Caution
This post is a meta-newsletters that contains links and texts that have been collected approximately for a day from various sources. The titles of news were not provided from original sources, but translated by the writer of this post. So, there could be mis-translation or duplication. I respect the copyright of every articles and their policies. so I am trying to keep it. (of course, and mainly, it’s too much to translate by myself). Accordingly, this post doesn’t have quotation nor the body of article, if any, contact me and it will be removed.
- 아래 뉴스 기사 링크들은 다양한 출처로부터 약 1일간 수집된 IT보안 관련 뉴스입니다.
- 뉴스 기사의 분류는 정리 과정에서 임의로 이루어진 것입니다.
- 한글 제목역시 원 게시자가 아닌 정보 취합 및 분류 과정에서 작성된 것입니다.
- 번역된 한글 제목에 오역이 있을 수 있습니다.
- 여러 매체에서 동일 사건을 다루면서 중복된 내용이 존재할 수 있습니다.
- 분량 및 저작권 관계로 본문을 그대로 포함하거나, 본문 전체를 번역하지 않았습니다.
- 보다 정확한 내용은 상세 뉴스목록에 포함된 원본기사 링크를 참고하시고, 최소 둘 이상의 기사를 교차확인 하세요.
Newsletters
Cyber Espionage/Cyber Operations/Cyber Threats/Threat Actors
Summaries
- Turla로 명명된 APT그룹과 관련된 것으로 추정되는 Neuron과 Nautilus 악성코드 변종이 침해당한 네트워크에 침입해 스파이행위를 몰래 수행하는 기능을 업데이트 했다. Neuron과 Nautilus는 정기적으로 정부, 군사, 기술, 에너지, 기타 기업들을 포함한 다양한 목표들을 대상으로 사이버 스파이 행위를 수행하는 악성코드다. 작년 한 해동안 이 그룹은 특히 대사관 및 영사관을 포함한 외교 관련 대상들을 목표로 삼은 것으로 드러났다.
- 사이버 스파이 캠페인이 악성코드에 감염된 메시징 앱을 사용해 20개국 이상에서 정치적 활동가(activists), 군인, 변호사, 언론인, 그리고 기타 개인들의 스마트폰 데이터를 훔쳐왔다는 리포트가 공개되었다. 이 캠페인은 전 세계의 다중 플랫폼을 노린 공격이다. Dark Caracal이라 명명된 이 APT(Advenced Persistent Threat) 캠페인은 개인정보 및 지적재산등을 포함한 수백기가바이트의 데이터를 21개 이상의 국가들과 수천의 피해자들로부터 훔쳤다고 리포트에서 공개되었다. Dark Caracal은 90개의 침해지표(IOC, Indicator of Compromise)와 연관되는 다중 플랫폼 공격이다. 리포트에 포함된 IOC 90개 중 26개는 데스크톱 악성코드 침해지표이며, 11개의 안드로이드 악성코드 IOC, 60개의 도메인/IP 기반 IOC다. (19일에서 이어짐)
Detailed News list
- Turla updates malwares against UK
- Dark Caracal
Malwares
Summaries
- Zyklon이라는 HTTP 악성코드를 유포하는 스팸 캠페인이 벌어지고 있다. 이 악성코드는 Microsoft Office 취약점 세개를 공격한다. 이 공격은 통신, 보험, 금융 서비스 기관을 대상으로 벌어지고 있다. 이 공격을 탐지해낸 FireEye 연구원들에 따르면, 공격자들은 비밀번호 및 암호화폐 지갑 정보를 수집하는 중이다. 공격은 여러종류의 DOC 파일을 포함한 악성 ZIP 첨부파일로 시작된다. 이 파일은 최종적으로 세 개의 Microsoft Office 취약점을 공격한다. 각각의 취약점은 CVE-2017-8759, CVE-2017-11882, 세번째는 Dynamic Data Exchange(DDE) 기능이다. (18일에서 이어짐)
- 새로운 샘샘(SamSam) 랜섬웨어 캠페인의 피해 병원에서 5만 5천달러의 몸값을 지불했다. SamSam 랜섬웨어는 2015년에 탐지된 오래된 악성코드이지만 최근까지도 피해는 이어지고 있다. SamSam 랜섬웨어 피해대상 중에는 MedStar라는 발티모어와 워싱턴 지역의 10개의 병원을 관리하는 비영리 그룹이 있는데, 이 공격의 배후는 MedStar에 암호화된 자료 복구 비용으로 45비트코인을 요구하기도 했다. 이 악성코드는 최근의 여러 병원들의 침해에 사용되었고, 그중 하나인 Hancock Health hospital에서는 55,000달러의 몸값을 지불하기로 결정했다. (22일에서 이어짐)
