据Cyber News消息，安全研究员杰里迈亚-福勒（Jeremiah Fowler）发现了一个基于云的现场服务管理平台 ServiceBridge 暴露了大规模数据，其中包含合同、工单、发票、建议书、协议、部分信用卡号，甚至还有可追溯到 2012 年的 HIPAA 同意书。 ServiceBridge为多项现场服务提供业务支持，如泳池服务、害虫防治、杂工等，是一个集 GPS 跟踪、工单、开票和付款的平台。 暴露的数据库信息 根据此次发现，暴露的数据库包含 31524107 个文件，总大小为 2.68TB，文档按年月以及 PDF 和 HTM 格式分类存放在文件夹中，其中涵盖美国、加拿大、英国和许多欧洲国家不同行业的公司，其历史可以追溯到 2012 年。 除了暴露了大量合同信息，一些文件也包括个人和组织信息，例如房东、学校、宗教机构、知名连锁餐厅、医疗服务提供者等。一些文件甚至包括可能对财产或个人构成潜在物理安全风险的大门密码或其他访问信息。 此截图为一个工作订单，其中列出了部分付款信息、所欠账户余额和客户的 PII 研究人员向ServiceBridge发送了一份披露通知后，暴露的数据库已经不可见，但目前尚不清楚该数据库被暴露了多长时间，以及是否被任何潜在的黑客访问。 研究人员警告称，暴露信息可能会被网络犯罪分子利用来进行鱼叉式网络钓鱼活动或其他欺诈活动。2022 年，由于发票和付款欺诈，美国企业平均每年损失了30万美元。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409656.html 封面来源于网络，如有侵权请联系删除

开源GPS跟踪系统Traccar近日曝出两个高危漏洞，可被黑客利用远程执行代码。在全球GPS跟踪市场中，Traccar因其灵活的开源架构和可定制化特点，深受企业和个人用户的青睐。它被广泛应用于物流运输、车队管理、资产跟踪、安全监控以及个人定位等多个领域。通过Traccar，用户可以实现对车辆位置的实时监控、历史轨迹回放、地理围栏设置等功能，从而提高运营效率和安全性。根据Horizon3.ai的研究员Naveen Sunkavally所述，披露的两个漏洞都是路径遍历（PathTraversal）漏洞，当启用访客注册功能（Traccar5的默认配置）时，漏洞就会被武器化利用。以下是这两个漏洞的简要描述： CVE-2024-24809（CVSS分数：8.5）-路径遍历漏洞，允许上传具有危险类型的文件，攻击路径为dir/../../filename。 CVE-2024-31214（CVSS分数：9.7）-设备图片上传功能中存在不受限制的文件上传漏洞，可能导致远程代码执行。 Sunkavally表示：“CVE-2024-31214和CVE-2024-24809的综合结果是，攻击者可将任意内容的文件放置到文件系统的任意位置。不过，攻击者只能部分控制文件名。” 这些问题与程序处理设备图片文件上传的方式有关，攻击者可以借此覆盖文件系统中的某些文件，从而触发代码执行。这些文件必须符合以下命名格式： device.ext：攻击者可以控制ext（扩展名），但必须存在扩展名。 blah”：攻击者可以控制blah，但文件名必须以双引号结尾。 blah1″;blah2=blah3：攻击者可以控制blah1、blah2和blah3，但必须包含双引号、分号序列和等号。 攻击场景与利用方式 在Horizon3.ai提出的概念验证（PoC）中，攻击者可以利用Content-Type头中的路径遍历漏洞来上传crontab文件，从而在攻击者主机上获取反向shell。然而，这种攻击方式无法在基于Debian或Ubuntu的Linux系统上运行，因为这些系统禁止crontab文件包含句号或双引号。另一种攻击方式是利用Traccar以root用户权限安装的特性，攻击者可以投放一个内核模块，或者配置一个udev规则，使其在每次触发硬件事件时执行任意命令。