Skip to content

Dev, Hack & Debug

Geeky articles and documents like Data Leakages, Cyber Espionage, Security Breaches and Exploits

  • Front page
  • Development
  • Hacking
  • Debugging
  • Contact

[태그:] Zealot Campaign

Security Newsletters, 2017 Dec 21th, 워드프레스 캡챠 플러그인 백도어 外

Posted on 2017-12-21 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 영국에 이어 미국 정부가 워너크라이(WannaCry) 랜섬웨어 공격에 대해 북한을 공식적으로 비난했다. 워너크라이 공격에 대해 “부주의하고 무모한(careless and reckless)” 공격이라고 백악관 국토안보 보좌관(Homeland Security Adviser) Tom Bossert가 백악관 기자 브리핑에서 말했다. (20일에서 이어짐)
  • 질럿 캠페인(Zealot Campaign)이 NSA의 익스플로잇을 사용해 모네로(Monero) 채굴기를 윈도우즈 및 리눅스 서버에 유포하고 있다. F5 Networks의 보안연구가들이 정교한 악성코드 캠페인을 탐지해냈다. Zealot 캠페인으로 명명된 이 공격은 공격대상 서버에 드랍되는 zealot.zip 파일이름을 따라 지어졌다. 이 공격은 리눅스와 윈도우즈 서버를 공격 대상으로 하며, 모네로(Monero) 암호화폐 채굴기를 설치한다. 이 공격자들은 인터넷에 패치되지 않은 서버들을 스캔하며, 이 서버들을 두가지 익스플로잇을 사용해 해킹한다. 하나는 아파치 스트러츠(CVE-2017-5638) 취약점이며, 하나는 NotNetNuke ASP.NET CMS(CVE-2017-9822)취약점이다. (18일에서 이어짐)

Detailed News list

  • North Korea
    • [DarkReading]
      Attack Attribution Tricky Say Some as US Blames North Korea for WannaCry
    • [TechDirt]
      Homeland Security Adviser Pins Wannacry Attack On North Korea In Wall Street Journal Op-Ed
    • [TheHackerNews]
      Greedy North Korean Hackers Targeting Cryptocurrencies and Point-of-Sale Terminals
    • [SecurityWeek]
      Australia, Canada, Others Blame North Korea for WannaCry Attack
    • [InformationSecurityBuzz]
      WannaCry Attributed To North Korea
    • [EHackingNews]
      White House blame North Korea for WannaCry
  • Zealot Campaign
    • [InformationSecurityBuzz]
      New Apache Struts Campaign Mining Monero Uses EternalBlue And EternalSynergy
    • [CyberScoop]
      Newly uncovered ‘Zealot’ malware could double as 2017 buzzword bingo

 

Malwares

Summaries

  • 워드프레스(WordPress) 플러그인 중 캡챠(Captcha) 플러그인에 백도어가 포함된 것으로 확인되면서 워드프레스 플러그인 목록에서 제거되었다. 약 30만개의 워드프레스 사이트들이 영향을 받은 것으로 보인다. 이 플러그인은 최초 BestWebSoft에 의해 개발되었으나, 몇달 전 백도어가 추가될 당시에는 이름이 확인되지 않은 개발자로 소유권이 변경된 것으로 확인되었다.
  • Loapi 악성코드가 안드로이드 스마트폰을 공격하고 있다. 이 Loapi 트로이를 광고를 클릭하거나 가짜 AV나 성인 콘텐츠 앱을 다운로드하며 설치하게 된다. 설치 후, Loapi는 관리자 권한을 끊임없이 요구한다. 사용자가 관리자 권한을 박탈하려 하면, 이 트로이는 화면을 잠가버리고 설정 윈도우를 닫아버린다. 그리고 사용자가 장치 보호를 위한 안티바이러스 앱과 같은 응용프로그램을 다운로드하려 하면 Loapi는 이 프로그램을 악성이라 분류하고 삭제할 것을 요구한다. 이러한 알림 팝업이 끊임없이 반복된다. (19일에서 이어짐)
  • 사이버 스파이 작전 스핑크스(Sphinx)가 AnubisSpy를 이용하여 모바일로 전환했다. 트렌드마이크로(TrendMicro)에 따르면 이 AnubisSpy 악성코드가 Sphinx 캠페인(APT-C-15)와 관련된 것으로 보인다. AnubisSpy의 조종자가 Sphinx의 조종자와 같을 가능성도 있다고 밝혔다. AnubisSpy는 문자메시지를 훔치거나, 사진, 동영상, 연락처, 이메일 계정, 달력 일정, 브라우저 기록 등을 훔칠 수 있다. 그리고 피해자를 장치에 설치된 앱을 통해 감시할 수 있다. (20일에서 이어짐)
  • 최근 발견된 원격 제어 트로이(RAT, Remote Access Trojan)가 2017년 11월에 패치된 마이크로소프트 오피스의 17년된 취약점을 사용해 유포되고 있다고 Netskope가 경고했다. 텔레그램RAT(TelegramRAT)이라 명명된 이 악성코드는, 텔레그램 메신저 응용프로그램을 사용해 명령 및 제어(C&C, Command and Control) 용도로 사용한다. 그리고 클라우드 저장소 플랫폼(Cloud storage platform)을 악용하여 페이로드를 저장한다. 이 접근법으로 일부 전통적인 보안 스캐너들을 우회할 수 있다. (20일에서 이어짐)
  • 마이크로소프트 오피스(Microsoft Office) 문서를 사용해 Loki 악성코드가 배포중이다. Loki 악성코드는 인증정보(Credential)을 훔치는 기능을 가지고 있으며, 마이크로소프트 엑셀이나 기타 오피스 응용프로그램을 사용해 탐지를 회피하며 유포되고 있다. (20일에서 이어짐)

Detailed News List

  • Backdoored Captcha WordPress Plugin
    • [SecurityWeek]
      Backdoored Captcha Plugin Hits 300,000 WordPress Sites
    • [SecurityAffairs]
      Backdoor in Captcha Plugin poses serious risks to 300K WordPress sites
    • [TheHackerNews]
      Hidden Backdoor Found In WordPress Captcha Plugin Affects Over 300,000 Sites
    • [TheRegister]
      WordPress captcha plugin on 300,000 sites had a sneaky backdoor
  • Loapi
    • [MalwarebytesLabs]
      Lo lo lo Loapi Trojan could break your Android
    • [SecurityAffairs]
      Loapi Android malware can destroy your battery mining Monero
    • [InformationSecurityBuzz]
      From Crypto Currency Mining To DDos Attacks: The New Multi-Featured Mobile Trojan Loapi Discovered
  • Anubis
    • [HackRead]
      AnubisSpy Malware: Stealing photos, videos & spying on Android users
  • TelegramRAT
    • [InfoSecurityMagazine]
      TelegramRAT Scurries Around Defenses Via the Cloud
  • Loki
    • [TrendMicro]
      CVE-2017-11882 Exploited to Deliver a Cracked Version of the Loki Infostealer

 

Exploits/Vulnerabilities

Summaries

  • 아이폰 페이스아이디(FaceID)에 이어서 윈도우즈10의 얼굴인식(Facial recognition) 기능이 프린트한 사진으로 우회할 수 있음이 알려졌다. 헬로(Hello)라고 알려진 윈도우즈10의 얼굴인식 보안 기능이 해당 사용자의 사진만으로 통과될 수 있음이 알려졌다.

