DevHackDebug logo

[태그:] UBoatRAT

Security Newsletters, 2017 Dec 1st, 암호화폐 채굴 스크립트 外

Posted on by aDHDmin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats

Summaries

  • (30일에서 이어짐) UBoatRAT라는 이름의 원격 제어 트로이가 대한민국 비디오 게임 산업의 기관 및 개인을 대상으로 유포되고있다. UBoatRAT은 구글 드라이브 링크를 통해 배포되고 있다. 이 악성코드는 C&C 서버 주소를 GitHub에서 얻고, 마이크로소프트 윈도우즈의 BITS(Background Intelligent Transfer Service)를 사용한다. 이 악성코드는 2017년 5월에 최초 발견되었을 당시에는 홍콩의 공개 블로그 서비스와 일본의 침해 웹서버를 C&C용도로 사용하는 간단한 HTTP 백도어였다. 그때부터 개발자가 다양한 기능을 추가하고 여름을 거치면서 업데이트된 버젼을 릴리즈했다. 아직 정확한 공격 대상은 불분명하지만, 팔로알토 네트웍스(Palo Alto Networks)는 대한민국이나 비디오게임 산업과 관련된 것으로 보고있다. 한글 게임 제목과 한국기반의 게임 회사 이름, 비디오게임 산업에서 사용되는 단어들이 확인되었기 때문이다.

Detailed News list

 

Malwares/Exploits/Vulnerabilities

Summaries

  • 작년 리눅스에서 Dirty COW라는 이름의 취약점(CVE-2016-5195)이 발견된 바 있다. 그런데 이 취약점 패치가 제대로 이루어지지 않았다는 발표가 나왔다. 이 취약점은 리눅스 커널의 메모리 서브시스템이 비공개 읽기전용 메모리 맵핑의 copy-on-write(COW) 손상을 처리하는 방식에서의 레이스 컨디션에 의해 일어난다. 이 버그는 권한이 없는 로컬 공격자가 권한을 상승시킬 수 있게 만든다. 이 취약점은 안드로이드에도 영향을 미치는 것으로 밝혀졌고, 구글은 패치를 발표했다. 그러나 안드로이드에서의 새로운 Dirty COW 공격법이 나왔다.

Detailed News List

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 유로폴(Europol)이 유럽 여러 도시에 ATM 스키머(Skimmer)를 설치하고 돈을 빼낸 혐의를 받고있는 국제범죄네트워크 조직원 네명을 체포했다. 체포는 2년간의 수사끝에 이루어졌으며, 전체 유럽 대륙과 남미, 아시아까지 이어졌다. 체포된 네명은 모두 불가리아 국적이라고 유로폴이 밝혔다. ATM Skimmer는 은행계좌정보를 훔치는데 사용하는 도구로, 사람들이 카드를 삽입할 때 중간자공격(MitM, Man-in-the-Middle Attack)으로 계좌 정보를 빼낸다. 유로폴의 Neptune 작전은 이탈리아, 불가리아, 체코 경찰에 의해 운영되었고 유로폴의 유럽 사이버범죄 센터의 지원을 받았다.
  • 구글이 영국에서 수백만명의 사생활을 침해했다는 이유로 고소당했다. 구글이 iPhone에서 브라우징 데이터에 몰래 접근해 왔다고 알려진 이후, 영국에서 수백만명의 사생활을 침해했다고 고소당했다.
  • 해킹으로 야후의 5억명 사용자 정보를 빼낸 캐나다인 해커와 러시아의 연관관계가 드러났다. 2014년에 야후 사용자 5억명 정보가 도난당했던 해킹 사건의 주인공인 Karim Baratov가 샌프란시스코 연방법원에서 러시아의 도움으로 그러한 해킹이 가능했다고 주장했다. Baratov는 FSB로부터 최소 80개 계정에 대한 해킹으로 돈을 받은 혐의를 받고 있으며, 그의 변호사는 8개 계정을 해킹했을 뿐이며 러시아 첩보기관 요원과 연관된 일인줄 모르고 했을 뿐이라고 주장하고 있다.
  • 유명한 러시아 해커 Roman Seleznev가 이번 목요일에 5천만 달러의 사이버 범죄로 14년형을 선고받았다. 이번 선고는 앞서 4월에 POS(Point-of-sale) 컴퓨터를 해킹한 혐의로 27년형을 선고받은 것에 이은 판결이다. Seleznev는 유죄를 인정했다.