- Dridex 뱅킹 트로이의 새로운 변종이 FTP 서버를 이용해 확산중이다. 공격자는 침해당한 FTP사이트를 사용해 악성문서를 호스팅한다. 이번에 탐지된 피싱 캠페인은 이번주 초 발생해 약 7시간정도 지속되었다. 이 공격의 주 공격 목표는 프랑스, 영국, 호주 사용자들이었다. 이 피싱 캠페인에 사용된 이메일은 악성 파일을 호스팅하는 FTP 서버로의 링크를 포함하고 있었다. 이 FTP 링크들은 DOC나 XLS 파일을 다운로드하게 되어있고, 악성 DOC 파일이 열리면 마이크로소프트 오피스의 DDE(Dynamic Data Exchange) 기능을 사용해 Dridex payload를 다운로드 받게 된다. XLS 파일은 Dridex를 다운로드하는 매크로가 포함되어 있다. (20일에서 이어짐)
- ARC CPU기반의 장치들을 노리는 새로운 사토리(Satori) 봇넷에 대한 기사가 이어졌다. ARC CPU는 IoT 장치에 사용되어 1년에 10억개 이상의 장비가 생산되고있어 IoT 봇넷 감염에 있어 큰 변화가 있을 것이란 예측이다. (15일에서 이어짐)
Detailed News List
- Zyklon
- [InformationSecurityBuzz]
Zyklon Targets Msoft With Backdoor Malware To Steal Data, Launch DDoS Attacks
- [InformationSecurityBuzz]
- SamSam
- Dridex
- [BankInfoSecurity]
Dridex Banking Trojan Phishing Campaign Ties to Necurs - [TheRegister]
Dridex redux, with FTP serving the nasties
- [BankInfoSecurity]
- Satori Botnet
Exploits/Vulnerabilities
Summaries
- 우버에서 Two-factor 인증을 무용지물로 만들수 있는 버그를 무시했다는 기사가 나왔다. ZDNet의 보도에 따르면, 우버는 공격자가 사용자 계정에 Two-factor 인증을 우회해 침입할 수 있는 취약점을 “특별히 심각하지 않다”는 이유로 무시했다. 우버는 2015년에 Two-factor 인증을 시스템 내에서 테스트하기 시작했다. 뉴델리(New Delhi)의 보안 연구가 Karan Saini가 이 Two-factor 인증을 우회할 수 있는 버그를 찾아 우버의 버그바운티 관리 업체인 HackerOne에 제보했다. 그러나 이 리포트는 즉각 거절당했고, ‘정보’로 분류되었다. 여기서 ‘정보’란 유용한 정보가 포함되어 있으나, 즉각적인 조치나 수정이 필요하지 않다는 의미다. (22일에서 이어짐)
- Meltdown/Spectre와 이에대한 패치, 그리고 패치에 의한 성능 문제에 대한 기사가 계속해서 이어지고 있다.
Detailed News List
- Uber
- Meltdown/Spectre
- [SecurityWeek]
Intel Halts Spectre, Meltdown CPU Patches Over Unstable Code - [DarkReading]
Intel Says to Stop Applying Problematic Spectre, Meltdown Patch - [TheRegister]
‘WHAT THE F*CK IS GOING ON?’ Linus Torvalds explodes at Intel spinning Spectre fix as a security feature - [CyberScoop]
Intel tells customers to skip buggy patches for Spectre and Meltdown - [ZDNet]
Spectre and Meltdown: Linux creator Linus Torvalds criticises Intel’s ‘garbage’ patches - [SecurityWeek]
Red Hat Pulls Spectre Patches Due to Instability - [TheRegister]
Meltdown/Spectre week three: World still knee-deep in something nasty
- [SecurityWeek]
Legislation/Politics/Policies/Regulations/Law Enforcement/Trials
Summaries
- Skype, Google, Pokemon Go를 대상으로 분산서비스거부(DDoS) 공격을 실행했던 남성이 징역형을 선고받았다. 21세의 영국 남성인 Alex Bessell이 구글, 스카이프, 닌텐도의 유명 비디오게임인 포켓몬 고 등의 서비스에 장애를 일으키려한 100회 이상의 컴퓨터 범죄에 대해 시인한 후, 2년의 징역형을 선고받았다. Alex Bessell은 무단으로 컴퓨터에 접근하고, 운영을 방해하고, 악성코드를 제작 및 유포, 돈세탁에 관여한 혐의에 대해 유죄를 인정했다.
Detailed News List
- DDoS
Privacy
Summaries
- 안드로이드의 소닉(Sonic) 게임 앱이 데이터를 유출하고 있다는 기사가 나왔다. 세가(Sega)는 이러한 주장에 대해 조사중이라 밝혔다. 보안 기업인 Pradeo에서 지난주에 안드로이드 게임 Sonic Dash, Sonic the Hedgehog Classic, Sonic Dash 2: Sonic Boom앱이 사용자의 위치 데이터 및 장치 정보를 유출한다고 밝혔다. 구글 플레이스토어 에서 제공하는 다운로드 수치정보로 봤을 때, 대략 1억 200만명 에서 6억명의 사용자에 영향이 있을 것으로 보인다.