Detailed News List

  • Windows10 facial recognition
    • [InformationSecurityBuzz]
      Huge Security Flaw Discovered In Windows 10 That Could Allow Hackers To Steal Passwords
    • [SecurityAffairs]
      Windows 10 Hello facial recognition feature can be spoofed with photos
    • [NakedSecurity]
      Windows 10 password manager bug is hiding good news
    • [ZDNet]
      ​Windows 10 face unlock can be tricked using printed headshot
    • [TheRegister]
      Windows 10 Hello face recognition can be fooled with photos

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 영국 십대가 다수의 분산서비스거부(DDoS, Distributed Denial of Service) 공격으로 체포되었으나 감방신세는 면했다. 이번주 19살 학생인 Jack Chappell이 2015년과 2016년에 미국 및 영국의 대형 브랜드 웹사이트에 대해 진행되었던 대규모 DDoS 공격의 연루에 대한 징역형은 면하게 되었다. 이전에 보도된 vDoS 서비스의 관리자중 하나였다. Chappell은 2016년 4월, 수사관이 그의 IP주소를 추적해 체포되었다.
  • 랜섬웨어를 유포하던 사이버 범죄자들 다섯명이 루마니아(Romania)에서 체포되었다. 루마니아 국적의 용의자 다섯명이 국제 사이버범죄 소탕작전으로 지난주 체포되었다. 이들 중 세명은 CTB-Locker(Curve-Tor-Bitcoin Locker) 랜섬웨어 유포 용의자들 이며, 다른 두명은 미국과 유로폴의 랜섬웨어 수사과정에서 함께 체포되었다. Bakovia 체포작전은 루마니아 경찰, 루마니아 및 네덜란드 검찰청, 네덜란드 경찰, 영국 국가범죄기관, 유로폴의 유럽사이버범죄센터의 지원을 받은 미 FBI, 합동 사이버범죄 대응 태스크포스에 의해 진행되었다.
  • 결국 카스퍼스키랩(KasperskyLab)이 연방 기관들에서 자사 소프트웨어 사용이 금지당한 것에 대하여 미 국토안전부(DHS, Department of Homeland Security)를 고소했다. 카스퍼스키랩은 이 고소장에서 연방 기관들의 이러한 금지 조치가 상당수 루머와 정체를 알 수 없는 출처에 기반한 미디어 리포트에 기반하고 있다고 주장했다. (19일에서 이어짐)

Detailed News List

  • UK Teen
    • [NakedSecurity]
      Teen sentenced for vDOS rampage
    • [TheRegister]
      UK teen dodges jail time for role in DDoSes on Natwest, Amazon and more
    • [BankInfoSecurity]
      Teen Hacker Avoids Jail Over On-Demand DDoS Attacks
  • Five Ransomware Suspects in Romania
    • [InfoSecurityMagazine]
      Five Arrested in Joint Europol-FBI Ransomware Sting
    • [BankInfoSecurity]
      Police Bust Five Ransomware Suspects in Romania
    • [SecurityWeek]
      Authorities Dismantle Ransomware Cybergang
    • [TheHackerNews]
      Romanian Police Arrest 5 People for Spreading CTB Locker and Cerber Ransomware
    • [DarkReading]
      Five Arrested for Cerber, CTB-Locker Ransomware Spread
    • [CyberScoop]
      European police take down criminals behind two big ransomware strains
    • [McAfeeLabs]
      McAfee Labs Advanced Threat Research Aids Arrest of Suspected Cybercrime Gang Linked to Top Malware CTB Locker
  • KasperskyLab
    • [InfoSecurityMagazine]
      Kaspersky Lab Takes DHS Fight to the Courts

 

Vulnerability Patches/Software Updates

Summaries

  • VMWare 제품들에 존재하던 코드실행(code execution) 취약점이 패치되었다. 어제(20일자) 뉴스기사 정리에서 VMWare 제품들에 존재하는 VNC 구현 오류로 인한 코드실행 취약점이 패치되었다. VMWare가 ESXi와 vCenter Server Appliance, Workstation, Fusion 제품에 4개의 취약점을 수정하는 패치를 공개했다.
  • vBulletin이 최근 공개된 취약점 두가지를 패치했다. 온라인 포럼을 만들 수 있는 vBulletin에서 원격으로 코드를 실행시킬 수 있는 취약점이 발견되었다는 기사 보도를 19일자에 정리한 바 있다. vBulletin의 개발자들이 화요일에 해당 취약점들을 패치했다고 공개했다.

Detailed News List

  • VMWare
    • [SecurityWeek]
      Code Execution Flaws Patched in Several VMware Products
  • vBulletin
    • [SecurityWeek]
      vBulletin Patches Disclosed Vulnerabilities

 

Privacy

Summaries

  • 프랑스의 개인정보 규제기관인 National Commission of Computing and Freedoms(CNIL)에서 WhatsApp에 대한 공식적인 성명을 내놓았다. 이 성명에서는 Feckbook에게 법적 근거를 마련하지 않는 한, 개인정보를 미국에 위치한 모회사(parent company)로의 전송을 중단하라고 요구했다. WhatsApp에 대해서는, 그러한 데이터를 수집하거나 전송하기 위해서는 사용자 동의(user consent)를 반드시 구해야 한다고 특정했다.

Detailed News List

  • Facebook & WhatsApp
    • [SecurityWeek]
      Facebook, WhatsApp Both Put Under Notice by Europe
    • [EHackingNews]
      France’s data protection authority CNIL gives a sharp warning to WhatsApp ;issues a formal notice
    • [NakedSecurity]
      WhatsApp and Facebook told to stop sharing data
    • [InfoSecurityMagazine]
      Facebook Government Data Requests Hit All-Time-High

 

Data Breaches/Info Leakages

Summaries

  • 미국 1억 2,300만 가정의 민감 데이터가 Alteryx의 아마존 S3로 부터 유출되는 사고가 발생했다. 이번에도 잘못 설정된(misconfigured) 아마존 웹서비스 S3 클라우드 스토리지 버킷이 이유였다. UpGuard의 블로그 포스트에 따르면, 노출된 데이터는 미 인구 통계국(US Census Bureau)와 Alteryx의 것으로 보인다. 연구자들은 이 데이터가 Alteryx가 Experian으로부터 구매한 데이터로 보고있다.

