Caution
This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
- 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.
Newsletters
Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors
Summaries
- 카스퍼스키랩(KasperskyLab)에 의해 슬링샷(Slingshot) 캠페인이 미국이 주도한 작전이었음이 드러났다. 카스퍼스키랩에 의해 슬링샷이라 명명된 사이버 스파이 작전이 미 정부에 의해 테러리스트 단체들의 조직원을 노리고 운영되었던 작전이었음이 드러났다. 이번달 초 카스퍼스키에서 중동 및 아프리카의 기관들의 미크로틱 라우터를 해킹하는 등의 작전을 펼친 위협행위자(threat actor)의 활동내역에 대한 상세 리포트가 공개된 바 있다. 이 스파이 그룹은 최소 2012년부터 활동해 온 것으로 추정되며, 영어로 소통하는 것으로 추정된다고 말했다. 이 그룹이 사용한 악성코드는 연구자가 악성코드 내부에서 발견한 문자열을 따라서 슬링샷이라 명명되었다. 카스퍼스키랩은 주로 케냐 및 예멘에 위치한 약 100여명의 개인 및 기관들이 슬링샷 악성코드의 공격 대상이었음을 확인했고, 그 외에 아프가니스탄, 리비야, 콩고, 요르단, 터키, 이라크, 수단, 소말리아, 탄자니아에도 존재한다. CyberScoop은 전현직 미 첩보기관 공무원들로부터 슬링샷이 미군의 특수작전본부(SOCOM, Special Operations Command)소속인 합동특수작전본부(JSOC, Joint Special Operations Command)에 의해 ISIS나 al-Qaeda와 같은 테러리스트 단체의 조직원을 겨냥한 작전이었음을 확인했다고 주장한다.
Detailed News list
- Slingshot
Exploits/Vulnerabilities
Summaries
- 윈도우즈 원격 어시스턴스에서 파일을 유출시킬 수 있는 취약점이 발견되었고, 최근 Patch Tuesday에서 수정되었다. 마이크로소프트의 윈도우즈 원격 어시스턴스(Windows Remote Assistance)에서 치명적인 취약점이 발견되었다. 이 취약점은 최근의 Windows 10, 8.1, RT 8.1, 7 모든 버젼에 영향을 주며, 원격의 공격자가 공격대상 기기에서 파일을 훔칠 수 있다. 윈도우즈 원격 어시스턴스는 전 세계 어디에서든 문제를 해결하는데 도움을 줄 수 있도록, 누군가가 내 PC를 원격으로 제어할 수 있게 혹은 내가 누군가의 PC를 원격으로 제어할 수 있게 해주는 내장 기능이다. 이 기능은 원격 데스크탑 프로토콜(RDP, Remote Desktop Protocol)에 의존해 상대방과 보안 연결(secure connection)을 맺는다. 그러나 Trend Micro Zero Day Initiative의 Nabeel Ahmed가 발견해 공개한 바에 따르면, Windows Remote Assistance에 정보 노출 취약점(information disclosure vulnerability, CVE-2018-0878)이 존재한다. 공격자가 피해자의 시스템을 장악할 수 있는 정보를 획득할 수 있는 취약점이다. 이 취약점은 이번달 Patch Tuesday에서 수정되었다. 이 취약점은 Microsoft Windows Server 2016, Windows Server 2012 and R2, Windows Server 2008 SP2 and R2 SP1, Windows 10(32/64-bit), Windows 8.1(32/64-bit) and RT 8.1, Windows 7(32/64-bit)에 영향을 미친다. (21일에서 이어짐)
Detailed News List
- Windows Remote Assistance
- [ITSecurityGuru]
Windows Remote Assistance Tool Can Be Used for Targeted Attacks - [SecurityAffairs]
Windows Remote Assistance flaw could be exploited to steal sensitive files
- [ITSecurityGuru]
Legislation/Politics/Policies/Regulations/Law Enforcement/Trials
Summaries
- Polski, Vortex, Flotera 랜섬웨어 제작자 Tomasz T가 지난 수요일 폴란드에서 체포되었고, 금요일 이 사실이 폴란드 법 집행기관에 의해 발표되었다. Thomas 혹은 Amaged0n으로 알려진 Tomasz T는 폴란드 시민권자로 벨기에에서 거주했으며, DDoS 공격, 악성코드 유포, 랜섬웨어를 사용한 파일 암호화 등의 사이버 범죄 혐의를 받고있다. 유로폴과 협업과정에서 벨기에 경찰이 Tomasz T의 집을 수색하고 컴퓨터 장비 및 노트북, 원격 서버, 암호화키를 압수했다. 검찰에 따르면, 용의자가 처음으로 뱅킹 트로이를 통해 사용자의 클립보드에 존재하는 은행계좌번호를 그가 소유한 계좌번호로 바꿔치기 하는 방법으로 돈을 훔친 2013년부터 활동해왔다.