在易受攻击的Windows实例中，攻击者可以通过在C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp目录中放置一个名为device.lnk的快捷方式文件来实现远程代码执行。当目标用户登录Traccar主机时，该文件会被自动执行。 受影响版本及修复措施 Traccar版本5.1至5.12均受到CVE-2024-31214和CVE-2024-24809的影响。这些漏洞已在2024年4月发布的Traccar 6中得到修复，新版本默认关闭了自注册功能，从而减少了攻击面。 Sunkavally进一步解释道：“如果注册设置为true、readOnly为false且deviceReadonly为false，那么未经身份验证的攻击者可以利用这些漏洞。而这些正是Traccar 5的默认配置。” 总结 Traccar GPS是颇为流行的开源GPS跟踪系统，此次曝光的两个远程执行漏洞对设备和系统安全构成严重威胁。虽然这些漏洞已在Traccar 6中得到了修复，但对使用Traccar 5系列的用户来说，关闭自注册功能并更新至最新版本至关重要。确保这些配置安全，才能有效抵御潜在的网络攻击。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/TbvItWzI_KWWUzcsqBueUg 封面来源于网络，如有侵权请联系删除

在捷克共和国、匈牙利和格鲁吉亚的金融欺诈活动中，最近发现了一种复杂的移动网络钓鱼技术。这种网络钓鱼方法利用渐进式Web应用程序PWA，提供类似本机应用程序的体验，主要在Android和iOS设备上出现。 iOS和Android上的PWA网络钓鱼 这种新型的网络钓鱼技术之所以能够实施，是利用PWA的工作特性诱导用户下载并运行恶意软件，而无需用户明确允许第三方手机应用的安装。在iOS上，网络钓鱼网站冒充知名应用程序的登录页面，并指示受害者将PWA添加到他们的主屏幕。在登录页面建立之前，某个威胁通过修改PWA的清单文件，使得PWA能够独立运行，并且其行为与普通的移动应用相似。 PWA工作原理的简化图 在Android设备上，当用户在浏览器中确认了自定义的弹出窗口后，PWA会被安装。这会导致用户静默地安装Web Android包工具包（WebAPK）。WebAPK是一种特殊类型的APK，即标准的Android应用程序文件，可以被视为PWA的升级版本。这种升级是因为Chrome浏览器从PWA生成原生Android应用程序。 针对银行的金融欺诈活动 在2023年11月，ESET观察到针对几家捷克银行、匈牙利OTP银行和格鲁吉亚TBC银行的移动网络钓鱼活动，在这些活动中，攻击者使用了一种特定的技术，并且这种技术是与标准的网络钓鱼传递技术一起使用的。这些网络钓鱼活动使用了三种不同的URL传递机制：语音呼叫传送：自动呼叫警告用户过时的银行应用程序，并要求用户在数字键盘上选择一个选项。按下正确的按钮后，将通过短信发送网络钓鱼URL。短信发送：带有网络钓鱼链接的短信被莫名其妙地发送到捷克的电话号码。 恶意广告投放：在Instagram和Facebook等Meta平台上发布号召性用语的广告，例如为下载更新用户提供优惠。 PWA 网络钓鱼流 2024年3月，研究人员首次发现了控制网络钓鱼应用的C2服务器。服务器中的数据表明，3月之前可能并未运行。根据C2服务器和后端基础设施的分析，研究人员得出结论，至少有两个不同的威胁行动者在操作这些网络钓鱼活动。ESET目前已经通知了被这些网络钓鱼活动针对的银行。   转自E安全，原文链接：https://mp.weixin.qq.com/s/2v-zewR5qAfpiv_kAcldGg 封面来源于网络，如有侵权请联系删除