Detailed News List

  • Households Exposed
    • [HackRead]
      Sensitive Data of 123 Million American Households Exposed​
    • [DarkReading]
      Census Records Leaked in Marketing Firm’s Exposure of 123 Million Households
    • [InformationSecurityBuzz]
      Massive Leak Hits Over 120 Million American Households
    • [ZDNet]
      Alteryx S3 leak leaves 123m American households exposed

 

Crypto Currencies/Crypto Mining

Summaries

  • 암호화폐 거래소인 유빗(구 야피존)이 일년새 두번 연속 해킹을 당하면서 결국 파산을 선언했다. 유빗이 이변 년도에만 두번째 해킹을 당하면서 결국 운영을 중단했다. 유빗은 화요일에 파산을 선언했다. 유빗은 지난번 해킹 공격에서 17퍼센트의 자산을 잃었다고 밝혔다. 대한민국 내 암호화폐 거래소가 파산한 첫번째 사건이다. 8개월 전, 해커가 유빗 전체 자산의 거의 40퍼센트에 해당하는 4,000 비트코인을 훔친 바 있다. (20일에서 이어짐)

Detailed News List

  • New miner with NSA exploits
    • [HackRead]
      New Cryptocurrency Mining Scheme Uses NSA Exploits EternalBlue & EternalSynergy
  • Youbit
    • [InfoSecurityMagazine]
      Bitcoin Exchange Shuts After Second Cyber-Theft
    • [HackRead]
      Youbit Bitcoin exchange quits operation after 2 hacks in 8 months

 

Technologies/Technical Documents/Statistics/Reports

Summaries

  • 최악의 비밀번호 목록에 대한 통계가 발표되었다. 역시나 이번년도에도 변함없이 123456과 같은 너무나 뻔한 비밀번호들이 상위를 차지하고 있다.

Detailed News List

  • Bad Passwords
    • [NYTimes]
      ‘Password,’ ‘Monkey’ and the Other Terrible Passwords We Choose

 

Posted in Security, Security NewsTagged Anubis, Backdoor, Crypto Currency, Cryptocurrency Exchanges, Cryptocurrency Mining, Cyber Espionage, Data Breach, DDoS, Distributed Denial of Service, GDPR, Information Leakage, Loapi, Loki, Malware, Patches, Privacy, TelegramRAT, Vulnerability, Zealot CampaignLeave a comment

Security Newsletters, 2017 Dec 19th, vBulletin 치명적 취약점 발견 外

Posted on 2017-12-19 - 2017-12-19 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 구글, 애플, 페이스북, 마이크로소프트 및 기타 대기업의 트래픽이 러시아로 흘러들어가고 있었다. 지난주 구글, 페이스북, 애플과 같은 거대 기술 기업들의 트래픽이 알려지지 않은 러시아 인터넷 서비스 제공사(Russian internet provider)로 향한 수상한 사건이 있었다. 이 사건은 수요일에 일어났으며, 이 사건을 조사한 연구자들은 이 트래픽이 의도적으로 납치(hijacking) 되었다고 믿고있다. 이 사건은 인터넷 백본과 ISP, 기타 거대 네트워크 사이에서 트래픽 경로를 결정하는데 사용하는 BGP(Border Gateway Protocol)과 연관되었다. 유사한 사건이 마스터카드, 비자와 같은 스무개 이상의 기타 금융 서비스들에 대한 막대한 양의 트래픽이 러시아 정부의 관리하게 있는 통신 사업자(telecom operator)로 흘러들어가는 일이 있었다.
  • 드래곤 플라이 작전(Operation Dragonfly)이 이전의 공격들과 연관되는 지점들이 발견되었다. 지난 9월 6일 시만텍은 Dragonfly 캠페인에 대한 정보를 공개한 바 있다. 2017년에 걸쳐 에너지 기업 십여곳을 대상으로한 공격이었다. 이 공격은 2014년에 시작된 공격의 개선 버젼인 Dragonfly2.0 이었다. 이 공격은 선세계 에너지 기업들을 대상으로 스피어 피싱 이메일을 활용하며, 성공시 트로이 소프트웨어를 다운로드 하게 해 피해 시스템 및 네트워크에 공격자가 접근할 수 있게 한다. 최초 리포트는 Dragonfly 공격이 에너지 부문을 공격대상으로 했지만, 맥아피 랩과 Advanced Threat Research팀이 밝혀낸 바에 따르면 제약(phamaceutical) 및 금융(financial), 회계(accounting) 산업도 공격 대상으로 하고 있다. 그리고 피해 대상에 대한 공격을 실행하기 전에 정찰을 수행한다. 그리고 피해 대상의 네트워크에 대한 발판(foothold)을 마련하기 위해, 스피어피싱, 워터링 홀(watering holes), 이전 캠페인을 통한 서플라이체인(supply-chain) 공격과 같은 다양한 기법들이 사용되는 것을 확인했다.
  • 맥아피(McAfee)가 랜섬웨어 공격자들에 대한 연구조사 결과를 발표했다. 맥아피는 포럼등을 직접 뒤지는 시간소모적인 방법보다 랜섬노트(ransom note)를 분석하는 방법을 사용했다. 2017년 동안 다양한 랜섬 노트들이 이메일 주소를 지불방식에 대한 문의나 파일 복구 문의용으로 포함하고 있었다. 세달간의 랜섬웨어 샘플들을 관찰하여 이러한 주소를 추출했고. 새로운 랜섬웨어 종류들이 추가될때마다 주소를 추출했다. 새로 확인된 메일에는 대학교 박사과정에 있는 학생으로 위장하여 공격자들에게 몇가지 질문에 답해줄 수 있는가를 물었고, 약 30%의 이메일이 가짜이거나 존재하지 않는 이메일이었다. 이 경우는 피해자들이 몸값을 지불하고 증거를 보내려 해도, 돈만 사라지고 아무런 쓸모가 없어지는 경우다. 대부분의 메일이 무시된 반면에, 주차가 지나가면서 많은 수의 대화에 성공했다. 그 대화 내용과 수집된 결과에 대해 블로그 포스트로 공개했다.
  • 질럿 캠페인(Zealot Campaign)이 NSA의 익스플로잇을 사용해 모네로(Monero) 채굴기를 윈도우즈 및 리눅스 서버에 유포하고 있다. F5 Networks의 보안연구가들이 정교한 악성코드 캠페인을 탐지해냈다. Zealot 캠페인으로 명명된 이 공격은 공격대상 서버에 드랍되는 zealot.zip 파일이름을 따라 지어졌다. 이 공격은 리눅스와 윈도우즈 서버를 공격 대상으로 하며, 모네로(Monero) 암호화폐 채굴기를 설치한다. 이 공격자들은 인터넷에 패치되지 않은 서버들을 스캔하며, 이 서버들을 두가지 익스플로잇을 사용해 해킹한다. 하나는 아파치 스트러츠(CVE-2017-5638) 취약점이며, 하나는 NotNetNuke ASP.NET CMS(CVE-2017-9822)취약점이다. (18일에서 이어짐)
  • 북한이 배후에 있는 것으로 추정되는 라자러스(Lazarus) 그룹이 런던의 암호화폐 기업을 공격했다. 악명높은 APT 그룹중 하나인 라자러스(Lazarus) 그룹이 복귀하며 런던의 암호화폐 기업의 직원 인증정보(credentials)를 훔치기 위한 스피어피싱(spearphishing) 캠페인을 진행하고 있다. 라자러스 그룹의 활동은 2014년과 2015년에 급등했는데, 이 그룹의 일원이 맞춤형 악성코드를 공격에 사용했으며, 이들에 대해 조사했던 보안전문가들은 이를 아주 정교한 악성코드로 평가하고 있다. 이들은 최소 2009년 부터 활동해 왔으며, 이르면 2007년까지도 생각할 수 있다. 그리고 사이버 스파이 행위와 데이터 및 시스템 장애를 목적으로 한 파괴행위까지 모두 연관되어 있다. 보안연구가들은 복한의 라자러스 APT 그룹이 최근 방글라데시 사이버 절도사건을 포함한 은행공격의 배후임을 밝혀냈다. 이들에 따르면, 이 라자러스 그룹이 전세계를 대상으로 하는 기타 다른 대규모의 사이버 스파이 작전들의 배후이기도 하다. 여기에는 Troy Operation, DarkSeoul Operation, Sony Pictures 해킹도 포함된다. (16일에서 이어짐)