Detailed News List
- Author of Three Ransomware Families Arrested in Poland
Vulnerability Patches/Software Updates
Summaries
- AMD에서 최근 CTS Labs이 발표한 CPU취약점들의 패치를 곧 공개할 예정이라고 발표했다. AMD는 이번달 초 CTS Labs에의해 공개된 취약점들에 대한 패치가 몇 주 안에(in the coming weeks) 릴리즈 될 것이라 밝혔다. AMD의 CTO가 공개한 계획은 다음과 같다. Ryzen 및 Epyc 프로세서에 영향을 주는 MASTERKEY 및 PSP 권한 상승 취약점과 Ryzen, Ryzen Pro, Ryzen Mobile, Epyc 프로세서에 영향을 주는 RYZENFALL, FALLOUT 취약점은 BIOS를 업데이트하는 펌웨어 패치 릴리즈를 통해 수정될 것이며 해당 칩의 퍼포먼스에는 영향이 없다. Ryzen, Ryzen Pro 프로세서에 영향을 주는 CHIMERA 취약점은 동일한 방식으로 수정될 것이며, Promontory 칩셋을 설계 및 제조한 서드파티 제조사인 ASMedia에 의한 대응도 AMD의 협조를 통해 제공될 것이라 밝혔다.
Detailed News List
- AMD Preps Fixes
- [BankInfoSecurity]
Chipmaker AMD Confirms 13 Chipset Flaws, Preps Fixes - [HelpNetSecurity]
AMD confirms processor flaws found by CTS Labs, firmware fixes are coming - [Forbes]
Those Nasty AMD Chip Flaws Will Be Patched In A Flash - [ZDNet]
AMD on chip flaws: ‘Newly outed bugs are real but no big deal, and fixes are coming’ - [SecurityAffairs]
AMD will release the patches for the recently discovered flaws very soon - [TheHackerNews]
AMD Acknowledges Newly Disclosed Flaws In Its Processors — Patches Coming Soon - [SecurityWeek]
AMD Says Patches Coming Soon for Chip Vulnerabilities
- [BankInfoSecurity]
Data Breaches/Info Leakages
Summaries
- 휴가 예약 사이트인 Orbitz가 88만건의 신용카드 정보가 해커에 의해 도난당했을 수 있다고 경고했다. 성명문에 따르면, Orbiz는 지난 3월 1일 자신들의 구(legacy) 플랫폼 중 하나에서 침입의 흔적을 발견해 포렌식 팀을 요청했다고 밝혔다. Orbitz의 중앙 예약 시스템에 침입이 있었던 것으로 보이며, 이름, 지불 카드 정보, 생일, 전화번호, 이메일 주소, 실제 주소, 청구 주소, 고객의 성별 정보가 유출된 것으로 추정된다. (21일에서 이어짐)
- 페이스북의 5천만 고객 데이터 유출에 대한 기사가 이어지고 있다. 도널드 트럼프의 대선 캠페인을 맡았던 업체가 5천만 사용자의 데이터를 수집했다는 발표 이후 페이스북 주가가 요동쳤다. 페이스북이 데이터 오용 리포트에 대한 대응으로 트럼프의 2016년 캠페인에 고용되었던 영국의 커뮤니케이션 기업 Cambridge Analytica의 계정을 정지시키면서 이에 대한 수사요청이 대서양 양측에서 일어났다. (20일에서 이어짐)
Detailed News List
- Orbitz
- [ThreatPost]
Orbitz Warns 880,000 Payment Cards Suspected Stolen - [EHackingNews]
Orbitz data breach has affected 880,000 customers - [PandaSecurity]
Travel Fare Aggregator Orbitz has Been Hacked - [CSOOnline]
Orbitz: Hackers likely stole credit card details of nearly 900K Orbitz users - [InformationSecurityBuzz]
Orbitz Data Leak - [ITSecurityGuru]
Now that’s a bad trip: 880k credit cards ‘likely’ stolen by Orbitz hackers - [HelpNetSecurity]