SafeBreach 安全研究员 Alon Leviev 发布了其Windows Downdate工具，该工具可用于Windows降级攻击，重新引入最新的 Windows 10、Windows 11 和 Windows Server 系统中的旧漏洞。 在这种攻击中，攻击者强迫最新的目标设备恢复到旧软件版本，从而重新引入可被利用来破坏系统的安全漏洞。 Windows Downdate 是一个基于 Python 的开源程序和预编译的 Windows 可执行文件，可以帮助降级 Windows 10、Windows 11 和 Windows Server 系统组件。 Leviev 分享了多个使用示例，允许将 Hyper-V 虚拟机管理程序降级至两年前的版本、Windows 内核、NTFS 驱动程序和过滤器管理器驱动程序（降级至其基本版本）以及其他 Windows 组件和以前应用的安全补丁。 SafeBreach 安全研究员 Alon Leviev解释说：“您可以使用它来接管 Windows 更新，以降级并暴露 DLL、驱动程序、NT 内核、安全内核、虚拟机管理程序、IUM 信任程序等中的过去漏洞。除了自定义降级之外，Windows Downdate 还提供了易于使用的恢复 CVE-2021-27090、CVE-2022-34709、CVE-2023-21768 和 PPLFault 补丁的使用示例，以及降级虚拟机管理程序、内核和绕过 VBS 的 UEFI 锁的示例。” 正如 Leviev 在 Black Hat 2024 上披露 Windows Downdate 降级攻击（利用CVE-2024-21302和CVE-2024-38202漏洞）时所说的那样，使用此工具是无法检测到的，因为它无法被端点检测和响应 (EDR) 解决方案阻止，并且 Windows 更新会不断报告目标系统是最新的（尽管已被降级）。 “我发现了多种禁用 Windows 基于虚拟化的安全性 (VBS) 的方法，包括其 Credential Guard 和 Hypervisor 保护的代码完整性 (HVCI) 等功能，即使在使用 UEFI 锁强制执行的情况下也是如此。据我所知，这是第一次在没有物理访问的情况下绕过 VBS 的 UEFI 锁。” Leviev 说。“结果，我能够让一台完全修补过的 Windows 机器受到过去数千个漏洞的攻击，将已修复的漏洞变成零日漏洞，并让世界上任何一台 Windows 机器上的‘完全修补’一词变得毫无意义。” 尽管微软于 8 月 7 日发布了安全更新 ( KB5041773 ) 来修复 CVE-2024-21302 Windows 安全内核模式权限提升漏洞，但该公司尚未针对 Windows 更新堆栈权限提升漏洞 CVE-2024-38202 提供补丁。 在安全更新发布之前，微软建议客户实施本月早些时候发布的安全公告中分享的建议，以帮助防止 Windows Downdate 降级攻击。 该问题的缓解措施包括配置“审计对象访问”设置来监控文件访问尝试、限制更新和恢复操作、使用访问控制列表来限制文件访问以及审计权限来识别利用此漏洞的尝试。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/va31Jea1GBsHGhhqIW3vcg 封面来源于网络，如有侵权请联系删除

过去两天，俄罗斯导弹和无人机袭击了乌克兰全国的关键基础设施，导致数百万乌克兰人的互联网中断。 根据互联网监控服务 NetBlocks 的数据，截至周二，乌克兰全国互联网连接率仍为正常水平的 71％。 乌克兰还因俄罗斯大规模空袭而实施紧急断电，包括基辅在内的一些城市停电、停水近12个小时。 周一，俄罗斯向乌克兰发射了 127 枚导弹和 109 架无人机——这是自三年前战争爆发以来规模最大、代价最高的袭击之一。据《福布斯》估计，此次袭击花费了俄罗斯高达 13 亿美元。 周二，俄罗斯向乌克兰目标发射了 10 枚导弹和 81 架无人机，这些目标大多是关键基础设施，包括水电站、能源设施和地下天然气储存设施。 