Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Security News
  • Contact

[태그:] Vulnerability

Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外

Posted on 2018-03-30 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Malwares

Summaries

  • Fauxpersky라는 키로거가 확인되었다. 보스턴에 위치한 보안기업 Cybereason에 따르면, 이 키로거 악성코드는 AutoIT 이나 AutoHotKey를 공격한다. Fauxpersky라 명명된 이 악성코드는 윈도우즈 시스템에서 비밀번호를 훔친다. 이 악성코드 자체로는 매우 정교하거나 감지하기 어려운 것은 아니다. 그러나 USB 드라이브를 매우 효과적으로 감염시키며, 구글을 사용해 키로거로 부터의 데이터를 공격자의 메일박스로 다이렉트로 유출한다.
  • 보잉(Boeing)사의 생산시설이 WannaCry에 감염된 사실이 확인되었다. 세계 최대의 항공 기업인 보잉이 유명한 WannaCry 랜섬웨어에 감염되었다. 시애틀 타임즈(Seattle Times)에 따르면, 감염된 시설은 보잉의 777 airliner 생성시설 소속이다. 시애틀 타임즈의 보도와는 반대로 아직 보잉에서의 확인은 없었다. 발표문에서 보잉은 소수의 시스템에 영향을 미친 제한적인 악성코드의 침입이 있었음을 확인했으며 생산이나 딜리버리 문제는 아니라고 밝혔다. Boeing Commercial Airplanes의 커뮤니케이션 책임자 린다 밀스(Linda Mills)는 성명에서 소프트웨어 패치가 반영되었으며 777이나 기타 어떤 프로그램에도 중단은 없었다고 밝혔다.

Detailed News List

  • Fauxpersky Keylogger
    • [HackRead]
      Fauxpersky Keylogger Malware Stealing Passwords from Windows PCs
    • [SecurityWeek]
      “Fauxpersky” Credential Stealer Spreads via USB Drives
    • [ITSecurityGuru]
      New malware named ‘Fauxpersky’ identified
    • [ZDNet]
      ‘Fauxpersky’ malware steals and sends passwords to an attacker’s inbox
  • WannaCry hits Boeing
    • [HackRead]
      Boeing production plant hit by malware, apparently WannaCry ransomware
    • [NakedSecurity]
      Boeing hit by WannaCry, reminding everyone the threat is still there
    • [CyberScoop]
      The fear over WannaCry is still very real
    • [DarkReading]
      WannaCry Re-emerges at Boeing
    • [WeLiveSecurity]
      WannaCryptor said to reappear, hitting Boeing’s computers
    • [ITSecurityGuru]
      Boeing suffering from WannaCry outbreak
    • [BankInfoSecurity]
      Boeing Confirms ‘Limited’ Malware Outbreak
    • [InfoSecurityMagazine]
      Boeing Computers Hit by WannaCry
    • [SecurityAffairs]
      Boeing production plant infected with WannaCry ransomware
    • [ZDNet]
      Boeing confirms malware attack, downplays production impact
    • [NYTimes]
      Boeing Possibly Hit by ‘WannaCry’ Malware Attack

 

Exploits/Vulnerabilities

Summaries

  • macOS High Sierra에서 APFS(APple File System)으로 암호화된 외장 드라이브의 비밀번호가 로그파일에 평문으로 노출되는 버그가 확인되었다. APFS 파일 시스템은 애플에 의해 macOS High Sierra 릴리즈와 함께 소개되었다. Sarah Edwards에 의해 발견된 이 새로운 취약점은 macOS 10.13 플랫폼에 영향을 미친다. Disk Utility를 통해 새롭게 생성하는 APFS 형식의 USB drive의 비밀번호가 통합 로그에 평문으로 기록된 것이 Sarah Edwards에 의해 목격되었다.
  • 마이크로소프트에서 릴리즈한 멜트다운용 패치가 오히려 더 심각한 취약점을 만들어냈다는 기사가 공개되었다. 마이크로소프트가 멜트다운(Meltdown) 취약점 수정을 위해 릴리즈한 초기 패치들이 윈도우즈 7에서 공격자들이 커널 메모리를 더 빨리 읽을 수 있고 메모리에 쓸 수 있는 오히려 더 심각한 취약점을 만들어 냈다고 개인 보안 연구가가 밝혔다. Ulf Frisk라는 보안 연구가는 마이크로소프트가 공개한 윈도우즈7 패치에 대해서, 공격자가 기기에서 실행중인 모든 유저레벨의 프로세스에 접근할 수 있게 만든다고 밝혔다. 마이크로소프트의 대변인은 이 문제에 대해 인지하고 있으며 해결방안을 찾고 있다고 인터뷰에서 밝혔다. 취약점은 64비트 윈도우즈7(Service pack 1)과 윈도우즈 서버 2008(Service Pack1)에만 영향이 있다. (29일에서 이어짐)

Detailed News List

  • MacOS High Sierra
    • [TheHackerNews]
      Apple macOS Bug Reveals Passwords for APFS Encrypted Volumes in Plaintext
    • [SecurityWeek]
      macOS High Sierra Logs External Volume Passwords in Plaintext
  • Microsoft Meltdown Patch
    • [TheHackerNews]
      Microsoft’s Meltdown Patch Made Windows 7 PCs More Insecure
    • [NakedSecurity]
      Microsoft’s Windows 7 Meltdown patch created ‘worse’ flaw

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • PlayStation 및 XBox Live 네트워크와 같이 세계 최대 비디오 게임 네트워크에 크리스마스에 분산서비스거부 공격을 해 장애를 일으킨 것으로 잘 알려진 해킹그룹인 LizardSquad의 fbiarelosers가 FBI에 협조해 친구들의 체포를 도와 더 적은 형량을 선고받게 되었다. 트위터 계정 fbiarelosers를 사용하던 Butcha는 지난 12월 유죄를 인정했다. 그리고 지난 화요일 3개월의 징역형과 35만달러의 보상금을 지불하라는 선고를 받았다.