880,000 payment cards, user info hit in Orbitz data breach - [TheHackerNews]
Expedia’s Orbitz Says 880,000 Payment Cards Compromised in Security Breach
- [ThreatPost]
- Facebook
- [Forbes]
Facebook Breaks Silence - [ZDNet]
Mark Zuckerberg outlines Facebook’s response to Cambridge Analytica controversy - [ThreatPost]
Zuckerberg Breaks Silence: ‘We Made Mistakes’ Regarding Cambridge Analytica Debacle - [ThreatPost]
Facebook Fallout Continues as Politicians Call For Legal Action - [SecurityWeek]
Growing Mistrust Threatens Facebook After Data Mining Scandal - [Forbes]
Facebook’s Data-Sharing Was ‘Normal,’ Says Cambridge Academic At Center OfScandal - [TechDirt]
How ‘Regulating Facebook’ Could Make Everyone’s Concerns Worse, Not Better - [HackRead]
WhatsApp Co-Founder Urges Users to Delete Their Facebook Accounts - [TechDirt]
Facebook Has Many Sins To Atone For, But ‘Selling Data’ To Cambridge Analytica Is Not One Of Them - [ZDNet]
Securing Facebook: Keep your data safe with these privacy settings - [TechDirt]
If You’re Pissed About Facebook’s Privacy Abuses, You Should Be Four Times As Angry At The Broadband Industry - [ITSecurityGuru]
Cambridge Analytica CEO, er, nixed as WhatsApp co-founder joins #DeleteFacebook movement - [BankInfoSecurity]
Facebook and Cambridge Analytica: Data Scandal Intensifies - [Forbes]
How Cambridge Analytica Used Big Sleaze To Mine Big Data - [InfoSecurityMagazine]
Cambridge Analytica Used ProtonMail to Hide Email Paper Trails
- [Forbes]
Service Outage/Malfunction
Summaries
- The Pirate Bay 토렌트 트래커가 다운되었다. 그러나 다크웹의 도메인은 운영중이다. The Pirate Bay 도메인이 전세계적으로 접속이 불가능한 상태다. The Pirate Bay는 UTC기준 20시 18분에 다운되었다. 그러나 아직까지 오프라인 상태에 대한 원인은 확실히 밝혀진 바 없다. 지난 4일간 두번째 발생한 다운타임이며, 아직 다크웹 도메인을 통한 접속은 가능한 상태다. 이전에는 미국에 위치한 다국적 인터넷 서비스 제공사인 Cogent Communications에서 Cloudflare의 새 IP주소를 차단하면서 접속장애가 발생한 바 있다.
Detailed News List
- Pirate Bay
Crypto Currencies/Crypto Mining
Summaries
- Cacti의 Network Weathermap 취약점을 사용해 유포되는 암호화폐 채굴기가 리눅스 서버를 노리고있다. 트렌드마이크로에 따르면 이전의 JenkinsMiner 악성코드를 사용했던 암호화폐 채굴 갬페인와 연관지을 수 있는 칩입시도가 모니터링 과정에서 탐지되었다. 차이점은 이번 캠페인에서는 리눅스 서버들을 공격 대상으로 한다. 전형적인 과거 취약점의 재사용 사례이기도 하다. 트렌드 마이크로는 이 캠페인이 일본, 대만, 중국, 미국, 인도에서 이루어지고 있다고 밝혔다. 이 캠페인에서는 시스템 관리자들이 네트워크 활동내역을 시각화하는데 사용하는 Cacti의 Network Weathermap 플러그인 취약점 CVE-2013-2618를 공격한다.
Detailed News List
- PHP Weathermap Vulnerability