由于乌克兰停电，移动运营商的基础设施已依赖于基站安装的电池和发电机。当基站不堪重负时，可能会影响部分用户的移动连接。 俄罗斯不断试图摧毁乌克兰的能源和互联网基础设施。今年 1 月早些时候，数十枚俄罗斯导弹击中基辅后，基辅的互联网连接“严重”中断。2022 年 10 月，俄罗斯导弹摧毁了乌克兰部分电信基础设施和能源设施，导致该国全国范围内的通信服务中断。 俄罗斯用户在访问互联网和其他数字服务时也经常遇到问题，这通常是由于乌克兰的物理和网络攻击造成的。 本周早些时候，NetBlocks报道称，在俄罗斯占领的克里米亚地区大规模停电的报道中，塞瓦斯托波尔市的互联网连接也中断了。俄罗斯地区领导层声称，此次事件是由于克里米亚能源配送网络紧急关闭所致，但也可能与乌克兰对克里米亚的袭击有关。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/_z_eu2eWF1cXStqmdQ-vew 封面来源于网络，如有侵权请联系删除

卡巴斯基安全研究人员发现，钉钉和微信等中国即时通讯应用的用户是苹果 macOS 版后门HZ RAT的目标。 卡巴斯基研究员 Sergey Puzan表示，这些文件“几乎完全复制了 Windows 版后门的功能，仅在于有效载荷有所不同，该载荷以来自攻击者服务器的 shell 脚本的形式接收” 。 HZ RAT于 2022 年 11 月首次由德国网络安全公司 DCSO 记录，该恶意软件通过自解压 zip 档案或恶意 RTF 文档进行分发，据推测是使用Royal Road RTF 武器化器构建的。 涉及 RTF 文档的攻击链旨在通过利用公式编辑器中存在多年的 Microsoft Office 漏洞 ( CVE-2017-11882 ) 来部署在受感染主机上执行的 Windows 版本的恶意软件。 另一方面，第二种分发方法伪装成合法软件（如 OpenVPN、PuTTYgen 或 EasyConnect）的安装程序，除了实际安装诱饵程序外，还执行负责启动 RAT 的 Visual Basic 脚本 (VBS)。 HZ RAT 的功能相当简单，它连接到命令和控制 (C2) 服务器以接收进一步的指令。这包括执行 PowerShell 命令和脚本、将任意文件写入系统、将文件上传到服务器以及发送心跳信息。 鉴于该工具的功能有限，人们怀疑该恶意软件主要用于凭证收集和系统侦察活动。 证据表明，早在 2020 年 6 月，该恶意软件的首次迭代就已在野外被发现。根据 DCSO 的说法，该活动本身被认为至少从 2020 年 10 月开始活跃。 卡巴斯基发现的最新样本于 2023 年 7 月上传到 VirusTotal，它冒充了 OpenVPN Connect（“OpenVPNConnect.pkg”），一旦启动，就会与后门中指定的 C2 服务器建立联系，运行与 Windows 版本类似的四个基本命令: 执行 shell     命令（例如系统信息、本地 IP 地址、已安装应用程序列表、来自钉钉、Google 密码管理器和微信的数据） 将文件写入磁盘 发送文件到 C2 服务器 检查受害者的可用性 它于 2023 年 7 月被上传到 VirusTotal，在研究时，与其他后门样本一样，没有被任何供应商检测到。安装程序采用合法“OpenVPN Connect”应用程序的包装器形式，而 MacOS 软件包目录 除了原始客户端外还包含两个文件：exe和 init。 Puzan 表示：“该恶意软件试图从微信获取受害者的微信 ID、电子邮件和电话号码。至于钉钉，攻击者对更详细的受害者数据感兴趣：用户所在组织和部门的名称、用户名、公司电子邮件地址和电话号码。” 获取微信数据 获取钉钉数据 对攻击基础设施的进一步分析显示，除位于美国和荷兰的两台 C2 服务器外，几乎所有 C2 服务器都位于中国。 