Detailed News List

  • Lizard Squad
    • [CyberScoop]
      Lizard Squad’s ‘@fbiarelosers’ hacker gets smaller sentence for helping FBI arrest his friends
    • [GrahamCluley]
      Lizard Squad member jailed after offering DDoS-for-hire attack service
    • [WeLiveSecurity]
      Lizard Squad member jailed after offering DDoS-for-hire attack service

 

Vulnerability Patches/Software Updates

Summaries

  • 아파치 재단에서 스트러츠(Struts) 2의 보안 취약점 업데이트를 릴리즈 했다. 원격의 공격자가 이 취약점으로 서비스거부 상태를 유발할 수 있다.
  • 예정되어 있던 드루팔 코어의 보안 업데이트가 릴리즈되었다. 드루팔에서 긴급 보안 패치를 공개했다. 이 패치에서는 ‘다수의 서브시스템’의 원격 코드 실행(remote code execution) 취약점이 수정되었다. 이 취약점들은 공격자가 드루팔로 만들어진 웹사이트에서 다양한 방법으로 공격할 수 있게 하며, 사이트가 완전히 장악당할 수 있다. 웹사이트를 어떤 웹페이지에서든 공격할 수 있으며, 로그인이나 어떤 권한도 필요하지 않다. 아직은 어떠한 공격 코드도 확인된 바 없으나, 드루팔에서는 공격코드가 누군가에 의해 개발되는데 몇시간 걸리지 않을 것이라 경고했다. 취약점은 CVE-2018-7600으로 드루팔의 코어에 존재하며 버젼 6,7,8에 영향을 미친다. (29일에서 이어짐)

Detailed News List

  • Apache Foundation
    • [US-CERT]
      Apache Software Foundation Releases Security Update
  • Drupal
    • [ThreatPost]
      Drupal Issues Highly Critical Patch: Over 1M Sites Vulnerable
    • [HackerOnlineClub]
      Remote Code Execution Vulnerability Found In Drupal, Is Your Website Running on Drupal?
    • [SecurityAffairs]
      Drupal finally addressed the critical CVE-2018-7600 Drupalgeddon2 vulnerability
    • [ZDNet]
      Update Drupal ASAP: Over a million sites can be easily hacked by any visitor
    • [TheRegister]
      Running Drupal? You need to patch, patch, patch right now!
    • [SecurityWeek]
      Drupalgeddon: Highly Critical Flaw Exposes Million Drupal Websites to Attacks
    • [CyberScoop]
      ‘Highly critical’ Drupal security flaw prompts urgent patch

 

Data Breaches/Info Leakages

Summaries

  • 언더아머사에서 MyFitnessPal 사용자 1억 5천만명의 계정이 해킹당했다고 발표했다. 언더아머에서 목요일 MyFitnessPal 앱이 해킹당했다고 발표했다. 언더아머에 따르면, 웹사이트 및 앱 사용자 1억 5천만명의 계정이 이번주 초 침해당했다. 언더아머는 신용카드 정보는 영향을 받지 않았다고 밝혔다.

Detailed News List

  • Under Armour MyFitnessPal
    • [ZDNet]
      Under Armour reports 150 million MyFitnessPal accounts hacked

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • Cisco Talos의 연구자들에 의해 Allen-Bradley MicroLogix 1400 PLC(programmable logic controllers)시리즈에서 심각한 취약점들이 발견되었다. Rockwell Automation에서는 패치 및 대응 방안을 공개했다. Cisco Talos에 따르면, 취약점이 공격받으면 서비스 거부 상태를 유발하거나 장치의 설정/로직을 변경, 기기의 메모리 모듈에 데이터를 기록 및 제거 할 수 있다. 이 장비들은 주로 주요 인프라 기관을 포함한 산업 환경에서 사용되는 컨트롤러로, 이 취약점들이 공격받을 경우 심각한 피해를 야기할 수 있다.
  • Cisco 제품에서 취약점이 발견되었다. Cisco에서 IOS 및 IOS XE 네트워킹 소프트웨어에 영향을 미치는 취약점 34가지를 수정했다. 세 건의 치명적인 원격 코드 실행 취약점도 포함되었다.