Detailed News list

  • BGP hijacking
    • [SecurityAffairs]
      BGP hijacking – Traffic for Google, Apple, Facebook, Microsoft and other tech giants routed through Russia
  • Operation Dragonfly
    • [McAfee]
      Operation Dragonfly Analysis Suggests Links to Earlier Attacks
  • Ransomware Actors
    • [McAfee]
      Looking Into the World of Ransomware Actors Reveals Some Surprises
    • [McAfee]
      McAfee Labs Reports All-Time Highs for Malware in Latest Count
  • Zealot campaign
    • [SecurityWeek]
      “Zealot” Apache Struts Attacks Abuses NSA Exploits
  • Lazarus
    • [CyberScoop]
      North Korean hackers are impersonating a cryptocurrency company to target Bitcoin fans
    • [BankInfoSecurity]
      Lazarus Hackers Phish For Bitcoins, Researchers Warn

 

Malwares

Summaries

  • Loapi 악성코드가 안드로이드 스마트폰을 공격하고 있다. 이 Loapi 트로이를 광고를 클릭하거나 가짜 AV나 성인 콘텐츠 앱을 다운로드하며 설치하게 된다. 설치 후, Loapi는 관리자 권한을 끊임없이 요구한다. 사용자가 관리자 권한을 박탈하려 하면, 이 트로이는 화면을 잠가버리고 설정 윈도우를 닫아버린다. 그리고 사용자가 장치 보호를 위한 안티바이러스 앱과 같은 응용프로그램을 다운로드하려 하면 Loapi는 이 프로그램을 악성이라 분류하고 삭제할 것을 요구한다. 이러한 알림 팝업이 끊임없이 반복된다.
  • 메두사(Medusa)가 HTTP DDoS 툴로 다시 돌아왔다. 메두사HTTP는 2017년 초반 등장한 닷넷(.Net)으로 작성된 HTTP 기반의 분산서비스거부(DDoS, Distributed Denial of Service) 공격 봇넷이다. MedusaHTTP는 IRC를 명령/제어 통신 방식으로 사용하는 MedusaIRC를 기반으로 한다. MedusaIRC 봇넷은 다양한 언더그라운드 해커 마켓에서 2015년부터 광고를 해왔으며, MedusaHTTP는 2017년에 등장했다.
  • 새로운 GnatSpy 모바일 악성코드 종이 발견되었다. 올해 초 중동의 여러 부문을 노린 공격이 탐지된 바 있다. 이 공격자는 Scorpion이나 APT-C-23으로 불린다. 이후 VAMP라 불리는 새로운 모바일 컴포넌트가 발견되었으며, FrozenCell이라 명명된 변종이 10월에 발견되었다. VAMP는 피해 스마트폰에서 다양한 종류의 데이터를 노린다. 최근 트렌드마이크로 연구자들에 의해 GnatSpy 모바일 악성코드 종이 발견되었다. 이 악성코드는 VAMP의 새로운 변종으로 추정되며, APT-C-23 배후의 공격자들이 아직도 활동중이며 악성코드를 계속적으로 개선해 나가고 있는 것으로 보인다. 일부 VAMP의 C&C 도메인이 최근 GnatSpy 변종에서 재사용되었다.
  • 악성 크롬 확장기능이 쿠키 및 은행 고객 인증정보를 훔치고 있다. 브라질 사용자들을 노리는 델파이(Delphi)로 작성된 악성코드가 유포되고 있다. 이 트로이의 주 행위는 다음과 같다. 크롬 확장 파일을 txt 형태로 다운로드 받아 설치한다. 모든 구글 크롬 바로가기를 찾아 악성 확장프로그램을 읽어들이도록 수정한다. 구글크롬의 개발자모드 확장 경고를 비활성화한다. Banco do Brasil 고객들을 공격 대상으로 삼아 쿠키와 인증정보를 훔친다.

Detailed News List

  • Loapi malware
    • [KasperskyLab]
      Loapi — this Trojan is hot!
    • [CSOOnline]
      Loapi malware capable of destroying Android phones
  • MedusaHTTP DDoS
    • [ArborNetworks]
      MedusaHTTP DDoS Slithers Back into the Spotlight
  • GnatSpy Mobile Malware
    • [TrendMicro]
      New GnatSpy Mobile Malware Family Discovered
  • Malicious Chrome Extension
    • [Zscaler]
      Malicious Chrome Extension Steals Cookies and Credentials of Bank Customers

 

Exploits/Vulnerabilities

Summaries

  • 온라인 포럼을 만들 수 있는 도구인 vBulletin에서 치명적인 취약점 두개가 발견되었다. 이탈리아의 보안기업 TRUELIT의 연구자 및 개인 연구가들에 의해, 인터넷에서 광범위하게 사용되고있는 vBulletin에서 두가지 보안 취약점이 발견되었다. 취약점 중 하나는 file inclusion 취약점으로, 공격자가 원격으로 악의적인 코드를 vBulletin의 서버에서 실행시킬 수 있다. vBulletin 5버젼이 이 취약점에 영향을 받는다. 이 취약점은 2017년 11월 말에 발견되어 vBulletin 측에 전달되었으나, 아직 명확한 반응은 없었다. 두번째 취약점은 CVE-2017-17672로, deserialization 문제로 알려졌다. 사용자 입력값에 대한 unserialize 함수의 안전하지 않은 적용으로 인해, 공격자는 vBulletin의 특정 파일을 삭제할 수 있고 특정 상황에서는 악의적인 코드를 실행할 수 있다.
  • 윈도우즈(Windows) 10에 내장된 Keeper 비밀번호 관리자가 저장된 비밀번호를 노출시키는 취약점이 있는것으로 나타났다. 키퍼(Keeper)는 Windows 10에 함께 포함되어있는 비밀번호 관리자다. 그런데 구글 프로젝트 제로(Google Project Zero)의 연구자인 Travis Ormandy가 새로운 버젼의 Keeper에서 치명적인 버그를 찾아냈다. 이 버그는 MSDN(Microsoft Developer Network)에서 바로 다운로드한 깨끗한 Windows 10에서 발견되었다. 이 버그는 콘텐츠 스크립트를 통해 신뢰할 수 없는 웹페이지에 trusted UI를 주입하는데, 결과적으로 이 웹페이지들은 클릭재킹(Clickjacking)이나 유사 기법들을 통해 사용자 인증정보(credential)를 훔칠 수 있다. (17일에서 이어짐)
  • 팔로 알토 네트웍스(Palo Alto Networks)의 보안 플랫폼에서 치명적인 보안 취약점이 발견되었다. 이 취약점은 관리 인터페이스(management interface)의 여러 취약점들의 조합으로, 원격으로 인증되지 않은 공격자가 방화벽에서 임의의 코드를 실행할 수 있다. PAN-OS 6.1.18, 7.0.18, 7.1.13, 8.0.5와 이전 버젼들이 영향을 받으며, 이 취약점의 번호는 CVE-2017-15944다. 또 다른 취약점은 CVE-2017-15940으로, 인증받은 공격자가 임의의 명령을 주입(inject)할 수 있다. (14일에서 이어짐)