除此之外，据说包含 macOS 安装包（“OpenVPNConnect.zip”）的 ZIP 存档是先前从一家名为 miHoYo 的中国视频游戏开发商的域中下载的，该开发商以《原神》和《崩坏》而闻名。 目前尚不清楚该文件是如何上传到相关域名（“vpn.mihoyo[.]com”）的，以及服务器是否在过去某个时间点受到攻击。该活动的范围也尚不确定，但经过这么多年，后门仍在使用，这一事实表明该活动取得了一定程度的成功。 Puzan 表示：“我们发现的 macOS 版本的 HZ Rat 表明，此前攻击背后的黑客仍然活跃。该恶意软件仅收集用户数据，但之后可能会被用来在受害者的网络中横向移动，一些样本中存在的私有 IP 地址就表明了这一点。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/PawbCmwf3DgTzKdrLV8phw 封面来源于网络，如有侵权请联系删除

Telegram创始人帕维尔·杜罗夫（Pavel Durov）在法国被捕。根据法国的法语新闻网站TF1的报道，杜罗夫在从阿塞拜疆飞往法国布尔歇机场并降落时，被法国航空运输局逮捕。关于被捕原因，法国国家反欺诈办公室（ONAF）对法国媒体的评论表明，主要是因为Telegram内容审核方面的不足、与执法机构合作有限，以及平台上存在恶意工具的问题。 Telegram在8月25日晚上8:17发布推文，对创始人帕维尔·杜罗夫被捕的事件做出了回应。公司强调了致力于遵守欧盟的法律，包括《数字服务法》，表示内容审核做法符合行业标准，并且正在不断进行改进。 Telegram 提到，杜罗夫经常在欧洲旅行，没有什么可隐瞒的。全球近10亿人依赖Telegram进行通信和获取重要信息。 公司不认同一种观点，即一个平台或其所有者应对用户所犯的滥用行为负责。Telegram希望当前的情况能够迅速得到解决，并重申与用户群体的团结一致。 据悉，杜罗夫被标记为 Fichier des Personnes Recherchées （FPR），这是一个法国罪犯和通缉犯数据库，由法国内政部管理，并被该国国家警察和其他执法机构使用。Telegram以其加密消息平台而闻名。但该应用程序也因成为儿童性虐待材料（CSAM）、计算机和智能手机恶意软件等恶意工具、被盗数据库和其他有害内容的避风港而受到批评。当局一直批评 Telegram 被恐怖分子使用且缺乏内容审核。 公开资料显示，帕维尔·杜罗夫（俄语：Павел Дуров，英语：Pavel Durov，1984年10月10日），出生于俄罗斯列宁格勒州今圣彼得堡市，社交网站VKontakte、Telegram的创始人，原Vkontakte首席执行官，个人财富已经超过2.5亿美元。 2013年杜罗夫辞去Vkontakte首席执行官一职后，与尼古莱·杜罗夫（Nikolai Durov）共同致力于Telegram的开发，任Telegram首席执行官一职。   转自E安全，原文链接：https://mp.weixin.qq.com/s/Zr80efnA6WsHcM8-c-yvRA 封面来源于网络，如有侵权请联系删除

一种名为 NGate 的新型 Android 恶意软件可以通过将近场通信 (NFC) 芯片读取的数据传递到攻击者的设备来窃取信用卡中的资金。 具体来说，NGate 使攻击者能够模拟受害者的卡并进行未经授权的付款或从 ATM 提取现金。 该活动自 2023 年 11 月起开始活跃，根据知名安全公司 ESET 最近的一份报告，捷克用户越来越多地因手机端安装恶意软件被窃取银行凭证，在某些情况下也被用于直接盗窃现金。 通过 NFC 芯片窃取卡数据 攻击始于恶意文本、带有预先录制的自动呼叫消息或恶意广告，以诱骗受害者在其设备上安装恶意应用。 这些网络应用程序被宣传为紧急安全更新，并使用目标银行的官方图标和登录界面来欺骗用户窃取客户访问凭据。 安装 WebAPK 的虚假 Play Store 页面 这些应用在安装时不需要任何权限。