Detailed News List

  • MicroLogix PLC
    • [SecurityWeek]
      Severe Vulnerabilities Expose MicroLogix PLCs to Attacks
    • [Cisco]
      Vulnerability Spotlight: Multiple Vulnerabilities in Allen Bradley MicroLogix 1400 Series Devices
  • Cisco
    • [ZDNet]
      Cisco critical flaw: At least 8.5 million switches open to attack, so patch now
    • [SecurityAffairs]
      CISCO addresses two critical remote code execution flaws in IOS XE operating system
    • [TheRegister]
      Egg on Cisco’s face: Three critical software bugs to fix over Easter

 

Posted in Security, Security NewsTagged Data Breach, Fauxpersky, Industrial Control System, Malware, Patches, PLC, Vulnerability, WannaCryLeave a comment

Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外

Posted on 2018-03-29 - 2018-03-29 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 유진 카스퍼스키가 미군에 의한 사이버 작전이었다고 밝힌 슬링샷(Slingshot) 리포트에 대해서 입장을 밝혔다. 현 카스퍼스키 랩(Kaspersky Lab)의 설립자인 유진 카스퍼스키가 ISIS 및 Al-Qaeda 테러리스트를 상대로 한 사이버 스파이 작전이었다고 밝혔던 슬링샷 연구 리포트에 대해 인터뷰했다. 호주 멜버른에서 열린 Formula One이벤트 후의 호주 언론과의 인터뷰에서 유진 카스퍼스키는 “우리의 X-ray에 대해 비난하지 말라”고 말했다. 그는 “우리의 엑스레이는 어떤 총이든 감지해 울리게 되어있다. 그 총의 주인이 테러리스트건 경찰이건, 누가 그 총을 가지고 있는가에 대해서는 상관하지 않는다. 우린 세계 최고 수준의 X-ray를 제공한다. 그 경보가 돈을 노린 범죄자에 대한 것이었다거나 정보를 찾던 사이버 스파이 행위였다는 것을 알기에는 며칠이 걸릴 수 있다. 우리 X-ray는 어떤 것이든 탐지하도록 만들어졌다.”고 말했다. 그리고 카스퍼스키는 다른 비유를 더 들기도 했다. “물에서 물고기를 낚는 게 우리 일이다. 우린 그 물고기가 무슨 언어를 쓰는지 알 수 없다. 물고기를 보면, 우리는 그 물고기를 잡아야 하는 거다.”

Detailed News list

  • Slingshot
    • [CyberScoop]
      Eugene Kaspersky defends publishing ‘Slingshot’ report

 

Malwares

Summaries

  • ThreadKit이라는 악성코드 제작 키트가 확인되었다. ThreadKit이라 명명된 새로운 Microsoft Office document exploit builder kit이 확인되었다. 이 빌드킷은 다양한 악성코드 유포에 사용되었는데, 그 중에는 원격제어트로이(RAT)와 뱅킹트로이도 포함되었다. 이 익스플로잇 킷은 2017년 10월에 처음 발견되었다. 그러나 전문가들에 따르면, 사이버 범죄자들은 이 익스플로잇 킷을 최소 2017년 6월부터 사용해 온 것으로 보인다.
  • GoScanSSH라는 새로운 악성코드가 탐지되었다. 이 악성코드는 온라인에 노출되어있는 SSH 서버를 노린다. 그러나 정부기관 및 군사기관 IP는 피하는 것으로 보인다. 이 악성코드는 지난 2017년 6월 부터 활동해 왔으며, 다양한 고유의 특성을 보인다. 일반적인 악성코드와는 다르게, GoScanSSH는 Go(Golang)프로그래밍언어로 작성되었다. 그리고 군사시설의 IP는 공격 대상에서 제외한다. 그리고 감염된 시스템에 맞는 악성코드 바이너리를 생성한다. 연구자들에 따르면, GoScanSSH 악성코드의 초기 감염 벡터는 브루트포스 공격이다. 7천개 이상의 사용자이름, 비밀번호가 포함된 워드리스트를 사용한다. 연구자들은 또한 GoScanSSH는 C&C(Command and control) 인프라구조로 Tor2Web 프록시 서비스를 이용해 C&C 인프라에 대한 추적(Tracking)과 차단(Takedown)을 어렵게 하고 있다. (28일에서 이어짐)

Detailed News List

  • ThreadKit
    • [SecurityAffairs]
      New ThreadKit exploit builder used to spread banking Trojan and RATs
    • [SecurityWeek]
      New “ThreadKit” Office Exploit Builder Emerges
  • GoScanSSH
    • [InformationSecurityBuzz]
      GoScanSSH Malware
    • [SecurityWeek]
      GoScanSSH Malware Targets Linux Servers

 

Exploits/Vulnerabilities

Summaries

  • 마이크로소프트에서 릴리즈한 멜트다운용 패치가 오히려 더 심각한 취약점을 만들어냈다는 기사가 공개되었다. 마이크로소프트가 멜트다운(Meltdown) 취약점 수정을 위해 릴리즈한 초기 패치들이 윈도우즈 7에서 공격자들이 커널 메모리를 더 빨리 읽을 수 있고 메모리에 쓸 수 있는 오히려 더 심각한 취약점을 만들어 냈다고 개인 보안 연구가가 밝혔다. Ulf Frisk라는 보안 연구가는 마이크로소프트가 공개한 윈도우즈7 패치에 대해서, 공격자가 기기에서 실행중인 모든 유저레벨의 프로세스에 접근할 수 있게 만든다고 밝혔다. 마이크로소프트의 대변인은 이 문제에 대해 인지하고 있으며 해결방안을 찾고 있다고 인터뷰에서 밝혔다. 취약점은 64비트 윈도우즈7(Service pack 1)과 윈도우즈 서버 2008(Service Pack1)에만 영향이 있다.