Detailed News List
- Sonic games
Data Breaches/Info Leakages
Summaries
- 데이터 침해사고로 거의 절반에 이르는 노르웨이 시민들의 헬스케어 데이터가 유출되었다. 신원이 알려지지 않은 해커 혹은 해커 그룹이 Health South-East Regional Health Authority(RHF)의 시스템에 침입해 290만 명의 개인정보 및 의료기록을 훔쳤다. 전체 인구 520만명 가운데 290만명의 정보가 유출되었다. Health South-East RHA는 노르웨이의 남동지역에 위치한 병원들을 관리하는 헬스케어 기관이다.
- 유명 해킹그룹 Crackas with Attitude(CWA)의 리더가 15세 학생으로 밝혀졌다. CWA는 미국의 국가정보국장(Director of National Intelligence) 제임스 클래퍼(James Clapper)의 버라이즌 My FiOS 계정과, CIA 국장 존 브레넌(John Brennan)의 AOL의 계정, 오바마의 수석 고문(senior advisor) 존 홀드렌(John Holdren)과 FBI 부국장(Deputy director) 마크 줄리아노(Mark Giuliano)의 이메일 계정을 해킹했던 해커들이다. 이 해킹그룹은 JABS(Joint Automated Booking System)이라는 연방정부의 사법기관들의 체포 기록들을 관리하는 비밀 포털을 침해하기도 했다. 2016년 9월, FBI는 두명의 CWA 해커 Otto Boggs와 Justin Gray Liverman을 체포한바 있다. 이번에는 이 그룹의 창시자인 15세의 Kane Gamble이 Leicester Crown 법정에 화요일에 출두해, 갬블이 어떻게 CIA 국장인 존 브레넌으로 위장했으며 브레넌 부인의 iPad를 해킹하고 군사 및 전략 문서에 접근할 수 있었는지가 드러났다. 게다가 갬블은 브레넌으로 위장해 이라크와 아프가니스탄에서의 첩보작전에 관련된 비밀 데이터를 손에 넣었으며, 거기에는 개인정보 및 연락책 목록, 보안 디테일, 비밀번호도 포함되어 있었다. (21일에서 이어짐)
- 스마트폰 제조사 원플러스(OnePlus)가 고객 신용카드 정보가 침해당한 사실을 인정했다. 원플러스 공식사이트에서 기기를 구매한 4만여명의 고객들의 신용카드 정보가 유출되었다. (22일에서 이어짐)
Detailed News List
- Norway Citizen Healthcare Data
- [EHackingNet]
Nearly Half Million Norway’s Citizen Healthcare Data Exposed in a Breach - [InfoSecurityMagazine]
Half of Norway’s Population May Have Been Breached - [InformationSecurityBuzz]
2.9 Million Norwegians Healthcare Data Allegedly Breached - [TheHackerNews]
Nearly Half of the Norway Population Exposed in HealthCare Data Breach
- [EHackingNet]
- Crackas With Attitude
- [HelpNetSecurity]
British teenager hacked top ranking US officials using social engineering - [SecurityWeek]
UK Teen Gained Access to CIA Chief’s Accounts: Court
- [HelpNetSecurity]
- OnePlus
- [SecurityWeek]
40,000 Potentially Impacted in OnePlus Payment System Hack - [WeLiveSecurity]
Up to 40,000 OnePlus customers potentially hit by credit card hack
- [SecurityWeek]
Industrial/Infrastructure/Physical System/HVAC/SCADA/HMI/ICS
Summaries
- 산업제어시스템(ICS, Industrial control systems) 환경에서의 PC나 서버에서 소프트웨어를 동작시키기 위해 사용하는 라이센스 관리 소프트웨어(license management software)에서 여러 심각한 취약점들이 발견되었다. 카스퍼스키랩의 ICS CERT 연구자들에 따르면, Hardware Against Software Piracy(HASP)라는 라이센스 관리 시스템에서 발견된 14개의 취약점은 라이센스 관리용 USB 토큰이 사이버 공격의 원격 접근 채널로 사용될 수 있다는 의미다. 발견된 취약점에는 다수의 서비스거부(DoS, Denial of service) 취약점과 여러 원격 코드 실행(Remote code execution) 취약점들이 포함된다.
- 해커가 고객을 속이기 위해서 주유기(gas pump)를 감염시키는 사건이 일어났다. 러시아 당국이 주유소에서 주유기에 소프트웨어 프로그램을 이용해 실제 주유한 양 보다 더 많이 돈을 지불하게 하여 고객들 속이는 사기행위들을 적발했다. 토요일에 러시아의 FSB(Federal Security Service)가 해커 Denis Zayev를 체포했다. 주유소 고객들을 속이는 여러 프로그램들을 만든 혐의다. (22일에서 이어짐)
Detailed News List
- ICS
- [InfoSecurityMagazine]
14 Flaws in Popular Software Are Putting ICS at Risk
- [InfoSecurityMagazine]
- Gas Station in Russia