要聞速覽

1、工信部等十一部門聯(lián)合發(fā)文推動(dòng)新型信息基礎(chǔ)設(shè)施協(xié)調(diào)發(fā)展

2、三項(xiàng)智能網(wǎng)聯(lián)汽車強(qiáng)制性國家標(biāo)準(zhǔn)正式發(fā)布

3、2024年國家網(wǎng)絡(luò)安全宣傳周將于9月9日至15日舉辦

4、又一新型惡意軟件曝光！已向全球70多家企業(yè)發(fā)起網(wǎng)絡(luò)攻擊

5、航空安全系統(tǒng)曝嚴(yán)重漏洞，黑客可繞過安檢進(jìn)入駕駛艙

6、俄羅斯最大社交網(wǎng)站VK超3.9億用戶個(gè)人信息疑似泄露

一周政策要聞

工信部等十一部門聯(lián)合發(fā)文推動(dòng)新型信息基礎(chǔ)設(shè)施協(xié)調(diào)發(fā)展

近日，工業(yè)和信息化部、中央網(wǎng)信辦、教育部、財(cái)政部、自然資源部、住房城鄉(xiāng)建設(shè)部、農(nóng)業(yè)農(nóng)村部、國家衛(wèi)生健康委、中國人民銀行、國務(wù)院國資委、中國國家鐵路集團(tuán)有限公司等十一部門聯(lián)合印發(fā)《關(guān)于推動(dòng)新型信息基礎(chǔ)設(shè)施協(xié)調(diào)發(fā)展有關(guān)事項(xiàng)的通知》。

《通知》結(jié)合新型信息基礎(chǔ)設(shè)施的技術(shù)發(fā)展趨勢(shì)和經(jīng)濟(jì)社會(huì)發(fā)展需求，以促進(jìn)協(xié)調(diào)發(fā)展為目標(biāo)，以推動(dòng)新型信息基礎(chǔ)設(shè)施跨區(qū)域、跨網(wǎng)絡(luò)、跨行業(yè)協(xié)同建設(shè)為重點(diǎn)方向，提出了“1統(tǒng)籌6協(xié)調(diào)”等7方面主要工作，即全國統(tǒng)籌布局、跨區(qū)域協(xié)調(diào)、跨網(wǎng)絡(luò)協(xié)調(diào)、跨行業(yè)協(xié)調(diào)，發(fā)展與綠色協(xié)調(diào)、發(fā)展與安全協(xié)調(diào)、跨部門政策協(xié)調(diào)等。

三項(xiàng)智能網(wǎng)聯(lián)汽車強(qiáng)制性國家標(biāo)準(zhǔn)正式發(fā)布

近日，工業(yè)和信息化部組織制定的GB 44495—2024《汽車整車信息安全技術(shù)要求》、GB 44496—2024《汽車軟件升級(jí)通用技術(shù)要求》和GB 44497—2024《智能網(wǎng)聯(lián)汽車 自動(dòng)駕駛數(shù)據(jù)記錄系統(tǒng)》三項(xiàng)強(qiáng)制性國家標(biāo)準(zhǔn)由國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn)發(fā)布，將于2026年1月1日起開始實(shí)施。

本次發(fā)布的三項(xiàng)標(biāo)準(zhǔn)是我國電動(dòng)汽車領(lǐng)域首批強(qiáng)制性國家標(biāo)準(zhǔn)，綜合我國電動(dòng)汽車產(chǎn)業(yè)的技術(shù)創(chuàng)新成果與經(jīng)驗(yàn)總結(jié)，與國際標(biāo)準(zhǔn)法規(guī)進(jìn)行了充分協(xié)調(diào)，對(duì)提升新能源汽車安全水平、保障產(chǎn)業(yè)健康持續(xù)發(fā)展具有重要意義。

https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2024/art_9fa0f052fe7d4a4683e366eb1afff952.html

業(yè)內(nèi)新聞速覽

2024年國家網(wǎng)絡(luò)安全宣傳周將于9月9日至15日舉辦

9月2日，2024年國家網(wǎng)絡(luò)安全宣傳周新聞發(fā)布會(huì)在北京舉行。會(huì)議宣布，2024年國家網(wǎng)絡(luò)安全宣傳周將于9月9日至15日在全國范圍舉辦，開幕式等重要活動(dòng)在廣東省廣州市舉行。

據(jù)介紹，2024年國家網(wǎng)絡(luò)安全宣傳周由中央宣傳部、中央網(wǎng)信辦、教育部、工業(yè)和信息化部、公安部、中國人民銀行、國家廣播電視總局、全國總工會(huì)、共青團(tuán)中央、全國婦聯(lián)等十部門聯(lián)合舉辦，以“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民”為主題，將舉辦開幕式、網(wǎng)絡(luò)安全技術(shù)高峰論壇主論壇暨粵港澳大灣區(qū)網(wǎng)絡(luò)安全大會(huì)、網(wǎng)絡(luò)安全博覽會(huì)，集中發(fā)布一系列網(wǎng)絡(luò)安全領(lǐng)域重要成果。同時(shí)將舉行校園日、電信日、法治日、金融日、青少年日、個(gè)人信息保護(hù)日等系列主題日活動(dòng)。