Detailed News List

  • vBulletin flaws
    • [HackRead]
      Two critical and unpatched flaws identified in vBulletin
    • [SecurityAffairs]
      Researchers discovered two serious code execution flaws in vBulletin not yet unpatched
    • [TheHackerNews]
      Two Critical 0-Day Remote Exploits for vBulletin Forum Disclosed Publicly
    • [SecurityWeek]
      vBulletin to Patch Disclosed Code Execution, File Deletion Flaws
  • Windows Password Manager
    • [SecurityWeek]
      Google Researcher Finds Critical Flaw in Keeper Password Manager
    • [TheRegister]
      Windows 10 bundles a briefly vulnerable password manager
  • PAN-OS Networks Security Platform
    • [SecurityAffairs]
      Expert found critical issues in Palo Alto PAN-OS Networks Security Platform

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 결국 카스퍼스키랩(KasperskyLab)이 연방 기관들에서 자사 소프트웨어 사용이 금지당한 것에 대하여 미 국토안전부(DHS, Department of Homeland Security)를 고소했다. 카스퍼스키랩은 이 고소장에서 연방 기관들의 이러한 금지 조치가 상당수 루머와 정체를 알 수 없는 출처에 기반한 미디어 리포트에 기반하고 있다고 주장했다.
  • 미 공군의 버그바운티 프로그램(Bug Bounty Program)에서 취약점 발견에 대한 보상으로 총 2만 6,883달러를 해커들에게 지불했다. 이중 하나의 상금은 10,650달러로 정부의 버그바운티로 지불된 금액 중 역대 가장 큰 금액도 나왔다. Bret Buerhaus와 Mathias Karlsson이 이 상금을 차지했으며, 공군 웹사이트에서 취약점을 찾은 대가다. 7개국의 25명의 해커들과 7명의 미 공군들이 55개의 취약점을 9시간의 해킹을 통해 찾아냈다.
  • 우버(Uber)에 대한 범죄사실 조사가 이루어지고 있다고 미 법무부가 밝혔다. 우버와 웨이모(Waymo)의 자가 주행 기술(self-driving technology) 도난 사건에 대해 공방이 치열한 가운데, 22일자 비공개 서한에서 우버의 전 직원(former employee)은 우버가 의도적으로 비 귀속 전자장치(non-attributable)를 사용해, 무인 차량 기술(driverless vehicle technology)과 같이 부당하게 획득한 지적 재산(intellectual property)들의 사용을 숨기려 했다고 주장했다.
  • Dridex 악성코드를 사용해 수백만 달러를 훔친 범인을 도운 혐으로 한 남성이 감옥에 가게되었다. 2017년 12월 12일 화요일, 바클레이즈(Barclays)은행에서 일하던 29세의  Jinal Pethad가 두명의 몰도바인(Moldovan) 사이버 범죄자들의 3백만 달러(£2.5 million) 이상의 자금을 그가 일했던 Barclays Ealing 런던 지점에서 돈세탁하는 것을 도운 죄로 6년 4개월 형에 처해졌다. 두명의 사이버 범죄자는 Ion Turcan과 Pavel Gincota로 밝혀졌으며, Dridex 뱅킹 악성코드를 사용한 것과 Pethad에게 도움을 댓가로 보수를 지불한 점으로 각각 5년 8개월과 7년형에 처해졌다. (14일에서 이어짐)

Detailed News List

  • Kaspersky Lab Files DHS
    • [CBSNews]
      Moscow-based cybersecurity firm appeals DHS decision to ban its software
    • [TheRegister]
      SCOLD WAR: Kaspersky drags Uncle Sam into court to battle AV ban
    • [SecurityWeek]
      Kaspersky Sues U.S. Government Over Product Ban
    • [DarkReading]
      Kaspersky Lab Files Lawsuit Over DHS Ban of its Products
    • [CyberScoop]
      Kaspersky Lab takes U.S. government to court over federal software ban
  • U.S. Air Force Bug Bounty Program
    • [InfoSecurityMagazine]
      Hack the Air Force 2.0 Bug Bounty Kicks Off with $10K Payout
    • [DarkReading]
      US Government Pays $10,650 Bug Bounty in ‘Hack the Air Force’ Event
    • [SecurityWeek]
      Pentagon Hacked in New U.S. Air Force Bug Bounty Program
  • Uber
    • [NakedSecurity]
      DOJ confirms Uber is under criminal investigation
  • Barclays
    • [SecurityWeek]
      Barclays Bank Employee Jailed for Role in Malware Scheme

 

Vulnerability Patches/Software Updates

Summaries

  • 구글이 크롬 68.0.3239.108버젼을 안정화 채널(stable channel)을 통해 배포했다. 이 버젼에서는 두개의 보안 취약점이 수정되었다. 하나는 CVE-2017-15429로 구글 크롬 및 크로미움에서 사용되는 오픈소스 자바스크립트 엔진인 V8의 Universal Cross-site Scripting(UXSS) 취약점이다. 또 다른 하나는 내부 팀에 의해 발견되었는데, 아직 취약점에 대한 정보를 공개하지 않았다.

Detailed News List

  • Chrome 63
    • [InfosecIsland]
      Google Patches High Risk Flaw in Chrome 63

 

Privacy

Summaries

  • 중국이 신장(Xinjiang) 지구의 성인 영주권자의 DNA 데이터베이스를 구축하려 하고 있다. 이번년도 초 TechDirt에 의해 신장지구에서 모든 차량에 추적장치(tracking device)가 부착되어야 한다는 감시 기술에 대한 기사가 있었던 것에 이어서, 이제는 국제인권감시기구 Human Rights Watch가 그 지역 2,400만명 주민들에 대한 더 강력한 감시조치가 이루어지고 있다는 리포트를 내놓았다. 당국이 정치적인 위협으로 간주하는 “집중 대상(focus personnel)“이라 부르는 개인들은, 나이와 상관없이 가족 구성원 모두의 생체 지표(biometrics)를 측정한다.
  • 훔친 인증정보를 거래하기 위한 마켓에 대한 크렙스의 기사가 공개되었다. 훔친 인증정보의 가격과 기업 인증정보 절도범들이 이러한 계정을 어떻게 팔아 수익을 얻는가에 대한 설명을 포함되어있다.

