Emby远程关闭部门遭到攻击的用户媒体服务器实例

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Emby远程关闭部门遭到攻击的用户媒体服务器实例

宣布时间 2023-05-29

1、Emby远程关闭部门遭到攻击的用户媒体服务器实例

据媒体5月26日报道，Emby远程关闭了部门遭到攻击的用户托管媒体服务器实例。攻击活动始于5月中旬，其时攻击者针对袒露的私人Emby服务器，并入侵那些配置为允许管理员在当地网络上无密码登录的服务器。为了获得访问权限，攻击者还利用了一个署理标头漏洞，该漏洞最近在测试版频道中被修复。攻击者安装了一个恶意插件来利用访问权限，在被熏染的Emby实例部署后门，该插件可收集用户凭据。Emby未透露被攻击服务期数量，但计划尽快宣布Emby Server 4.7.12宁静更新来解决该问题。

https://www.bleepingcomputer.com/news/security/emby-shuts-down-user-media-servers-hacked-in-recent-attack/

2、OneMain因网络宁静问题被纽约DFS�？�425万美元

据5月26日报道，OneMain Financial Group被纽约金融服务部(DFS)�？�425万美元。DFS在一份声明中体现，OneMain未能有效地管理第三方服务提供商的风险、管理访问权限以及使用正式的应用宁静开发要领，这大大增加了该公司面对网络宁静事件的脆弱性。例如，OneMain使用了其内部开发的非正规项目管理框架等。该公司体现，它早就解决了视察中发现的问题，此次视察所审查的是其2017年至2020年初的政策。

https://therecord.media/one-main-fined-ny-for-cybersecurity-lapses

3、研究团队称Magalenha行动攻击30多家葡萄牙金融机构

5月25日，SentinelLabs称其视察到名为Magalenha行动的攻击活动，自2021年以来一直针对30多家葡萄牙金融机构窃取信息。该活动可能与巴西的攻击团伙有关，始于混淆的VB脚本，可获取并执行恶意软件加载法式，并在五秒钟的延迟后，将后门PeepingTitle的两个变体加载到目标系统中。PeepingTitle是一个Delphi开发的恶意软件，编译日期为4月份。攻击者分发两个变体的原因是，一个用于捕捉屏幕，另一个用于监视窗口以及用户与这些变体的交互。

https://www.sentinelone.com/labs/operation-magalenha-long-running-campaign-pursues-portuguese-credentials-and-pii/

4、BlackByte声称对美国奥古斯塔市遭到的攻击卖力

5月26日报道，勒索团伙BlackByte声称对美国佐治亚州奥古斯塔市遭到的攻击卖力。该市在其网站上解释说，它从5月21日开始遇到技术困难，导致部门系统中断�；钩吻宓�，这起事件与之前发生的IT系统中断无关。BlackByte在其网站上称，已从奥古斯塔的计算机上窃取了大量数据，并果然了8.1 GB的样本数据作为证据。该团伙勒索40万美元来删除数据，并提出以30万美元的价格将数据出售给感兴趣的第三方。

https://securityaffairs.com/146717/hacking/city-of-augusta-cyberattack.html

5、Mandiant发现利用ICS协议攻击电网的COSMICENERGY

Mandiant在5月26日透露，其发现了新的恶意软件COSMICENERGY，利用ICS协议来破坏电网。它是由俄罗斯的攻击者于2021年12月上传到VirusTotal的，目前没有在野外被利用。Mandiant体现，这可能是俄罗斯电信公司Rostelecom-Solar开发的一种红队工具，用于模拟2021年10月的电力中断和应急响应演习。COSMICENERGY的功效可以与Industroyer相媲美，因为它能够利用工业通信协议IEC-104向RTU发出指令。利用这种访问权限，攻击者可以发送远程命令来影响电力线开关和断路器的启动，从而导致电力中断。

https://www.mandiant.com/resources/blog/cosmicenergy-ot-malware-russian-response

6、研究人员发现利用Win10写字板DLL劫持漏洞的QBot活动

媒体5月27日报道，研究人员发现新一轮QBot攻击活动。该活动利用了Windows 10写字板中的DLL劫持漏洞熏染计算机，并利用合法法式绕过宁静软件的检测。目标点击钓鱼邮件中的链接时，会下载一个随机命名的ZIP存档，其中包罗Win10写字板可执行文件document.exe和DLL文件edputil.dll。加载恶意版本的edputil.dll后，会从远程主机下载伪装成PNG的DLL，然后使用rundll32.exe执行此PNG。这时，QBot将在后台平静地运行。

https://www.bleepingcomputer.com/news/security/qbot-malware-abuses-windows-wordpad-exe-to-infect-devices/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究