每日安全简讯(20240210)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1  研究人员分析HijackLoader恶意软件最新的规避方法

HijackLoader 是一种越来越受攻击者欢迎的用于部署额外有效负载和工具的工具，随着开发人员不断试验和增强其功能，它不断发展。 在对最近的 HijackLoader 样本的分析中，研究人员发现了旨在提高加载程序的防御规避能力的新技术。恶意软件开发人员使用了标准的进程空洞技术，并结合了由父进程写入管道而激活的附加触发器。这种新方法有可能使防御规避更加隐蔽。 HijackLoader于 2023 年 9 月首次被记录为被用作交付 DanaBot、SystemBC 和 RedLine Stealer 的渠道。众所周知，它与另一个称为 IDAT Loader 的加载器具有高度相似性。

https://www.crowdstrike.com/blog/hijackloader-expands-techniques/

---

2 研究人员发现一种新的恶意软件Coyote攻击61家巴西银行

研究人员发现一种新的银行木马Coyote，该恶意软件专门针对 60 多家银行机构的用户，其中主要来自巴西。引起我们注意的是该木马利用各种先进技术的复杂感染链，使其与已知的银行木马感染区分开来。该恶意软件利用 Squirrel 安装程序进行分发，利用 Node.js 和一种名为 Nim 的相对较新的多平台编程语言作为加载程序来完成感染。另一个值得注意的变化是从 Delphi（在针对拉丁美洲的银行恶意软件家族中普遍存在）转向Nim等不常见的编程语言。

https://securelist.com/coyote-multi-stage-banking-trojan/111846/

---

3 现代汽车欧洲公司遭受Black Basta勒索软件攻击

汽车制造商现代汽车欧洲公司遭受 Black Basta 勒索软件攻击，威胁者声称窃取了 3 TB 的公司数据。现代汽车欧洲公司是现代汽车公司的欧洲分部，总部位于德国。该公司表示：“现代汽车欧洲公司正在调查一起未经授权的第三方访问现代汽车欧洲公司网络的有限部分的案件。”但没有具体说明他们遭受了何种类型的攻击。Black Basta勒索软件团伙于2022年4月发起行动  ，并迅速发起一系列双重勒索攻击。到 2022 年 6 月，Black Basta 已 与 QBot 恶意软件运营商 (QakBot) 合作，Black Basta 被认为是 臭名昭著的 Conti 勒索软件行动的一个分支，该行动由 Conti 的一位 前任领导人运营。

https://www.bleepingcomputer.com/news/security/hyundai-motor-europe-hit-by-black-basta-ransomware-attack/

---

4 CISA将Google Chromium V8类型混淆错误添加到KEV目录中

美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞 (KEV) 目录中添加了一个 Google Chromium V8 类型混淆错误（编号为CVE-2023-4762 ） 。该漏洞影响116.0.5845.179之前的Google Chrome，它允许远程攻击者通过精心设计的HTML页面执行任意代码。2023 年 9 月，公民实验室和谷歌的 TAG透露，最近修补的三个苹果零日漏洞（CVE-2023-41993、CVE-2023-41991、CVE-2023-41992）被用来安装 Cytrox Predator 间谍软件。专家报告称，上述缺陷的利用链有两种方式传递，其中之一是利用 CVE-2023-4762。

https://securityaffairs.com/158820/security/cisa-adds-google-chromium-v8-type-confusion-bug-to-its-known-exploited-vulnerabilities-catalog.html?web_view=true

---

5 谷歌修复了Android关键远程代码执行缺陷

谷歌发布了 Android 2024 年 2 月安全补丁，解决了 46 个漏洞，其中包括一个关键的远程代码执行问题。其中包括一个被追踪为 CVE-2024-0031 的关键远程代码执行漏洞。该漏洞存在于系统中，影响 Android 开源项目 (AOSP) 版本 11、12、12L、13 和 14。“这些问题的源代码补丁已发布到 Android 开源项目 (AOSP) 存储库，并从本公告链接。该公告还包含 AOSP 之外的补丁链接。

https://source.android.com/docs/security/bulletin/2024-02-01?hl=zh-cn

---

6 全球联盟和科技巨头联合起来打击商业间谍软件滥用


由法国、英国和美国等数十个国家组成的联盟以及谷歌、MDSec、Meta 和微软等科技公司签署了一项联合协议，以遏制滥用商业间谍软件侵犯人权的行为。该倡议被称为“波美尔流程”，旨在通过为国家、行业和民间社会制定有关开发、便利、购买和使用商业网络入侵工具的指导原则和政策选择，解决商业网络入侵工具的扩散和不负责任的使用问题。参加此次活动的国家名单中值得注意的是以色列，该国是许多私营部门攻击者 (PSOA) 或商业监控供应商 (CSV) 的所在地，例如 Candiru、Intellexa (Cytrox)、NSO Group 和 QuaDream 。

https://www.diplomatie.gouv.fr/en/french-foreign-policy/digital-diplomacy/news/article/the-pall-mall-process-tackling-the-proliferation-and-irresponsible-use-of

---