Detailed News List

  • Meltdown
    • [CyberScoop]
      Microsoft’s Meltdown patches introduced a whole new vulnerability
    • [SecurityAffairs]
      Meltdown security patches issued by Microsoft exposed to severe attacks
    • [ThreatPost]
      Bad Microsoft Meltdown Patch Made Some Windows Systems Less Secure
    • [ZDNet]
      Windows 7 Meltdown patch opens worse vulnerability: Install March updates now
    • [SecurityWeek]
      Microsoft Patches for Meltdown Introduced Severe Flaw: Researcher
    • [TheRegister]
      Microsoft’s Windows 7 Meltdown fixes from January, February made PCs MORE INSECURE

 

Vulnerability Patches/Software Updates

Summaries

  • 시스코에서 원격코드실행 버그를 수정하는 보안 패치를 릴리즈했다. 많이 쓰이는 네트워킹 운영체제 IOS XE의 취약점이 수정되었다. 첫번째 취약점은 CVE-2018-0151로 인증되지 않은(unauthenticated) 원격의 공격자가 서비스거부상태를 일으키거나 임의의 코드를 상승된 권한으로 실행시킬 수 있는 취약점이다. 두번째 취약점은 CVE-2018-0171로 Cisco IOS 소프트웨어 및 Cisco IOS XE 소프트웨어의 Smart Install 기능에 존재한다. 이 취약점은 대상 장비에서 무한루프를 발생시키거나 원격 코드 실행을 가능하게 한다.
  • 예정되어 있던 드루팔 코어의 보안 업데이트가 릴리즈되었다. 드루팔에서 긴급 보안 패치를 공개했다. 이 패치에서는 ‘다수의 서브시스템’의 원격 코드 실행(remote code execution) 취약점이 수정되었다. 이 취약점들은 공격자가 드루팔로 만들어진 웹사이트에서 다양한 방법으로 공격할 수 있게 하며, 사이트가 완전히 장악당할 수 있다. 웹사이트를 어떤 웹페이지에서든 공격할 수 있으며, 로그인이나 어떤 권한도 필요하지 않다. 아직은 어떠한 공격 코드도 확인된 바 없으나, 드루팔에서는 공격코드가 누군가에 의해 개발되는데 몇시간 걸리지 않을 것이라 경고했다. 취약점은 CVE-2018-7600으로 드루팔의 코어에 존재하며 버젼 6,7,8에 영향을 미친다.

Detailed News List

  • Cisco
    • [ThreatPost]
      Cisco Patches Two Critical RCE Bugs in IOS XE Software
    • [US-CERT]
      Cisco Releases Security Updates
  • Drupal
    • [US-CERT]
      Drupal Releases Critical Security Updates
    • [TheRegister]
      Running Drupal? You need to patch, patch, patch right now!

 

Cyber Intelligence/Open Source Intelligence

Summaries

  • 카스퍼스키가 내부에서 사용하던 도구를 오픈소스화 했다. 카스퍼스키가 내부에서 개발한 distributed YARA scanner를 정보보안 커뮤니티에 대한 보답차원에서 오픈소스로 공개했다. VirusTotal의 소프트웨어 엔지니어 Victor Alvarez에 의해 개발된 YARA는 연구자들이 텍스트나 바이너리의 패턴을 기반으로 위협을 정의해 악성코드를 탐지할 수 있도록 만든 툴이다. 카스퍼스키랩은 KLara라는 이름으로 이 YARA툴의 자신들의 고유 버젼을 개발했다. 대량의 악성코드 샘플을 빨리 스캔할 수 있도록 분산 구조(distributed architecture)에 사용할 수 있는 파이썬 기반 어플리케이션이다.

Detailed News List

  • Kaspersky
    • [DarkReading]
      Kaspersky Lab Open-Sources its Threat-Hunting Tool
    • [SecurityWeek]
      Kaspersky Open Sources Internal Distributed YARA Scanner

 

Mobile/Cloud

Summaries

  • 아이폰 카메라의 QR 기능 및 안드로이드용 QR코드 앱에서 버그와 악성코드가 발견되었다. iOS 카메라 앱에 내장된 QR code 리더의 버그로 인해, 사용자가 악성 웹사이트로 리다이렉트 될 수 있다. 이 취약점은 iPhone, iPad, iPod touch 기기의 최신 애플 iOS 11에 영향을 미친다. 내장 QR code 리더의 URL 파서가 URL의 호스트명을 정확하게 탐지하지 못해 화면에 표시되는 URL과는 다른 웹사이트를 열게 할 수 있다. 알림내용으로는 사파리 브라우저에서 facebook을 접속한다고 뜨지만, 실제로는 다른 웹 사이트에 접속되는 식이다.
  • 안드로이드에서 모네로 암호화폐를 채굴하며 심지어는 스마트폰을 고장내는 악성코드가 발견되었다. 트렌드 마이크로에서 구글 플레이 업데이트로 위장한 모네로 채굴 악성코드를 확인했다. 주요 공격 대상은 중국 및 인도의 사용자인 것으로 보인다. HiddenMiner라 명명된 이 악성코드는 구글 플레이 업데이트 앱으로 위장했다. 앱이 일단 설치되면, 장치 관리자 권한으로 실행하는 것을 요청하며 사용자가 활성화 버튼을 누를때까지 지속적으로 팝업을 표시한다. 악성코드는 감염된 기기의 CPU를 사용해 Monero 암호화폐를 채굴하며, 트렌드마이크로에 따르면 이 채굴은 기기가 과열되어 재부팅 될 때까지 계속된다.