消息來源：中華人民共和國中央人民政府https://www.gov.cn/yaowen/liebiao/202409/content_6971942.htm

又一新型惡意軟件曝光！已向全球70多家企業(yè)發(fā)起網(wǎng)絡(luò)攻擊

近日，Proofpoint的研究人員發(fā)現(xiàn)有一個(gè)新的惡意軟件活動(dòng)通過冒充美國、歐洲和亞洲的稅務(wù)機(jī)構(gòu)，向世界各地的組織傳播一種名為 “Voldemort ”的后門程序 。該活動(dòng)自2024年8月5日起，已向70多個(gè)組織發(fā)送了2萬多封郵件，主要針對(duì)保險(xiǎn)、航空航天、運(yùn)輸和教育部門。

在這個(gè)攻擊鏈路中，攻擊者通過復(fù)雜的攻擊序列，結(jié)合了多種技術(shù)手段：首先，通過Google AMP緩存URL將用戶重定向到search-ms URI、InfinityFree的登錄頁面和Cloudflare隧道；隨后，調(diào)用Windows搜索并打開Windows DEX文件（LNK）或包含LNK的ZIP文件。打開的LNK文件通過PowerShell訪問WebDAV共享上的Python腳本，該腳本收集系統(tǒng)信息并下載偽裝成PDF的惡意文件。Voldemort惡意軟件能夠收集信息并加載其他惡意軟件的后門程序。

研究人員發(fā)現(xiàn)，攻擊者利用標(biāo)準(zhǔn)Google API，泄露了客戶端ID和客戶端密鑰，使其能夠讀取Google Sheets中的數(shù)據(jù)。在每次與受害機(jī)器交互時(shí)，攻擊者都會(huì)以該機(jī)器的主機(jī)名和用戶名創(chuàng)建新的Google Sheets頁面。此次攻擊還涉及了可能的DLL側(cè)加載攻擊，用于將Cobalt Strike信標(biāo)引入系統(tǒng)，進(jìn)一步擴(kuò)大攻擊范圍和影響。

消息來源：FREEBUF  https://www.freebuf.com/news/409960.html

航空安全系統(tǒng)曝嚴(yán)重漏洞，黑客可繞過安檢進(jìn)入駕駛艙

近日，安全研究人員發(fā)現(xiàn)航空運(yùn)輸安全系統(tǒng)FlyCASS存在嚴(yán)重漏洞，該漏洞可允許未經(jīng)授權(quán)人員（例如恐怖分子）繞過機(jī)場安檢，獲得進(jìn)入飛機(jī)駕駛艙的權(quán)限。FlyCASS是一個(gè)由第三方提供的web服務(wù)，一些航空公司使用它來管理和操作已知機(jī)組成員（KCM）計(jì)劃和駕駛艙訪問安全系統(tǒng)（CASS）。研究人員發(fā)現(xiàn)其登錄系統(tǒng)存在SQL注入漏洞，攻擊者可通過此漏洞篡改員工數(shù)據(jù)，獲取訪問權(quán)限。通過模擬攻擊，他們成功創(chuàng)建了一個(gè)名為“Test TestOnly”的虛構(gòu)員工賬戶，并賦予了其KCM和CASS的雙重訪問權(quán)限，從而展示了如何輕松繞過安檢并模擬進(jìn)入商用飛機(jī)駕駛艙的過程。

意識(shí)到問題的嚴(yán)重性，研究人員立即啟動(dòng)了漏洞披露流程，并向美國國土安全部報(bào)告此漏洞。該事件進(jìn)一步揭示了航空運(yùn)輸安全系統(tǒng)在網(wǎng)絡(luò)安全防護(hù)方面的脆弱性，以及持續(xù)監(jiān)控和及時(shí)修補(bǔ)漏洞的重要性。

俄羅斯最大社交網(wǎng)站VK超3.9億用戶個(gè)人信息疑似泄露

FREEBUF9月4日消息，俄羅斯最大的社交媒體平臺(tái)VK（VKontakte）不幸遭遇了一次重大數(shù)據(jù)泄露事件，波及范圍廣泛，影響了海量用戶。

在非法數(shù)據(jù)交易論壇BreachForums上，一位名為Hikki-Chan的威脅行為者宣稱，該批泄露數(shù)據(jù)于2024年9月上線，幾乎以象征性的幾個(gè)積分即可輕易獲取。VK作為俄羅斯社交網(wǎng)絡(luò)領(lǐng)域的領(lǐng)頭羊，每月宣稱吸引高達(dá)11億次訪問，此次事件無疑對(duì)其安全形象造成了沉重打擊。

據(jù)深入調(diào)查，此次泄露事件涉及數(shù)億用戶的敏感個(gè)人信息，包括身份證號(hào)碼、全名、性別、個(gè)人照片以及詳細(xì)的居住國家與城市等核心數(shù)據(jù)。一個(gè)龐大的7z壓縮包內(nèi)含3.904億條用戶記錄，解壓后數(shù)據(jù)量驚人，達(dá)到了約27.6GB。

值得注意的是，據(jù)Hackread.com從BreachForums獲取的線索，VK平臺(tái)本身并未直接遭受黑客入侵，而是第三方渠道成為了數(shù)據(jù)泄露的源頭，這一發(fā)現(xiàn)進(jìn)一步揭示了數(shù)據(jù)保護(hù)鏈中的薄弱環(huán)節(jié)。

消息來源：FREEBUFhttps://www.freebuf.com/news/410160.html

來源:本安全周報(bào)所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性，部分內(nèi)容推送時(shí)未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請(qǐng)?jiān)髡呗?lián)系我們，我們會(huì)盡快刪除處理，謝謝！