它们会利用运行中的网络浏览器的 API 来获取对设备硬件组件的必要访问权限。 一旦通过 WebAPK 完成网络钓鱼步骤，受害者就会被诱骗在第二个攻击阶段的后续步骤中安装 NGate。 安装后，该恶意软件会激活一个名为“ NFCGate ”的开源组件，该组件由大学研究人员为 NFC 测试和实验而开发。 该工具支持设备上的捕获、中继、重放和克隆功能，并且并不总是要求设备“root”才能工作。 NGate 使用该工具捕获靠近受感染设备的支付卡 NFC 数据，然后直接或通过服务器将其转发到攻击者的设备。 攻击者可能会将这些数据作为虚拟卡保存在其设备上，并在使用 NFC 提取现金的 ATM 上重播信号，或在销售点 (PoS) 系统上付款。 NFC数据中继过程 在一段视频演示中，ESET 的恶意软件研究员 Lukas Stefanko 还展示了如何使用 NGate 中的 NFCGate 组件来扫描和捕获钱包和背包中的卡数据。在这种情况下，商店中的攻击者可以通过服务器接收数据，并使用受害者的卡进行非接触式支付。 Stefanko 指出，该恶意软件还可用于克隆某些 NFC 门禁卡和令牌的唯一标识符，以进入限制区域。 获取卡密码 在大多数 ATM 机上提取现金都需要输入卡的 PIN 码，研究人员称 PIN 码是通过对受害者进行社会工程学而获得的。 完成 PWA/WebAPK 网络钓鱼步骤后，诈骗者会打电话给受害者，假装他们是银行职员，告知他们有影响他们的安全事件。然后，他们发送一条短信，其中包含一个下载 NGate 的链接，据称这是一个用于验证现有支付卡和 PIN 的应用程序。 一旦受害者使用自己的设备扫描卡并输入 PIN 码在恶意软件的网络钓鱼界面上进行“验证”，敏感信息就会被传递给攻击者，从而实现提款。 完整攻击概述 捷克警方已经在布拉格抓获了一名实施此类取款行为的网络犯罪分子，但随着这种手段越来越流行，它对 Android 用户构成了重大风险。 ESET 还强调了克隆区域访问标签、交通卡、身份证、会员卡和其他 NFC 技术的可能性，因此直接的金钱损失并不是唯一的糟糕情况。 如果您不经常使用 NFC，可以通过禁用设备的 NFC 芯片来降低风险。在 Android 上，前往“设置”>“已连接设备”>“连接偏好设置”>“NFC”，然后将开关切换至关闭位置。 如果您需要始终激活 NFC，请仔细检查所有应用程序权限并仅限制需要它的用户的访问；仅从机构的官方网页或 Google Play 安装银行应用程序，并确保您使用的应用程序不是 WebAPK。 谷歌发言人表示，Android 的默认恶意软件扫描程序 Google Play Protect 检测到了 NGate：“根据我们目前的检测，Google Play 上未发现任何包含此恶意软件的应用程序。Google Play Protect 会自动保护 Android 用户免受该恶意软件已知版本的侵害，该功能在安装有 Google Play 服务的 Android 设备上默认开启。Google Play Protect 可以警告用户或屏蔽已知有恶意行为的应用，即使这些应用来自 Play 以外的来源。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/fy6zidETEJ6DbYEWALpuzA 封面来源于网络，如有侵权请联系删除