Detailed News List

  • QR Code Apps
    • [InformationSecurityBuzz]
      500,000 People Downloaded Malicious QR Code Apps From Google Play
    • [GrahamCluley]
      How a boobytrapped QR code can trick iOS 11 into taking you to a malicious website
    • [WeLiveSecurity]
      Be wary when scanning QR codes with iOS 11’s camera app
    • [SecurityAffairs]
      A flaw in the iOS camera QR code URL parser could expose users to attacks
    • [TheHackerNews]
      QR Code Bug in Apple iOS 11 Could Lead You to Malicious Sites
    • [HackRead]
      3-month old flaw in iPhone camera app takes users to phishing sites
  • Android HiddenMiner
    • [HackRead]
      HiddenMiner Android Monero Mining Malware Cause Device Failure
    • [DarkReading]
      New Android Cryptojacker Can Brick Phones
    • [InfoSecurityMagazine]
      HiddenMiner Stealthily Drains Androids for Monero Mining
    • [TrendMicro]
      Monero-Mining HiddenMiner Android Malware Can Potentially Cause Device Failure

 

Posted in Security, Security NewsTagged Cryptocurrency Mining, CVE-2018-0151, CVE-2018-0171, CVE-2018-7600, Cyber Espionage, Exploit Kit, GoScanSSH, HiddenMiner, KLara, Malware, Patches, Slingshot, ThreadKit, VulnerabilityLeave a comment

Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外

Posted on 2018-03-28 - 2018-03-28 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Malwares

Summaries

  • GoScanSSH라는 새로운 악성코드가 탐지되었다. 이 악성코드는 온라인에 노출되어있는 SSH 서버를 노린다. 그러나 정부기관 및 군사기관 IP는 피하는 것으로 보인다. 이 악성코드는 지난 2017년 6월 부터 활동해 왔으며, 다양한 고유의 특성을 보인다. 일반적인 악성코드와는 다르게, GoScanSSH는 Go(Golang) 프로그래밍언어로 작성되었다. 그리고 군사시설의 IP는 공격 대상에서 제외한다. 그리고 감염된 시스템에 맞는 악성코드 바이너리를 생성한다. 연구자들에 따르면, GoScanSSH 악성코드의 초기 감염 벡터는 브루트포스 공격이다. 7천개 이상의 사용자이름, 비밀번호가 포함된 워드리스트를 사용한다. 연구자들은 또한 GoScanSSH는 C&C(Command and control) 인프라구조로 Tor2Web 프록시 서비스를 이용해 C&C 인프라에 대한 추적(Tracking)과 차단(Takedown)을 어렵게 하고 있다.

Detailed News List

  • GoScanSSH
    • [ThreatPost]
      GoScanSSH Malware Targets SSH Servers, But Avoids Military and .GOV Systems
    • [CSOOnline]
      GoScanSSH malware targets Linux systems but avoids government servers
    • [CSOOnline]
      GoScanSSH malware targets Linux-based systems, avoids government and military servers
    • [ITSecurityGuru]
      GoScanSSH Malware Avoids Government and Military Servers
    • [SecurityAffairs]
      GoScanSSH Malware spread avoiding Government and Military networks

 

Exploits/Vulnerabilities

Summaries

  • BranchScope라는 새로운 사이드채널 공격방법이 공개되었다. College of William & Mary, University of California Riverside, Carnegie Melon University in Qatar, Binghamton University의 연구진들이 인텔 칩들을 대상으로 사용할 수 있는 BranchScope라 명명된 새로운 사이드채널 공격을 찾아냈다. 공격자는 해당 시스템에 접근할 수 있어야 하며, 임의의 코드 실행중에 있어야 한다고 설명했다. 그리고 전문가들의 설명에 따르면, 최근 공개된 스펙터 및 멜트다운 공격에 대한 패치는 BranchScope 공격에 대응할 수 없다.

Detailed News List

  • BranchScope
    • [SecurityAffairs]
      BranchScope is a new side-channel attack method against Intel chip
    • [SecurityWeek]
      Intel CPUs Vulnerable to New ‘BranchScope’ Attack

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 10억달러 가량의 ATM 해킹 범죄의 배후가 스페인에서 체포되었다. 벨라루스, 루마니아, 대만, 스페인 경찰, FBI, 유로폴의 합동작전으로 전 세계 수백개의 금융기관 및 은행을 상대로한 ATM 해킹의 배후가 체포되었다. 아직 실명이 확인되지 않은 이 ATM 해커는 은행 인프라를 Carbanak, Cobalt, Anunak 악성코드로 감염시켜 수십억 유로를 훔친 매우 치밀한 사이버 범죄그룹의 우두머리다. 이 그룹은 Carbanak이 40여개 국가의 금융 기관들을 목표로 하는 APT 스타일의 캠페인임을 지적한 카스퍼스키랩에 의해 2013년에 확인되었다. 이 그룹은 직원들을 대상으로 한 피싱공격으로 은행들을 공격했다. 일단 컴퓨터가 악성코드에 감염되면, 원격으로 시스템을 장악해 현금을 인출헀다. 유로폴 보도자료에 따르면, 이 그룹은 세가지 다른 방식으로 표적 은행으로부터 돈을 훔쳤다. 첫번째로는 미리 지정해둔 시간에 ATM에서 대기하다 물리적으로 돈을 인출했고, 전자지불 네트워크를 를 이용해 자신들 소유의 은행계좌로 훔친 돈을 이체했다. 또한 계좌정보가 담긴 데이터베이스를 장악해 잔고 조작을 통해 돈을 훔치기도 했다. (27일에서 이어짐)

