安全简讯（2024.07.03）

1. CapraRAT伪装成热门应用程序威胁 Android 用户

7月2日，名为“透明部落”的威胁行为者持续释放带有恶意软件的 Android 应用程序，作为针对相关个人的社会工程活动的一部分。这些 APK 延续了该组织将间谍软件嵌入精选视频浏览应用程序的趋势，新的扩展针对的是手机游戏玩家、武器爱好者和 TikTok 粉丝。该活动被称为 CapraTube，由网络安全公司于 2023 年 9 月首次提出，黑客团队使用武器化的 Android 应用程序冒充 YouTube 等合法应用程序来投放名为 CapraRAT 的间谍软件，这是 AndroRAT 的修改版本，具有捕获各种敏感数据的能力。透明部落 (Transparent Tribe) 疑似来自巴基斯坦，两年多来一直利用CapraRAT攻击印度政府和军事人员。该组织曾利用鱼叉式网络钓鱼和水坑攻击来传播各种 Windows 和 Android 间谍软件。

https://thehackernews.com/2024/07/caprarat-spyware-disguised-as-popular.html

2. CocoaPods中漏洞导致iOS和macOS应用程序遭受供应链攻击

7月1日，Swift 和 Objective-C Cocoa 项目的CocoaPods依赖管理器中发现了三个安全漏洞，可能被利用来发起软件供应链攻击，使下游客户面临严重风险。EVA 信息安全研究人员 Reef Spektor 和 Eran Vaknin发布的一份报告中表示，这些漏洞允许“任何恶意行为者声称拥有数千个无人认领的 pod，并将恶意代码插入许多最受欢迎的 iOS 和 macOS 应用程序中”。这家以色列应用安全公司表示，截至 2023 年 10 月，这三个问题已被CocoaPods修补。为了应对这些披露，它还重置了当时的所有用户会话。其中一个漏洞是 CVE-2024-38368（CVSS 评分：9.3），攻击者可以利用该漏洞滥用“ Claim Your Pods ”流程并控制软件包，从而有效地篡改源代码并引入恶意更改。但是，这需要所有先前的维护者都已从项目中移除。第二个漏洞更为严重（CVE-2024-38366，CVSS 评分：10.0），它利用不安全的电子邮件验证工作流程在 Trunk 服务器上运行任意代码，然后可用于操纵或替换软件包。

https://thehackernews.com/2024/07/critical-flaws-in-cocoapods-expose-ios.html

3. 英特尔 CPU 受到新型 Indirector 侧信道攻击的影响

7月2日，英特尔处理器，包括 Raptor Lake 和 Alder Lake 一代的芯片，容易受到一种新型高精度分支目标注入 (BTI) 攻击，称为“Indirector”，这种攻击可用于从 CPU 窃取敏感信息。Indirector 利用现代英特尔 CPU 中的两个硬件组件间接分支预测器 (IBP) 和分支目标缓冲区 (BTB) 的缺陷来操纵推测执行以提取数据。加州大学圣地亚哥分校的三名研究人员发现并展示了 Indirector 攻击，完整细节将于 2024 年 8 月即将举行的 USENIX 安全研讨会上公布。Indirector 适用于 Raptor Lake 和 Alder Lake Intel CPU，这是该芯片制造商的第 12 代和第 13 代“酷睿”处理器。英特尔于 2024 年 2 月获悉此次攻击，并已通知受影响的硬件和软件供应商。研究人员提出了两种针对间接攻击的主要缓解措施：更积极地使用间接分支预测器屏障（IBPB）并通过结合更复杂的标签、加密和随机化来增强分支预测单元（BPU）的设计。然而，需要考虑重大的性能权衡，特别是在使用 IBPB 时，因此实施所提出的缓解措施需要精细的平衡工作。

https://www.bleepingcomputer.com/news/security/latest-intel-cpus-impacted-by-new-indirector-side-channel-attack/

4. 波兰将调查与俄罗斯有关的针对国家通讯社的网络攻击

7月2日，波兰检察官正在调查该国国家通讯社疑似遭受俄罗斯网络攻击的事件。华沙地区检察官办公室发言人向国家媒体表示，5 月份对波兰新闻社 (PAP) 的攻击可能是为了传播虚假信息，“旨在通过参与或代表外国情报机构行事的未知人员对波兰共和国的体系或经济造成严重扰乱”。根据当地法律，这项罪行可判处至少八年监禁。该调查已交由国内安全局负责。攻击期间，黑客在人民行动党网站上发布虚假新闻，声称该国当局宣布部分动员 20 万士兵奔赴乌克兰参加战争。文章被波兰通讯社删除后，黑客又重新发布了该文章。波兰当局将此次攻击归咎于俄罗斯。波兰数字事务部长克日什托夫·加夫科夫斯基在事件发生后表示：“一切迹象表明，我们正遭遇来自俄罗斯的网络攻击。”据他介绍，黑客通过恶意软件感染了 PAP 一名员工的设备，从而侵入了该新闻机构的系统。

https://therecord.media/poland-cyberattack-investigation-state-agency

5. 日本动漫和游戏巨头承认遭到勒索攻击后数据泄露

7月2日，日本媒体巨头角川证实，其部分数据在上个月的勒索软件攻击中遭到泄露。泄露的数据包括商业合作伙伴信息，包括合同和其他文件，以及公司内部数据，例如其子公司 Dwango 所有员工的个人信息，Dwango 运营着日本流行的视频共享网站Niconico。角川公司在声明中表示：“角川公司再次向我们的客户及所有相关人员表示最深切的歉意，因为此事给他们带来了极大的不便和麻烦。”该公司保证不会存储客户（包括 Niconico 用户）的信用卡信息，“以防止此类信息泄露”。角川在电影、出版和游戏行业经营多项业务。例如，它经营一家名为 BookWalker 的日本电子书店，出售来自不同出版商的漫画、小说和杂志。它持有热门视频游戏《Elden Ring》开发商 FromSoftware 的多数股权。角川表示，由于该公司及其子公司的数据托管在同一个数据中心，因此该事件影响了该公司及其子公司的大部分业务。角川目前正在全公司范围内迅速考虑解决方案和变通办法，以使其系统和业务活动正常化。

https://therecord.media/japan-anime-giant-data-leak-ransomware

6. 新犯罪团伙利用 HEAT 攻击方法攻击政府部门

7月1日， Menlo Security 的最新报告“全球网络犯罪团伙”揭露了三起使用 HEAT 攻击技术的新型国家攻击活动，其目标是银行机构、金融巨头、保险公司、律师事务所、政府机构和医疗保健提供商。高度规避和自适应威胁 (HEAT) 是一种复杂的网络威胁，它可以绕过传统的安全措施，以网络浏览器为入口点，使用动态行为、无文件攻击和延迟执行等技术来逃避检测。Menlo Labs发现了三起复杂的 HEAT 攻击活动，即 LegalQloud、Eqooqp 和 Boomer，它们危害了至少 40,000 名高价值用户，并产生了可以绕过 MFA 并使用中间人 (AiTM) 工具包接管会话的规避攻击。调查显示，60% 的用户点击的恶意链接都是网络钓鱼或欺诈，25% 未被传统的 URL 过滤功能检测到，而微软是被冒充最多的品牌。

https://hackread.com/state-backed-gangs-govt-heat-attack-methods/