Detailed News List

  • DNA Database in China
    • [TechDirt]
      China Is Building The Ultimate Surveillance Tool: A DNA Database Of Every Adult Resident In Troubled Xinjiang Region
  • The market for stolen credentials
    • [KrebsOnSecurity]
      The Market for Stolen Account Credentials

 

Data Breaches/Info Leakages

Summaries

  • 캘리포니아 투표자 1,900만명의 기록이 몽고(Mongo)DB 공격에 의해 몸값 지급을 요구당하고 있다. 이 기록은 보안설정이 되어있지 않은 MongoDB 데이터베이스에서 유출되었다. 이 사건을 발견한 Kromtech의 보안연구가에 따르면, 1,920만명이 넘는 캘리포니아 거주자 투표 등록 데이터가 보안이 되어있지 않은 MongoDB 데이터베이스에 존재하다가 삭제당하는 사건이 벌어졌고 공격자는 이 데이터를 가지고 몸값을 요구하고 있다.(16일에서 이어짐)

Detailed News List

  • California Voters
    • [SecurityWeek]
      California Voter Data Stolen from Insecure MongoDB Database

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 러시아에 의한 수중 인터넷 인프라 공격에 대한 우려가 높아지고 있다. 많은 언론 매체에서 보도된 바와 같이, 영국 공군 대장(Air Chief Marshal) 스튜어트 피치 경(Sir Stuart Peach)이 영국 왕립 서비스 연구소(Royal United Services Institute)에서의 연설을 통해 러시아가 수중 통신 케이블을 손상시켜 전세계 금융 경제에 심각한 타격을 입힐 수 있다고 경고했다.
  • 러시아의 송유관 제어 컴퓨터가 해킹되어 모네로(Monero) 암호화폐 채굴 작업에 동원되었다. 12월 15일 금요일에 러시아 당국이 밝힌 바에 따르면, 세계에서 제일 큰 국영 파이프라인 기업인 Transneft가 사이버 공격을 당했으며 컴퓨터들이 해킹되어 모네로를 채굴했다. Reuters에 따르면, 회사 대변인 Igor Demin은 Transneft의 컴퓨터들이 자동으로 모네로 채굴 코드를 웹에서 다운로드 했다. 제한된 정보만이 제공되어 이렇게 침해당한 장치들에서 얼마나 많은 코인이 생성되었는지는 알려지지 않았다. (17일에서 이어짐)
  • 새로운 트라이톤(Triton) 악성코드가 주요 사회기반시설(critical infrastructure)에 대한 공격을 준비하고 있는 것이 탐지되었다. 산업 제어 시스템(ICS, Industrial Control Systems)을 노리는 새로운 Triton 악성코드가 파이어아이(FireEye) 연구자들에 의해 발견되었다. 트라이톤(Triton)이라 명명된 이 악성코드는 이름이 알려지지 않은 주요 사회기반시설 기관(critical infrastructure organization)을 노린 공격에 사용되어왔다. 보안전문가들은 금전적인 동기가 부족한 점과 공격의 정교한 수준으로 보았을때, 국가가 배후에 있는(state-sponsored) 공격자가 사보타주를 목적으로 한 것으로 보고있다. 파이어아이는 아직까지 Triton 공격을 어떠한 APT 그룹과도 연관짓지 않았다. 보안 전문가들은, 그들이 탐지한 행위들이 작전의 정찰단계 일부(part of the reconnaissance phase)였을 것이라 추정하고 있다. Triton 악성코드는 Schneider Electric의 Triconex Safety Instrumented System(SIS) 컨트롤러를 공격 대상으로 만들어졌다. 이 제품들은 산업 환경에서 프로세스 상태를 모니터하고 잠재적으로 위험한 상황에서 안전하게 복구하거나 차단하기 위한 제품이다. (15일에서 이어짐)

Detailed News List

  • Underwater Internet Critical Infrastructure
    • [SecurityAffairs]
      Information Warfare At Bay – The Dangers of Russian Menace to Underwater Internet Critical Infrastructure
  • Monero miner in Oil Pipeline
    • [TripWire]
      Monero Mining Software Found on Oil Transport Company’s Systems
  • Triton Malware
    • [CyberScoop]
      Triton malware shines light on threat facing energy production companies
    • [InfosecInstitute]
      Triton Malware Hits Critical Infrastructure in Saudi Arabia

 

Internet of Things

Summaries

  • 사용자의 무관심으로 인해 수백종의 Lexmark 프린터들이 온라인에 공격받기 쉬운 상태로 무방비로 노출되고 있다. NewSky의 보안연구자들이 수백종의 Lexmark 프린터들이 잘못 설정되어 있는 것을 발견했다. 프린터들이 공공 인터넷에 공개되어있어 쉽게 접근 가능하고, 누구나 대상 장비를 제어할 수 있는 것이다. 연구자들은 1,123개의 Lexmark 프린터들이 기업이나 대학교, 미 정부 사무실에 위치한 것을 확인했다. 이런 취약한 프린터들을 사용해서 백도어를 추가하거나 프린트 작업을 캡쳐하고, 동작이 불가능한 상태로 만들거나, 쓰레기 내용을 출력해 작업을 방해하는 등의 다양한 악의적 행위들이 가능하다.

Detailed News List

  • Lexmark Printers
    • [ThreatPost]
      User ‘Gross Negligence’ Leaves Hundreds of Lexmark Printers Open to Attack

 

Social Engineering/Phishing/Con/Scam

Summaries

  • 가짜 기술지원 사기(tech support scam)가 계속적으로 벌어지고 있으며, 크리스마스까지 계속될 것으로 보인다. 이런 사기는 꽤 오래 지속되어온 방식이다. 최근의 방법은 감염된 웹사이트로부터 시작된다. 종종 악성코드 감염등의 이유로 범죄자들에게 전화하라고 부추기는 팝업 경고 메시지를 띄우는 형태다.
  • 호주의 백만장자 중 한명이 비즈니스 메일 침해(BEC, Business Email Compromise) 사기에 당했다고 알려졌다. 호주의 백만장자 중 하나가, 그의 비서가 전형적인 비즈니스 메일 침해사기를 당해 1백만 달러의 손해를 본 것으로 알려졌다. Twynam Agricultural Group의 설립자인 John Kahlbetzer의 순 자산은 9억 5천만 달러다. 사기꾼들은 그의 비서 Christine Campbell에게 지인의 이메일과 유사한 한글자만 빠진 주소로 이메일을 보냈다. David Aldridge라는 영국 남성의 계좌로 총합 1백만 달러의 이체를 요구했다.

Detailed News List

  • Fake support scam
    • [NakedSecurity]
      Watch out – fake support scams are alive and well this Christmas
  • BEC Scam in Austrailia
    • [InfosecurityMagazine]
      Aussie Multi-Millionaire Hit by BEC Scam

 

Service Outage

Summaries

  • 비트피넥스(Bitfinex) 암호화폐 거래소가 또 다시 분산서비스거부(DDoS, Distributed Denial of Service) 공격을 당했다. 2017년 12월 12일에 세계 최대 암호화폐 거래소중 하나인 Bitfinex가 DDoS 공격을 당하고 있다고 발표한 바 있다. 그리고 12월 17일 또다시 막대한 DDoS 공격에 시달리고 있다고 다시 트윗으로 언급했다.