Detailed News List

  • Carbanak
    • [ThreatPost]
      Alleged Mastermind Behind Carbanak Crime Gang Arrested
    • [InformationSecurityBuzz]
      Leader Of $1 Billion By Hacking Gang Arrested
    • [BankInfoSecurity]
      Spain Busts Alleged Kingpin Behind Prolific Malware
    • [Anomali]
      WTB: Mastermind Behind EUR 1 Billion Cyber Bank Robbery Arrested In Spain
    • [NakedSecurity]
      Cobalt/Carbanak bank malware gang’s alleged leader arrested
    • [ITSecurityGuru]
      Cash-machine-draining €1bn cybercrime kingpin suspect cuffed by plod
    • [GrahamCluley]
      Police arrest members of billion-dollar banking cybercrime gang
    • [WeLiveSecurity]
      Police arrest members of cybercrime gang
    • [TheRegister]
      Cash-machine-draining €1bn cybercrime kingpin suspect cuffed by plod

 

Vulnerability Patches/Software Updates

Summaries

  • OpenSSL이 1.1.0 및 1.0.2의 취약점을 수정하는 보안 업데이트를 릴리즈했다. 이 취약점은 서비스거부(DoS, Denial-of-Service)를 유발시킬 수 있다. 업데이트 대상 취약점은 CVE-2018-0739, CVE-2018-0733, CVE-2017-3738이다.

Detailed News List

  • OpenSSL
    • [US-CERT]
      OpenSSL Releases Security Updates
    • [SecurityWeek]
      First OpenSSL Updates in 2018 Patch Three Flaws

 

Posted in Security, Security NewsTagged Anunak, BranchScope, Carbanak, Cobalt, CVE-2017-3738, CVE-2018-0733, CVE-2018-0739, GoScanSSH, Malware, Patches, VulnerabilityLeave a comment

Security Newsletters, 2018 Mar 23rd, GitHub 라이브러리 의존성 스캔 外

Posted on 2018-03-23 - 2018-03-23 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 이란과 관련된 것으로 추정되는 해커들이 새로운 데이터 유출 기법을 도입했다는 기사가 공개되었다. 보안기업 Nyotron에 따르면 이란과 관련이 있는 것으로 추정되는 사이버 스파이 그룹이 최근 공격에서 새로운 악성코드와 데이터 유출 기법을 사용했다. 이 그룹은 OilRig이라 알려진 그룹으로, 2015년부터 활동해왔다. 주로 미국과 중동의 금융 및 정치 산업의 기관들을 공격 대상으로 삼아왔다. 관찰된 바에 따르면 이 그룹은 꾸준히 다양한 도구를 사용하며, 새로운 익스플로잇을 빠르게 도입하고, 새로운 트로이 악성코드로 교체해왔다. Nyotron은 OrilRig이 최근의 캠페인에서 대략 20여가지의 다른 도구들을 사용했다고 밝혔다. 그 도구들에는 이전에 탐지되지 않았던 악성코드등도 포함되어 있다. 그리고 데이터 유출을 위해서, 이 스파이그룹은 네트워크 수준의 보안 제품들의 탐지를 회피해서 대상 환경에 거점(foothold)을 구축하는 것에 매우 집중했다.

Detailed News list

  • Iran-linked Hackers
    • [SecurityWeek]
      Iran-linked Hackers Adopt New Data Exfiltration Methods

 

Malwares

Summaries

  • 새로운 기능을 탑재한 Trickbot 악성코드를 유포하는 새로운 스팸 캠페인이 확인되었다. Trickbot은 과거 페이팔과 같은 대기업을 포함한 다수의 뱅킹 기업들을 노린 공격에서 탐지되었던 트로이다. Trickbot의 제작자들은 꾸준하게 사용자의 중요 데이터를 수집하기 위한 새로운 방법들을 찾아왔다. 최근에는 연구자들에 의해 드롭박스 스푸핑(Dropbox Spoofing)을 이용한 스팸메일 캠페인이 탐지되었다. Trickbot 악성코드를 유초하는 새로운 스팸 이메일 캠페인은 정식 Dropbox 웹사이트에서 온 것으로 위장했지만 실제로는 비슷해 보이는 사이트를 사용한다.
  • 데이터 유출 방법으로 텔레그램을 사용하는 TeleRAT 악성코드가 확인되었다. 팔로 알토 네트웍스(Palo Alto Networks)에서 Telegram Bot API를 사용해 C&C서버와 통신하고 데이터를 유출하는 TeleRAT이라는 안드로이트 트로이를 탐지했다. TeleRAT은 이전에 탐지된 바 있는 또다른 IRRAT라는 안드로이드 악성코드와의 유사성을 보인다. 이 악성코드도 Telegram의 Bot API를 C&C 통신을 위해 사용한다.

