维他命每日安全简讯（2023.05.29）

每日头条

1、Emby远程关闭部分遭到攻击的用户媒体服务器实例

据媒体5月26日报道，Emby远程关闭了部分遭到攻击的用户托管媒体服务器实例。攻击活动始于5月中旬，当时攻击者针对暴露的私人Emby服务器，并入侵那些配置为允许管理员在本地网络上无密码登录的服务器。为了获得访问权限，攻击者还利用了一个代理标头漏洞，该漏洞最近在测试版频道中被修复。攻击者安装了一个恶意插件来利用访问权限，在被感染的Emby实例部署后门，该插件可收集用户凭据。Emby未透露被攻击服务期数量，但计划尽快发布Emby Server 4.7.12安全更新来解决该问题。

https://www.bleepingcomputer.com/news/security/emby-shuts-down-user-media-servers-hacked-in-recent-attack/

2、OneMain因网络安全问题被纽约DFS罚款425万美元

据5月26日报道，OneMain Financial Group被纽约金融服务部(DFS)罚款425万美元。DFS在一份声明中表示，OneMain未能有效地管理第三方服务提供商的风险、管理访问权限以及使用正式的应用安全开发方法，这大大增加了该公司面对网络安全事件的脆弱性。例如，OneMain使用了其内部开发的非正规项目管理框架等。该公司表示，它早就解决了调查中发现的问题，此次调查所审查的是其2017年至2020年初的政策。

https://therecord.media/one-main-fined-ny-for-cybersecurity-lapses

3、研究团队称Magalenha行动攻击30多家葡萄牙金融机构

5月25日，SentinelLabs称其观察到名为Magalenha行动的攻击活动，自2021年以来一直针对30多家葡萄牙金融机构窃取信息。该活动可能与巴西的攻击团伙有关，始于混淆的VB脚本，可获取并执行恶意软件加载程序，并在五秒钟的延迟后，将后门PeepingTitle的两个变体加载到目标系统中。PeepingTitle是一个Delphi开发的恶意软件，编译日期为4月份。攻击者分发两个变体的原因是，一个用于捕获屏幕，另一个用于监视窗口以及用户与这些变体的交互。

https://www.sentinelone.com/labs/operation-magalenha-long-running-campaign-pursues-portuguese-credentials-and-pii/

4、BlackByte声称对美国奥古斯塔市遭到的攻击负责

5月26日报道，勒索团伙BlackByte声称对美国佐治亚州奥古斯塔市遭到的攻击负责。该市在其网站上解释说，它从5月21日开始遇到技术困难，导致部分系统中断。还澄清到，这起事件与之前发生的IT系统中断无关。BlackByte在其网站上称，已从奥古斯塔的计算机上窃取了大量数据，并公开了8.1 GB的样本数据作为证据。该团伙勒索40万美元来删除数据，并提出以30万美元的价格将数据出售给感兴趣的第三方。

https://securityaffairs.com/146717/hacking/city-of-augusta-cyberattack.html

5、Mandiant发现利用ICS协议攻击电网的COSMICENERGY

Mandiant在5月26日透露，其发现了新的恶意软件COSMICENERGY，利用ICS协议来破坏电网。它是由俄罗斯的攻击者于2021年12月上传到VirusTotal的，目前没有在野外被利用。Mandiant表示，这可能是俄罗斯电信公司Rostelecom-Solar开发的一种红队工具，用于模拟2021年10月的电力中断和应急响应演习。COSMICENERGY的功能可以与Industroyer相媲美，因为它能够利用工业通信协议IEC-104向RTU发出指令。利用这种访问权限，攻击者可以发送远程命令来影响电力线开关和断路器的启动，从而导致电力中断。

https://www.mandiant.com/resources/blog/cosmicenergy-ot-malware-russian-response

6、研究人员发现利用Win10写字板DLL劫持漏洞的QBot活动

媒体5月27日报道，研究人员发现新一轮QBot攻击活动。该活动利用了Windows 10写字板中的DLL劫持漏洞感染计算机，并利用合法程序绕过安全软件的检测。目标点击钓鱼邮件中的链接时，会下载一个随机命名的ZIP存档，其中包含Win10写字板可执行文件document.exe和DLL文件edputil.dll。加载恶意版本的edputil.dll后，会从远程主机下载伪装成PNG的DLL，然后使用rundll32.exe执行此PNG。这时，QBot将在后台安静地运行。

https://www.bleepingcomputer.com/news/security/qbot-malware-abuses-windows-wordpad-exe-to-infect-devices/

安全动态

微软：Windows问题导致文件复制和保存失败

https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-issue-causes-file-copying-saving-failures/

谷歌云平台(GCP) CloudSQL中导致数据泄露的漏洞

https://www.dig.security/post/gcp-cloudsql-vulnerability-leads-to-internal-container-access-and-data-exposure

攻击案例分析：从韩国VPN安装到MeshAgent感染

https://asec.ahnlab.com/en/53267/

Unit 42 IcedID的Wireshark测试

https://unit42.paloaltonetworks.com/wireshark-quiz-icedid/

GitLab漏洞CVE-2023-2825的PoC

https://github.com/Occamsec/CVE-2023-2825