Detailed News List

  • Bitfinex
    • [HackRead]
      Bitfinex cryptocurrency exchange hit by “heavy DDoS” attack again

 

Crypto Currencies/Crypto Mining

Summaries

  • 영국의 기업들이 랜섬웨어 몸값으로 비트코인을 지불하기 위해 비트코인을 ‘비축’하고 있다. 랜섬웨어 공격이 매 40초마다 한번씩 일어난다. 2017년 1분기에는 10건의 악성코드 페이로드 중 6건에 랜섬웨어가 포함되어 있었으며, 사용자의 PC를 사용불가능 하게 잠그고 드라이브 및 파일을 암호화 하며 비트코인과 같은 암호화폐를 요구한다. 영국의 국방부(Ministry of Defence) 전 사이버 책임자(former cyber chief) 폴 테일러(Paul Taylor)는 기업들이 몸값 지불을 위해 비트코인을 비축(stockpiling)하고 있는게 확실하다고 언급했다.

Detailed News List

  • Stockphile
    • [ZDNet]
      UK firms ‘stockpile’ Bitcoin to pay off ransomware hackers

 

Posted in Security, Security NewsTagged BEC Scammers, BGP, Border Gateway Protocol, Bug Bounty Program, Crypto Currency, Cryptocurrency Exchanges, CVE-2017-15429, CVE-2017-17672, Cyber Espionage, Data Breach, DDoS, Distributed Denial of Service, GnatSpy, Industrial Control System, Information Leakage, Infrastructure, Lazarus, Loapi, Malware, MedusaHTTP, MedusaIRC, Operation Dragonfly, Outage, Patches, Privacy, Ransomware, Scam, Tech Support Scam, Traffic Hijacking, Triton Malware, Vulnerability, Zealot CampaignLeave a comment

Security Newsletters, 2017 Dec 18th, Zealot Campaign: Monero 채굴기 유포 外

Posted on 2017-12-18 by admin

Caution

This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.

  • 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
  • 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
  • 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
  • 번역된 한글 제목에 오역이 있을 수 있습니다.
  • 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
  • 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
  • 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.

 

 

Newsletters

Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors

Summaries

  • 질럿 캠페인(Zealot Campaign)이 NSA의 익스플로잇을 사용해 모네로(Monero) 채굴기를 윈도우즈 및 리눅스 서버에 유포하고 있다. F5 Networks의 보안연구가들이 정교한 악성코드 캠페인을 탐지해냈다. Zealot 캠페인으로 명명된 이 공격은 공격대상 서버에 드랍되는 zealot.zip 파일이름을 따라 지어졌다. 이 공격은 리눅스와 윈도우즈 서버를 공격 대상으로 하며, 모네로(Monero) 암호화폐 채굴기를 설치한다. 이 공격자들은 인터넷에 패치되지 않은 서버들을 스캔하며, 이 서버들을 두가지 익스플로잇을 사용해 해킹한다. 하나는 아파치 스트러츠(CVE-2017-5638) 취약점이며, 하나는 NotNetNuke ASP.NET CMS(CVE-2017-9822) 취약점이다.
  • 북한이 배후에 있는 것으로 추정되는 라자러스(Lazarus) 그룹이 런던의 암호화폐 기업을 공격했다. 악명높은 APT 그룹중 하나인 라자러스(Lazarus) 그룹이 복귀하며 런던의 암호화폐 기업의 직원 인증정보(credentials)를 훔치기 위한 스피어피싱(spearphishing) 캠페인을 진행하고 있다. 라자러스 그룹의 활동은 2014년과 2015년에 급등했는데, 이 그룹의 일원이 맞춤형 악성코드를 공격에 사용했으며, 이들에 대해 조사했던 보안전문가들은 이를 아주 정교한 악성코드로 평가하고 있다. 이들은 최소 2009년 부터 활동해 왔으며, 이르면 2007년까지도 생각할 수 있다. 그리고 사이버 스파이 행위와 데이터 및 시스템 장애를 목적으로 한 파괴행위까지 모두 연관되어 있다. 보안연구가들은 복한의 라자러스 APT 그룹이 최근 방글라데시 사이버 절도사건을 포함한 은행공격의 배후임을 밝혀냈다. 이들에 따르면, 이 라자러스 그룹이 전세계를 대상으로 하는 기타 다른 대규모의 사이버 스파이 작전들의 배후이기도 하다. 여기에는 Troy Operation, DarkSeoul Operation, Sony Pictures 해킹도 포함된다. (16일에서 이어짐)

Detailed News list

  • Zealot Campaign
    • [SecurityAffairs]
      Zealot Campaign leverages NSA exploits to deliver Monero miners of both Windows and Linux servers
  • Lazarus
    • [HackRead]
      Lazarus group conducting malware attacks to steal Bitcoins

 

Malwares

Summaries

  • 트렌드 마이크로(Trend Micro) 보안 연구가들이 최근 ATM에서 정보를 훔치는 목적으로 특화된 악성코드를 발견했다. PRILEX라고 명명된 이 악성코드는 비쥬얼베이직(Visual Basic) 6.0으로 작성되었다. 이 악성코드는 뱅킹 어플리케이션을 하이재킹하고 ATM 사용자들의 정보를 훔치도록 설계되었다. 이 악성코드는 브라질에서 발견되었다. 처음 보고 된 것은 2017년 10월 이었으며, PRILEX는 특정 동적 링크 라이브러리(DLLs, Dynamic Link Libraries)를 후킹해 자체 응용프로그램 화면으로 대체(replace)하도록 만들어졌다. 공격 대상이 되는 DLL들은 브라질 은행에서 사용하는 ATM 어플리케이션에 속한 P32disp0.dll, P32mmd.dll, P32afd.dll 이다. (16일에서 이어짐)

Detailed News List

  • ATM Malware
    • [SecurityAffairs]
      New PRILEX ATM Malware used in targeted attacks against a Brazilian bank

 

Exploits/Vulnerabilities

Summaries

  • 아이폰X의 페이스 아이디(Face ID)가 뚫렸다는 기사는 여러번 반복되었는데, 이번에는 가면이나 가족이 아닌 직장동료의 페이스 아이디 인증을 통과한 중국 여성의 사례가 기사화 되었다. Jiangsu Broadcasting Corp에 따르면, 직장동료가 페이스아이디로 iPhoneX의 잠금을 해제할 수 있다고 컴플레인을 건 중국 여성에게 애플스토어가 어쩔 수 없이 환불을 해줬다고 한다. 애플 스토어 직원은 처음에는 불가능하다며 환불을 거부했지만 클레임을 건 Yan이 직접 직장동료와 함께 방문해 페이스아이디를 해제하는 것을 시연해 보이자 환불을 해주었다고 한다. (기사를 보면 둘이 비슷하게 생기긴 했다)

Detailed News List

  • iPhone X FaceID
    • [HackRead]
      Chinese woman unlocks colleague’s iPhone X through Face ID

 

Legislation/Politics/Policies/Regulations/Law Enforcement/Trials

Summaries

  • 42세의 Austin의 AlienVault office의 엔지니어링 부사장 Yariv Kaplan과 그의 9세 딸이 집에서 사망한채로 발견되었다고 Travis Country 보안관 사무실이 밝혔다. Austin American의 대변인은 당국이 Southweb Austin에 위치한 집에 월요일에 진입해 시체 두 구를 찾았다고 밝혔다. 수사관들은 증거로 볼때 Kaplan이 자살하기 전 자신의 딸을 먼저 쏜 것으로 보인다고 말했다. KXAN에 따르면, Kaplan이 이혼절차중에 있었으며 딸의 양육권을 얻으려 노력중에 있었다는 것을 트레비스 카운티 법원 기록에서 알 수 있었다. AlienVault는 Patch.com에게 Kaplan의 근무 사실을 확인해 주었으나, 아직 회사로부터의 코멘트는 없다.
  • 미 정부가 이탈리아의 보안기업 해킹팀(Hacking Team)의 방대한 데이터 유출사건에 대한 수사를 방해했다는(undermined) 주장에 대해서 부인했다. 지난 주, 밀라노의 치안 판사 (magistrate)는 2015년 데이터 절도 사건에 관여한 것으로 추정되는 용의자 6명에 대한 수사를 보류(shelving)할 것을 권고했다. 한 고위 사법기관 소식통에 따르면, 미국 관료들이 중요한 증거가 포함되어 있을지 모르는 주요 용의자와 관련된 컴퓨터들을 넘겨주지 않았다고 비판했다.