Detailed News List

  • TrickBot
    • [HeimdalSecurity]
      Security Alert: New Spam Campaign Delivers Trickbot Payload, Spoofs Dropbox
    • [ZDNet]
      Old banking Trojan TrickBot has been taught new tricks
    • [ITSecurityGuru]
      TrickBot Banking Trojan Gets Screenlocker Component
  • TeleRAT
    • [SecurityAffairs]
      TeleRAT, a new Android Trojan that uses Telegram for data exfiltration

 

Exploits/Vulnerabilities

Summaries

  • 포츈 500 기업들 절반가량에서 사용하는 ManageEngine에서 심각한 취약점이 다수 발견되었다. EventLog Analyzer 11.8과 Log360 5.3에 영향을 주는 취약점은, 웹 쉘을 업로드해서 어플리케이션을 시작하는 사용자의 권한으로 원격 코드 실행을 할 수 있다. Applications Manager 13에서 발견된 나머지 취약점들은 다음과 같다. blind SQL injection 다수, Local file inclusion, API key disclosure.

Detailed News List

  • ManageEngine
    • [ITSecurityGuru]
      Flaws in ManageEngine apps opens enterprise systems to compromise
    • [HelpNetSecurity]
      Flaws in ManageEngine apps opens enterprise systems to compromise

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 넷플릭스(Netflix)에서 새로운 취약점 제보 포상제도(Bug Bounty) 정책을 발표했다. 넷플릭스는 자사의 버그바운티를 버그크라우드(Bugcrowd) 플랫폼을 통해 시행하기로 결정했다. 넷플릭스에서는 치명적인 보안 취약점에 대해서 15,000달러가 지급된 것이 가장 높은 보상금이었다고 말했다. 제보할 수 있는 취약점 종류들로는 XSS, CSRF, SQL Injection, 인증 및 권한 관련, 데이터 노출, 원격 코드 실행, 리다이렉션, 비즈니스 로직, MSL 프로토콜, 모바일 API 등이 포함된다.

Detailed News List

  • Netflix
    • [SecurityWeek]
      Netflix Launches Public Bug Bounty Program
    • [TripWire]
      Researchers Can Earn up to $15K in Netflix’s New Public Bug Bounty Program
    • [ITSecurityGuru]
      Netflix asks you to start hacking, bug bounty program is now public
    • [ZDNet]
      Netflix asks you to start hacking, bug bounty program is now public
    • [TheRegister]
      What ends with X and won’t sue security researchers?

 

Vulnerability Patches/Software Updates

Summaries

  • 구글에서 크롬OS 장치들을 위한 멜트다운, 스펙터 취약점 패치 계획을 발표했다. 스펙터 및 멜트다운 취약점에 영향을 받는 인텔 프로세서 장치들에 대한 패치가 구글 크롬OS 운영체제의 최신 안정화 채널을 통해 제공될 예정이다.
  • 드루팔 코어의 버그가 다음주 패치될 예정이다. 지난 수요일 드루팔이 개발자들에게 전달한 권고문에 따르면, 2018년 3월 288일 UTC기준 18:00 – 19:30사이에 드루팔 7.x, 8.3.x, 8.4.x, 8.5.x에 대한 보안 릴리즈가 있을 예정이다. 보안 권고문에서는 매우 심각한 보안 취약점이라고 언급했을 뿐, 어떤 버그인지는 밝히지 않았다.

Detailed News List

  • Chrome OS
    • [SecurityAffairs]
      Google is distributing more Meltdown and Spectre Patches for Chrome OS devices
    • [SecurityWeek]
      More Chrome OS Devices Receive Meltdown, Spectre Patches
  • Drupal
    • [ThreatPost]
      Drupal Forewarns ‘Highly Critical’ Bug to be Patched Next Week

 

Data Breaches/Info Leakages

Summaries

  • 휴가 예약 사이트인 Orbitz가 88만건의 신용카드 정보가 해커에 의해 도난당했을 수 있다고 경고했다. 성명문에 따르면, Orbiz는 지난 3월 1일 자신들의 구(legacy) 플랫폼 중 하나에서 침입의 흔적을 발견해 포렌식 팀을 요청했다고 밝혔다. Orbitz의 중앙 예약 시스템에 침입이 있었던 것으로 보이며, 이름, 지불 카드 정보, 생일, 전화번호, 이메일 주소, 실제 주소, 청구 주소, 고객의 성별 정보가 유출된 것으로 추정된다. (21일에서 이어짐)
  • 페이스북의 5천만 고객 데이터 유출에 대한 기사가 이어지고 있다. 도널드 트럼프의 대선 캠페인을 맡았던 업체가 5천만 사용자의 데이터를 수집했다는 발표 이후 페이스북 주가가 요동쳤다. 페이스북이 데이터 오용 리포트에 대한 대응으로 트럼프의 2016년 캠페인에 고용되었던 영국의 커뮤니케이션 기업 Cambridge Analytica의 계정을 정지시키면서 이에 대한 수사요청이 대서양 양측에서 일어났다. (20일에서 이어짐)

