는 CVE-2017-0199로 WannaCry와 NotPetya 대란에서 사용된 익스플로잇이다. 상세정보가 NVD에서 2017년 4월 12일에 공개되었고 CNNVD에서는 50일 이후까지 발표되지 않았다. WannaCry 대란은 주로 북한 해커들과 연관되어 왔으나, 연구자들은 TA459라고 알려진 중국의 그룹도 동일한 취약점을 동일한 시기에 러시아 및 벨라루스^(Belarus)의 군대 및 항공^(Aerospace) 기관들에 사용했다고 지적했다. 두번째 경우는 CVE-2016-10136과 CVE-2016-10138 이다.

Detailed News List

China Vulnerability Disclosures
- ^{[SecurityWeek]} China May Delay Vulnerability Disclosures For Use in Attacks
- ^[CyberScoop] China hides homegrown hacks from its vulnerability disclosure process
- ^{[InfoSecurityMagazine]} Beijing Delays Bug Reports While Hackers Exploit Flaws — Report