首頁 > 安全研究 > 安全通報 > 安全簡訊

Emby遠程關閉部分遭到攻擊的用戶媒體服務器實例

發布時間 2023-05-29

1、Emby遠程關閉部分遭到攻擊的用戶媒體服務器實例


據媒體5月26日報道,Emby遠程關閉了部分遭到攻擊的用戶托管媒體服務器實例。攻擊活動始于5月中旬,當時攻擊者針對暴露的私人Emby服務器,并入侵那些配置為允許管理員在本地網絡上無密碼登錄的服務器。為了獲得訪問權限,攻擊者還利用了一個代理標頭漏洞,該漏洞最近在測試版頻道中被修復。攻擊者安裝了一個惡意插件來利用訪問權限,在被感染的Emby實例部署后門,該插件可收集用戶憑據。Emby未透露被攻擊服務期數量,但計劃盡快發布Emby Server 4.7.12安全更新來解決該問題。


https://www.bleepingcomputer.com/news/security/emby-shuts-down-user-media-servers-hacked-in-recent-attack/


2、OneMain因網絡安全問題被紐約DFS罰款425萬美元


據5月26日報道,OneMain Financial Group被紐約金融服務部(DFS)罰款425萬美元。DFS在一份聲明中表示,OneMain未能有效地管理第三方服務提供商的風險、管理訪問權限以及使用正式的應用安全開發方法,這大大增加了該公司面對網絡安全事件的脆弱性。例如,OneMain使用了其內部開發的非正規項目管理框架等。該公司表示,它早就解決了調查中發現的問題,此次調查所審查的是其2017年至2020年初的政策。


https://therecord.media/one-main-fined-ny-for-cybersecurity-lapses


3、研究團隊稱Magalenha行動攻擊30多家葡萄牙金融機構


5月25日,SentinelLabs稱其觀察到名為Magalenha行動的攻擊活動,自2021年以來一直針對30多家葡萄牙金融機構竊取信息。該活動可能與巴西的攻擊團伙有關,始于混淆的VB腳本,可獲取并執行惡意軟件加載程序,并在五秒鐘的延遲后,將后門PeepingTitle的兩個變體加載到目標系統中。PeepingTitle是一個Delphi開發的惡意軟件,編譯日期為4月份。攻擊者分發兩個變體的原因是,一個用于捕獲屏幕,另一個用于監視窗口以及用戶與這些變體的交互。


https://www.sentinelone.com/labs/operation-magalenha-long-running-campaign-pursues-portuguese-credentials-and-pii/


4、BlackByte聲稱對美國奧古斯塔市遭到的攻擊負責


5月26日報道,勒索團伙BlackByte聲稱對美國佐治亞州奧古斯塔市遭到的攻擊負責。該市在其網站上解釋說,它從5月21日開始遇到技術困難,導致部分系統中斷。還澄清到,這起事件與之前發生的IT系統中斷無關。BlackByte在其網站上稱,已從奧古斯塔的計算機上竊取了大量數據,并公開了8.1 GB的樣本數據作為證據。該團伙勒索40萬美元來刪除數據,并提出以30萬美元的價格將數據出售給感興趣的第三方。


https://securityaffairs.com/146717/hacking/city-of-augusta-cyberattack.html


5、Mandiant發現利用ICS協議攻擊電網的COSMICENERGY


Mandiant在5月26日透露,其發現了新的惡意軟件COSMICENERGY,利用ICS協議來破壞電網。它是由俄羅斯的攻擊者于2021年12月上傳到VirusTotal的,目前沒有在野外被利用。Mandiant表示,這可能是俄羅斯電信公司Rostelecom-Solar開發的一種紅隊工具,用于模擬2021年10月的電力中斷和應急響應演習。COSMICENERGY的功能可以與Industroyer相媲美,因為它能夠利用工業通信協議IEC-104向RTU發出指令。利用這種訪問權限,攻擊者可以發送遠程命令來影響電力線開關和斷路器的啟動,從而導致電力中斷。


https://www.mandiant.com/resources/blog/cosmicenergy-ot-malware-russian-response


6、研究人員發現利用Win10寫字板DLL劫持漏洞的QBot活動 


媒體5月27日報道,研究人員發現新一輪QBot攻擊活動。該活動利用了Windows 10寫字板中的DLL劫持漏洞感染計算機,并利用合法程序繞過安全軟件的檢測。目標點擊釣魚郵件中的鏈接時,會下載一個隨機命名的ZIP存檔,其中包含Win10寫字板可執行文件document.exe和DLL文件edputil.dll。加載惡意版本的edputil.dll后,會從遠程主機下載偽裝成PNG的DLL,然后使用rundll32.exe執行此PNG。這時,QBot將在后臺安靜地運行。  


https://www.bleepingcomputer.com/news/security/qbot-malware-abuses-windows-wordpad-exe-to-infect-devices/

上一篇 下一篇