Detailed News List

  • Orbitz
    • [McAfee]
      Travel Agency Orbitz Hit with Data Breach, 880,000 Payment Cards Affected
    • [GrahamCluley]
      Travel site Orbitz warns data breach may have exposed 880,000 payment card details
    • [TripWire]
      Travel site Orbitz warns data breach may have exposed 880,000 payment card details
    • [NakedSecurity]
      880,000 payment cards affected in travel company data breach
  • Facebook
    • [Forbes]
      What Zuckerberg Should Have Said About Cambridge Analytica
    • [TechDirt]
      Wherein Facebook Loses Recess For Everyone
    • [NakedSecurity]
      New whistleblower says Facebook turned a blind eye to covert data harvesting
    • [Forbes]
      1.5B Accounts? Facebook’s Epic Free Data Giveaway Could Be The Largest Privacy Breach Ever
    • [ZDNet]
      Mozilla pulls Facebook advertising after Cambridge Analytica scandal
    • [NakedSecurity]
      Mozilla stops Facebook advertising, demands privacy changes
    • [InfoSecurityMagazine]
      Fresh Cambridge Analytica Revelations on Election Hacking, Facebook Faces FTC Investigation
    • [EHackingNews]
      Cambridge Analytica: More a spy and less an app
    • [Forbes]
      Facebook Is A Drug That’s Hell To Kick, Your Data For A Fix
    • [BankInfoSecurity]
      Yes, Mark Zuckerberg, You’ve Really Messed Up Another One
    • [TechDirt]
      Mark Zuckerberg Finally Speaks About Cambridge Analytica; It Won’t Be Enough
    • [EHackingNews]
      WhatsApp co-founder asks social users to delete their Facebook account
    • [HackerOnlineClub]
      Facebook CEO Mark Zuckerberg Admits It is “Breach of Trust” on Cambridge Analytica Scandal
    • [SecurityAffairs]
      Zuckerberg on Cambridge Analytica case: we made mistakes

 

Service Outage/Malfunction

Summaries

  • The Pirate Bay 토렌트 트래커가 다운되었다. 그러나 다크웹의 도메인은 운영중이다. The Pirate Bay 도메인이 전세계적으로 접속이 불가능한 상태다. The Pirate Bay는 UTC기준 20시 18분에 다운되었다. 그러나 아직까지 오프라인 상태에 대한 원인은 확실히 밝혀진 바 없다. 지난 4일간 두번째 발생한 다운타임이며, 아직 다크웹 도메인을 통한 접속은 가능한 상태다. 이전에는 미국에 위치한 다국적 인터넷 서비스 제공사인 Cogent Communications에서 Cloudflare의 새 IP주소를 차단하면서 접속장애가 발생한 바 있다. (22일에서 이어짐)

Detailed News List

  • The Pirate Bay
    • [HackRead]
      The Pirate Bay is Down Again for the 3rd Time in a Week

 

Crypto Currencies/Crypto Mining

Summaries

  • Cacti의 Network Weathermap 취약점을 사용해 유포되는 암호화폐 채굴기가 리눅스 서버를 노리고있다. 트렌드마이크로에 따르면 이전의 JenkinsMiner 악성코드를 사용했던 암호화폐 채굴 갬페인와 연관지을 수 있는 칩입시도가 모니터링 과정에서 탐지되었다. 차이점은 이번 캠페인에서는 리눅스 서버들을 공격 대상으로 한다. 전형적인 과거 취약점의 재사용 사례이기도 하다. 트렌드 마이크로는 이 캠페인이 일본, 대만, 중국, 미국, 인도에서 이루어지고 있다고 밝혔다. 이 캠페인에서는 시스템 관리자들이 네트워크 활동내역을 시각화하는데 사용하는 Cacti의 Network Weathermap 플러그인 취약점 CVE-2013-2618를 공격한다. (22일에서 이어짐)

Detailed News List

  • Crypto mining malware
    • [ZDNet]
      Cryptocurrency mining malware uses five-year old vulnerability to mine Monero on Linux servers

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • GitHub의 의존성 스캔을 통해 공개 리포지토리에서 4백만개의 보안 취약점이 발견되었다고 밝혔다. GitHub에서 자바스크립트 및 루비 라이브러리들의 오래된 취약점들에 대한 스캔을 통해 4백만개의 버그를 찾아냈다고 밝혔다. 스캐닝은 GitHub에 존재하는 공개 리포지토리들에서 Ruby용 RubyGems 및 JavaScript용 npm에 이미 취약하다고 알려진 라이브러리들을 자동으로 검사한다. 아직 Ruby와 JavaScript 외 모든 취약한 라이브러리들을 지원하진 않는다. GitHub에서는 올해 후반에는 Python 의존성에 대한 지원도 확대할 예정이라 밝혔다. 비공개 리포지토리에서는 보안 경고에 대한 선택(opt in)이 필요하다.

Detailed News List

  • GitHub
    • [ZDNet]
      GitHub: Our dependency scan has found four million security flaws in public repos

 

Posted in Security, Security NewsTagged Bug Bounty Program, Cryptocurrency Mining, Cyber Espionage, Information Leakage, Malware, OilRig, Outage, Patches, TeleRAT, Trickbot, VulnerabilityLeave a comment

글 내비게이션

이전 글

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org

Biohacking

  • Nootropics Reddit
  • A Beginner's Guide to Nootropics
  • Psychonaut WIKI
  • Supplements Reddit
  • StackAdvice Reddit
Proudly powered by WordPress | Theme: micro, developed by DevriX.