Detailed News List

 

Vulnerability Patches/Software Updates

Summaries

  • 시스코가 WebEx Player의 심각한 취약점을 수정했다. 여섯개의 버그가 수정되었으며 각각 CVE는 CVE-2017-12367, CVE-2017-12368, CVE-2017-12369, CVE-2017-12370, CVE-2017-12371, CVE-2017-12372다. 4개는 원격코드실행 취약점이고 CVE-2017-12367는 서비스거부공격 취약점이다.
  • 애플이 급하게 내놓은 macOS High Sierra의 루트로그인 버그 패치가 다른 문제를 만든다는 기사가 나왔다. 애플이 수요일에 내놓은 패치가, 일부의 경우에 운영체제의 파일 공유기능을 망친다는 기사가 나왔다. 애플에서는 이러한 영향이 있는 사용자를 위한 대응방법을 공개했다. CVE-2017-13872 번호가 붙은 취약점은 macOS High Sierra에서 사용자가 GUI에서 root계정으로 아무 비밀번호 없이 로그인 할 수 있게 한다. 이 취약점에 대한 패치가 24시간이 되기전에 공개되었지만, 일부 유저들이 High Sierra 10.13.1 보안업데이트를 설치하고 난 후 파일공유가 안되는 증상이 발생했다. 보안패치를 발표한 후 얼마있지 않아 애플은 이와같은 파일공유 문제를 해결하는 방법을 공개했다.
  • 구글 크롬 브라우저가 2018년 중순에는 외부 안티바이러스 프로그램이 브라우져에서 코드를 실행하는 것을 막을 것이라 밝혔다. 크로미움 블로그에 올라은 포스트에 따르면, 7월에 릴리즈 될 윈도우즈용 크롬 68이 제3자 어플리케이션이 브라우저 세션에 스크립트를 주입하는 것을 막는 새로운 규칙의 반영 대상이 될 예정이다. 이는 크롬이 다른 어플리케이션이 코드를 실행하게 하면서 발생하는 안전성 문제를 줄이기 위함이다.

Detailed News List

 

Data Breaches/Info Leakages

Summaries

  • (30일에서 이어짐) 영국의 물류운송기업 클락슨(Clarksons)이 사이버 보안 사고의 피해를 입었을 수 있다면서 정보를 도난당했을 수 있다고 경고했다. 클락슨은 기밀정보가 도난당했으며, 해커들이 요구한 금액을 지불하지 않기로 결정하면서 정보가 공개될 수 있다고 경고했다. 전세계 21개 국가에 49개의 사무실을 가지고 있는 클락슨은 어떤 정보가 잠재적으로 해커에의해 도난당했을 수 있는지, 언제 사고가 일어났는지, 언제 발견되었는지 아직 공개하지 않았다.

Detailed News List

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 윈도우의 가짜 블루스크린(BSOD, Blue Screen Of Death)에 대한 기술지원을 가장한 사기가 확산되고 있다. 기술지원을 가장한 사기꾼들이 이번에는 가짜 블루스크린 메시지를 만들어 보안소프트웨어를 위해 $25를 지불하라는 사기를 벌이고 있다. 이번에는 ‘Windows Defender Essentials’라는 보안 제품을 구매하라고 피해자들을 속이고 있다. 마이크로소프트의 실제 제품인 Windows Defender와 Security Essentials를 합친 이름이다. 이 트러블슈팅 앱은 크랙 소프트웨어 인스톨러를 통해 퍼지고 있으며, 윈도우에 예상치 못한 에러가 발생했다는 메시지를 띄운다.

Detailed News List

 

Deep Web/DarkNet/Onion/Underground Market

Summaries

  • 훔친 계정이나 사용자 정보를 파는 것에서 더 나아가, 이제는 더 큰 수익을 노린 훔친 미술품이 다크웹에 등장했다. 놀라운점은 지난 4월 뉴질랜드에서 도난당한 마오리족 초상 작품이 등장한 것인데, 약 50만 달러의 가격에 올라왔다. 4월에 일어난 사건을 되짚어 보면, 확인되지 않은 자동차가 뉴질랜드의 국제아트센터(International Art Center)에 돌진한 뒤, 몇분만에 한 무리가 화가 Gottfried Landauer의 가장 유명하고 귀한 작품 두 점을 가지고 달아난 일이 있었다.

Detailed News List

 

Crypto Currencies/Crypto Mining

Summaries

  • 암호화폐를 채굴하는 스크립트를 웹페이지에 넣어서 방문하는 사람들의 CPU를 채굴에 동원하는 경우는 많이 발생했다. 그런데 이번에는 브라우저를 닫아도 암호화폐 채굴하는 자바스크립트가 백그라운드에서 몰래 동작하도록 만든 웹사이트가 발견되었다. MalwareBytes의 보안연구가들이 일부 웹사이트에서 브라우저를 닫아도 스크립트가 백그라운드에서 동작하게 하는 방법을 찾았다. 이 방법은 숨겨진 창을 태스크바 시계 뒷편에 띄우는 방식(Pop-under)으로 동작한다.
  • 코인베이스에 14,355명의 암호화폐 거래자 정보를 국세청에 제출하라는 명령이 내려졌다. 화요일에 캘리포니아 연방법원이 유명 암호화폐 거래 및 지갑 서비스인 코인베이스(Coinbase)에게 고객정보를 국세청(IRS, Internal Revenue Service)에 넘기라는 명령을 내렸다. 요구한 정보는 이름, 생일, 주소와 어떤 사용자이든 2만달러 이상의 비드코인을 2013년에서 2015년 사이에 사거나 팔거나 수신한 계좌 내역이다.

Detailed News List