Detailed News List

  • Murder-Suicide
    • [AmericanInno]
      Cybersecurity Engineering Executive Found Dead in Apparent Murder-Suicide
  • US deinies
    • [FirstPost]
      US govt denies undermining an investigation into the massive data breach at Italian cybersecurityfirm Hacking Team

 

Vulnerability Patches/Software Updates

Summaries

  • 마이크로소프트(Microsoft)가 워드(Word)의 DDE(Dynamic Data Exchange) 기능을 비활성화 했다. 사이버 범죄자들이 동적 업데이트 교환 프로토콜을 악용하는 것을 방지하기 위해서 모든 버젼의 워드에서 해당 기능을 비활성화 했다. DDE 프로토콜은 윈도우즈 응용프로그램이 데이터를 서로간에 전송하는 목적으로 설계되었다. 오피스 응용프로그램간에 데이터를 교환하기 위해 공유메모리를 사용하며, DDE 프로토콜은 오피스에서 오브젝트 링크 및 임베딩(OLE, Object Linking and Embedding)을 대체해왔다.

Detailed News List

  • Microsoft disables Dynamic Data Exchange Protocol in Word
    • [SecurityWeek]
      Microsoft Disables Dynamic Update Exchange Protocol in Word

 

Privacy

Summaries

  • 멜번의 연구가들이 정부에게 익명화된(anonymised) 데이터 공개에 대해 경고했다. 멜번 대학교(Melbourne University)의 Chris Culnane, Benjamin Rubinsteinm, Vanessa Teague 박사의 결론에 따르면, 정부가 작년에 공개한 의료데이터를 사용해 개인을 재 식별(re-identified)해 낼 수 있었다.

Detailed News List

  • Anonymisation
    • [ZDNet]
      Re-identification possible with Australian de-identified Medicare and PBS open data
    • [TheRegister]
      No hack needed: anonymisation beaten with a dash of SQL

 

Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS

Summaries

  • 러시아의 송유관 제어 컴퓨터가 해킹되어 모네로(Monero) 암호화폐 채굴 작업에 동원되었다. 12월 15일 금요일에 러시아 당국이 밝힌 바에 따르면, 세계에서 제일 큰 국영 파이프라인 기업인 Transneft가 사이버 공격을 당했으며 컴퓨터들이 해킹되어 모네로를 채굴했다. Reuters에 따르면, 회사 대변인 Igor Demin은 Transneft의 컴퓨터들이 자동으로 모네로 채굴 코드를 웹에서 다운로드 했다. 제한된 정보만이 제공되어 이렇게 침해당한 장치들에서 얼마나 많은 코인이 생성되었는지는 알려지지 않았다. (17일에서 이어짐)
  • 새로운 트라이톤(Triton) 악성코드가 주요 사회기반시설(critical infrastructure)에 대한 공격을 준비하고 있는 것이 탐지되었다. 산업 제어 시스템(ICS, Industrial Control Systems)을 노리는 새로운 Triton 악성코드가 파이어아이(FireEye) 연구자들에 의해 발견되었다. 트라이톤(Triton)이라 명명된 이 악성코드는 이름이 알려지지 않은 주요 사회기반시설 기관(critical infrastructure organization)을 노린 공격에 사용되어왔다. 보안전문가들은 금전적인 동기가 부족한 점과 공격의 정교한 수준으로 보았을때, 국가가 배후에 있는(state-sponsored) 공격자가 사보타주를 목적으로 한 것으로 보고있다. 파이어아이는 아직까지 Triton 공격을 어떠한 APT 그룹과도 연관짓지 않았다. 보안 전문가들은, 그들이 탐지한 행위들이 작전의 정찰단계 일부(part of the reconnaissance phase)였을 것이라 추정하고 있다. Triton 악성코드는 Schneider Electric의 Triconex Safety Instrumented System(SIS) 컨트롤러를 공격 대상으로 만들어졌다. 이 제품들은 산업 환경에서 프로세스 상태를 모니터하고 잠재적으로 위험한 상황에서 안전하게 복구하거나 차단하기 위한 제품이다. (15일에서 이어짐)

Detailed News List

  • Russian Pipeline giant
    • [SecurityAffairs]
      The Russian pipeline giant Transneft infected with a Monero cryptocurrency miner
  • Triton
    • [TheInciderCarNews]
      Cyber security firm responds to ICS Attack framework dubbed Triton
    • [AutomationWorld]
      Cyber Attack Hits Safety System in Critical Infrastructure

 

Posted in Security, Security NewsTagged Crypto Currency, Cryptocurrency Mining, CVE-2017-5638, CVE-2017-9822, Cyber Espionage, DDE, FaceID, ICS, Industrial Control System, Lazarus, Malware, Patches, PRILEX, Privacy, Re-Identification, Triton Malware, Vulnerability, Zealot CampaignLeave a comment

Search

Recent Posts

  • Security Newsletters, 2021 May 2nd, Scripps Health 랜섬웨어 공격 外
  • Security Newsletters, 2018 Apr 3rd, 미 국방부 버그 바운티 대상 확장 外
  • Security Newsletters, 2018 Mar 31st, Microsoft Meltdown 긴급 패치 外
  • Security Newsletters, 2018 Mar 30th, MyFitnessPal 1억 5천만 계정 침해 外
  • Security Newsletters, 2018 Mar 29th, Kaspersky KLara 오픈소스 공개 外
  • Security Newsletters, 2018 Mar 28th, SSH서버 노리는 GoScanSSH 外
  • Security Newsletters, 2018 Mar 27th, 10억달러 규모 ATM 해커 체포 外

Categories

  • Diet (7)
  • Flaw (2)
  • Health (11)
  • Intermittent Fasting (1)
  • Meditation (2)
  • Mentality (5)
  • Nootropic (3)
  • Security (157)
  • Security News (155)

Archives

  • 2021년 5월 (1)
  • 2018년 4월 (1)
  • 2018년 3월 (24)
  • 2018년 2월 (24)
  • 2018년 1월 (30)
  • 2017년 12월 (31)
  • 2017년 11월 (30)
  • 2017년 10월 (26)
  • 2017년 9월 (4)

Meta

  • 로그인
  • 엔트리 피드
  • 댓글 피드
  • WordPress.org
Proudly powered by WordPress | Theme: micro, developed by DevriX.