每日安全简讯(20230528)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 研究人员披露针对30家葡萄牙银行凭证的“Magalenha行动”

自2021年以来，一个巴西黑客组织一直以30家葡萄牙政府和私人金融机构为目标，发起了一场名为“Magalenha行动”的恶意活动。目标主要包括ActivoBank、Caixa Geral de Depósitos、CaixaBank、Citibanamex、Santander、Millennium BCP、ING、Banco BPI和Novobanco。Sentinel Labs的一份报告揭露了该活动，重点介绍了威胁行为者使用的工具、各种感染媒介及其恶意软件分发方法。由于服务器配置错误暴露了文件、目录、内部通信等，分析师发现了有关威胁参与者来源和策略的详细信息。攻击者使用多种方法将其恶意软件分发到目标，包括假装来自Energias de Portugal(EDP)和葡萄牙税务和海关总署(AT)的网络钓鱼电子邮件、社交工程以及模仿这些组织的恶意网站。

https://www.bleepingcomputer.com/news/security/operation-magalenha-targets-credentials-of-30-portuguese-banks/

---

2 安全研究人员针对Intellexa开发的Android间谍软件进行详细分析

Cisco Talos和Citizen Lab的安全研究人员对商业Android间谍软件“Predator”及其加载程序“Alien”进行了一项新技术分析，分享了其数据窃取功能和其他操作细节。Predator是由以色列公司Intellexa开发和销售的用于移动平台（iOS和Android）的商业间谍软件。该间谍软件家族与针对记者、知名欧洲政客甚至Meta高管的监视行动有关。间谍软件可以记录电话、从消息应用程序收集信息，甚至隐藏应用程序并阻止它们在受感染的Android设备上执行。2022年5月， 谷歌TAG披露了五个Android零日漏洞，Predator间谍软件将这些漏洞链接起来执行shellcode，从而将Predator的加载程序“Alien”投放到目标设备上。

https://www.bleepingcomputer.com/news/security/predator-looking-under-the-hood-of-intellexas-android-spyware/

---

3 BlackByte勒索软件声称奥古斯塔市遭受网络攻击

美国佐治亚州奥古斯塔市已确认最近的IT系统中断是由于未经授权访问其网络造成的。政府尚未披露网络攻击的性质，但BlackByte勒索软件团伙已将奥古斯塔市公布为其受害者之一。奥古斯塔是佐治亚州仅次于亚特兰大的第二大城市，其都会区人口超过611000。该市在其在线门户网站上解释说，它从5月21日星期日开始“遇到技术困难”，导致部分计算机系统中断。公告澄清，这起事件与上周发生的IT系统中断无关。目前尚不清楚威胁行为者是否设法访问或窃取了任何敏感数据。

https://www.bleepingcomputer.com/news/security/blackbyte-ransomware-claims-city-of-augusta-cyberattack/

---

4 Zyxel警告防火墙和VPN设备存在严重漏洞

Zyxel警告客户其数款防火墙和VPN产品中存在两个严重漏洞，攻击者无需身份验证即可利用这些漏洞。这两个安全问题都是缓冲区溢出，并可能允许在易受攻击的设备上执行拒绝服务(DoS)和远程代码。“Zyxel已经发布了针对受多个缓冲区溢出漏洞影响的防火墙的补丁，”该供应商在一份安全公告中表示。“建议用户安装它们以获得最佳保护，”该公司补充道。缓冲区溢出问题允许内存操作，使攻击者能够在分配的部分之外写入数据。它们通常会导致系统崩溃，但在某些情况下，成功利用可以允许在设备上执行代码。供应商建议受影响产品的用户尽快应用最新的安全更新，以消除黑客利用这两个漏洞的风险。

https://www.bleepingcomputer.com/news/security/zyxel-warns-of-critical-vulnerabilities-in-firewall-and-vpn-devices/

---

5 D-Link修复了D-View 8软件中的身份验证绕过和RCE漏洞

D-Link已修复其D-View 8网络管理套件中的两个严重漏洞，该漏洞可能允许远程攻击者绕过身份验证并执行任意代码。D-View是由台湾网络解决方案供应商D-Link开发的网络管理套件，各种规模的企业都使用它来监控性能、控制设备配置、创建网络地图，并通常使网络管理和管理更高效、更省时消费。参与趋势科技零日计划(ZDI)的安全研究人员在去年年底发现了影响D-View的六个漏洞，并于2022年12月23日向供应商报告了这些漏洞。已发现的两个漏洞严重程度很高（CVSS 评分：9.8），未经身份验证的攻击者可以对受影响的安装进行强大的利用。

https://www.bleepingcomputer.com/news/security/d-link-fixes-auth-bypass-and-rce-flaws-in-d-view-8-software/

---

6 Emby关闭了在最近的攻击中被黑的用户媒体服务器

Emby 表示，它远程关闭了数量不详的用户托管媒体服务器实例，这些实例最近因利用先前已知的漏洞和不安全的管理员帐户配置而遭到黑客攻击。攻击始于2023年5月中旬，当时攻击者开始瞄准暴露在互联网上的私人Emby服务器，并渗透那些配置为允许管理员在本地网络上无密码登录的服务器。黑客通过安装一个恶意插件利用他们的访问权限为受感染的Emby实例设置后门，该插件收集所有登录被黑服务器的用户的凭据。正如Emby进一步解释的那样，关闭受影响的服务器是一项预防措施，旨在禁用恶意插件，并缓解情况的立即升级并引起管理员的注意以直接解决该问题。

https://www.bleepingcomputer.com/news/security/emby-shuts-down-user-media-servers-hacked-in-recent-attack/

---