【安全头条】e勒索软件将其Linux VMware ESXi加密器移植到Rust

1、 Hive勒索软件将其Linux VMware ESXi加密器移植到Rust

Hive勒索软件操作已将其VMware ESXi Linux加密程序转换为Rust编程语言，并添加了新功能，使安全研究人员更难窥探受害者的勒索谈判。

随着企业越来越依赖虚拟机来节省计算机资源、整合服务器，以及更方便地备份，勒索软件团伙正在创建专注于这些服务的专用加密机。Ransomware gang的Linux加密机通常针对VMware ESXI虚拟化平台，因为它们是企业中最常用的平台。虽然Hive已经使用Linux加密机瞄准VMware ESXi服务器一段时间了，但最近的一个示例显示，他们使用BlackCat/ALPHV勒索软件操作首次引入的功能更新了加密机。

Hive借鉴了BlackCat的功能当勒索软件攻击受害者时，他们试图私下进行谈判，告诉受害者如果没有支付赎金，他们的数据将被公布，他们的声誉将受到打击。[点击“阅读原文”查看详情]

2、 本田漏洞

让黑客解锁

并通过重放攻击启动你的汽车

研究人员披露了一个影响部分本田和Acura车型的“重放攻击”漏洞，该漏洞允许附近的黑客解锁你的汽车，甚至在短距离内启动引擎。攻击包括一名威胁参与者捕获从遥控钥匙发送到汽车的射频信号，并重新发送这些信号，以控制汽车的遥控门锁系统。据研究人员称，在旧模型中，这种脆弱性在很大程度上尚未修复。但本田车主可能会采取一些行动来保护自己免受这次袭击。

本周，多名研究人员披露了一个漏洞，附近的攻击者可以利用该漏洞解锁一些本田和Acura车型，并无线启动发动机。该漏洞被追踪为CVE-2022-27254，是一种中间人（MitM）攻击，或者更具体地说是一种重放攻击，在这种攻击中，攻击者拦截通常从遥控钥匙发射器发送到汽车的射频信号，操纵这些信号，并在稍后重新发送这些信号，以便随意解锁汽车。[点击“阅读原文”查看详情]

3、 严重 Sophos 防火墙

漏洞允许远程执行代码

Sophos修复了Sophos防火墙产品中允许远程代码执行（RCE）的一个关键漏洞。追踪为CVE-2022-1040，Sophos Firewall的用户门户和网站管理区域中存在绕过身份验证的漏洞。

该漏洞为CVE-2022-1040分配了9.8分的CVSS分数，使能够访问防火墙用户门户或Webadmin界面的远程攻击者能够绕过身份验证并执行任意代码。该漏洞由一名未具名的外部安全研究员通过公司的漏洞赏金计划向Sophos报告。为了解决这一缺陷，Sophos发布了修补程序，默认情况下，这些修补程序会自动到达大多数实例。

Sophos技术支持网站解释了如何启用自动修补程序安装，以及如何验证CVE-2022-1040的修补程序是否成功送达您的产品。一旦启用自动修补程序安装，Sophos Firewall会每30分钟检查一次修补程序，并在重新启动后进行检查。 [点击“阅读原文”查看详情]

4、 启用WhatsApp，

Signal，iMessage

网络钓鱼的URL渲染技巧

在过去三年里，一种影响世界领先的消息和电子邮件平台（包括Instagram、iMessage、WhatsApp、Signal和Facebook Messenger）的渲染技术允许威胁参与者创建看起来合法的钓鱼消息。这些漏洞正在呈现错误，导致应用程序界面错误地显示带有注入RTLO（从右到左覆盖）Unicode控制字符的URL，从而使用户容易受到URI攻击。在字符串中插入RTLO字符时，会导致浏览器或消息传递应用程序从右到左显示字符串，而不是从左到右的正常方向。该字符主要用于显示阿拉伯语或希伯来语信息。

该漏洞是一个单行程序，滥用iOS和Android对gTLDs的信任，并支持显示双向文本，只需在两个有效URL之间添加一个控制字符“\u202E”。例如，发布的PoC滥用了谷歌。com的伪装和可点击的URL和设置位。ly/3ixIRwm作为目的地。在注入的RTLO控制字符之后，URL由于处理为“右向左”语言（阿拉伯语、希伯来语等）而被颠倒，因此当注册目的地域时，威胁演员必须考虑。例如，使用特制的“gepj”。xyz的URL将显示为无害的JPEG图像文件“zyx”。[点击“阅读原文”查看详情]

5、Okta：

”我们犯了一个错误”

延迟了对Lapsus$黑客攻击的披露

Okta已经承认，推迟披露1月份发生的Lapsus$数据勒索组织的黑客攻击是一个错误。

此外，该公司还提供了事件及其调查活动的详细时间表。Lapsus$数据勒索组织的黑客攻击源于俄克拉荷马州奥克塔州第三方客户支持服务提供商Sitel。Okta解释说：“2022年1月20日，Okta安全团队收到警报，一个新的因素被添加到了Sitel客户支持工程师的Okta帐户。这个因素是一个密码。”。“尽管这一个人的尝试没有成功，但出于谨慎，我们重新设置了帐户并通知了Sitel”，后者进一步聘请了一家领先的法医公司进行调查。

Okta声称，今年1月，它不知道事件的严重程度，该公司认为，事件仅限于针对Sitel支持工程师的一次不成功的账户收购尝试。Sitel聘请了一家法医公司对事件进行调查，并准备了一份报告，这进一步向Okta提供了保证，当时该事件无需进一步升级。然而，后来很明显，奥克塔2.5%的客户——确切地说是366名客户——确实受到了事件的影响。[点击“阅读原文”查看详情]