研究人员警告称，Ecovacs 生产的吸尘和割草机器人可能会被黑客入侵并监视其主人，该公司将修复这一问题。 在最近的 Def Con 黑客大会上，安全研究人员 Dennis Giese 和 Braelynn解释说，攻击者可以利用Ecovacs 生产的扫地机器人和割草机器人的缺陷来监视其主人。 研究人员分析了以下设备：Ecovacs Deebot 900 系列、Ecovacs Deebot N8/T8、Ecovacs Deebot N9/T9、Ecovacs Deebot N10/T10、Ecovacs Deebot X1、Ecovacs Deebot T20、Ecovacs Deebot X2、Ecovacs Goat G1、Ecovacs Spybot Airbot Z1、Ecovacs Airbot AVA 和 Ecovacs Airbot ANDY。 专家们发现了一系列漏洞，这些漏洞可能允许攻击者通过蓝牙控制设备的摄像头和麦克风。专家指出，这些机器人没有灯光来指示它们的摄像头和麦克风是否打开。 “他们的安全措施真的非常非常非常糟糕。”吉斯告诉TechCrunch。 研究人员在 Ecovacs 机器人中发现的一个问题就是，450 英尺范围内的任何人都可以通过蓝牙控制该设备。一旦攻击者控制了该设备，他们就可以通过 Wi-Fi 连接远程访问机器人。然后，他们可以检索敏感数据，如 Wi-Fi 凭证、保存的房间地图，甚至可以访问摄像头和麦克风。 Giese 解释说，Ecovacs 割草机器人的蓝牙功能始终处于活动状态，而扫地机器人仅在开机后 20 分钟内启用蓝牙，并且每天在自动重启时启用一次，这使得它们更难被黑客入侵。虽然有些型号理论上在摄像头开启时每五分钟会播放一次音频警报，但黑客可以轻松删除此文件，从而使它们在不被发现的情况下运行。 两位研究人员还发现了 Ecovacs 设备的其他几个问题。他们发现，即使用户删除了账户，数据和身份验证令牌仍会保留在 Ecovacs 的云服务器上，这可能导致未经授权的人访问机器人吸尘器，并监视购买二手设备的个人。此外，割草机器人具有以明文形式存储在设备内的防盗 PIN，攻击者可以轻松获取和滥用它。此外，一旦 Ecovacs 机器人受到攻击，它就有可能被用来攻击附近的其他 Ecovacs 机器人。 最初，Ecovacs 发言人告诉 TechCrunch，公司不会解决研究人员发现的漏洞。 数周后，供应商宣布将解决该问题。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/QgzjNmP4D82ldFxiRyM3Vg 封面来源于网络，如有侵权请联系删除

Meta Platforms 周五成为继微软、谷歌和 OpenAI之后最新一家曝光伊朗APT组织活动的公司，据称该组织利用一组 WhatsApp 账户试图针对以色列、巴勒斯坦、伊朗、英国和美国的个人。 Meta 在公开的新闻稿件中说，该攻击群源自伊朗，“似乎主要针对政治和外交官员以及其他公众人物，其中包括一些与拜登总统和前总统特朗普政府有关的人士” 。 该社交媒体巨头将其归咎于一个被追踪为 APT42 的黑客组织，该组织也被称为 Charming Kitten、Damselfly、Mint Sandstorm（以前称为 Phosphorus）、TA453 和 Yellow Garuda。据评估，该组织与伊朗伊斯兰革命卫队 (IRGC) 有关联。 该组织以使用复杂的社会工程诱饵而闻名，他们利用恶意软件对目标进行鱼叉式网络钓鱼并窃取其凭据。本周早些时候，Proofpoint透露，该组织瞄准了一位著名的犹太人物，并用名为 AnvilEcho 的恶意软件感染他们的机器。 Meta 称，这一“小群” WhatsApp 账户伪装成 AOL、谷歌、雅虎和微软的技术支持，但据信这些努力并未成功，这些账户现已被封禁。 “我们没有看到他们的账户被盗的证据。”Facebook、Instagram 和 WhatsApp 的母公司表示。“我们鼓励向我们举报的人采取措施，确保他们的在线账户在互联网上是安全的。” 目前，美国政府正式指责伊朗试图通过扩大宣传和收集政治情报来破坏美国大选、煽动美国公众的分裂观点并削弱人们对选举过程的信心。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/acoqh4IZs3InRqM9BLvhyg 封面来源于网络，如有侵权请联系删除