要聞速覽

1、工信部等十一部門聯(lián)合發(fā)文推動新型信息基礎(chǔ)設(shè)施協(xié)調(diào)發(fā)展

2、三項智能網(wǎng)聯(lián)汽車強制性國家標(biāo)準(zhǔn)正式發(fā)布

3、2024年國家網(wǎng)絡(luò)安全宣傳周將于9月9日至15日舉辦

4、又一新型惡意軟件曝光！已向全球70多家企業(yè)發(fā)起網(wǎng)絡(luò)攻擊

5、航空安全系統(tǒng)曝嚴(yán)重漏洞，黑客可繞過安檢進入駕駛艙

6、俄羅斯最大社交網(wǎng)站VK超3.9億用戶個人信息疑似泄露

一周政策要聞

工信部等十一部門聯(lián)合發(fā)文推動新型信息基礎(chǔ)設(shè)施協(xié)調(diào)發(fā)展

近日，工業(yè)和信息化部、中央網(wǎng)信辦、教育部、財政部、自然資源部、住房城鄉(xiāng)建設(shè)部、農(nóng)業(yè)農(nóng)村部、國家衛(wèi)生健康委、中國人民銀行、國務(wù)院國資委、中國國家鐵路集團有限公司等十一部門聯(lián)合印發(fā)《關(guān)于推動新型信息基礎(chǔ)設(shè)施協(xié)調(diào)發(fā)展有關(guān)事項的通知》。

《通知》結(jié)合新型信息基礎(chǔ)設(shè)施的技術(shù)發(fā)展趨勢和經(jīng)濟社會發(fā)展需求，以促進協(xié)調(diào)發(fā)展為目標(biāo)，以推動新型信息基礎(chǔ)設(shè)施跨區(qū)域、跨網(wǎng)絡(luò)、跨行業(yè)協(xié)同建設(shè)為重點方向，提出了“1統(tǒng)籌6協(xié)調(diào)”等7方面主要工作，即全國統(tǒng)籌布局、跨區(qū)域協(xié)調(diào)、跨網(wǎng)絡(luò)協(xié)調(diào)、跨行業(yè)協(xié)調(diào)，發(fā)展與綠色協(xié)調(diào)、發(fā)展與安全協(xié)調(diào)、跨部門政策協(xié)調(diào)等。

三項智能網(wǎng)聯(lián)汽車強制性國家標(biāo)準(zhǔn)正式發(fā)布

近日，工業(yè)和信息化部組織制定的GB 44495—2024《汽車整車信息安全技術(shù)要求》、GB 44496—2024《汽車軟件升級通用技術(shù)要求》和GB 44497—2024《智能網(wǎng)聯(lián)汽車 自動駕駛數(shù)據(jù)記錄系統(tǒng)》三項強制性國家標(biāo)準(zhǔn)由國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會批準(zhǔn)發(fā)布，將于2026年1月1日起開始實施。

本次發(fā)布的三項標(biāo)準(zhǔn)是我國電動汽車領(lǐng)域首批強制性國家標(biāo)準(zhǔn)，綜合我國電動汽車產(chǎn)業(yè)的技術(shù)創(chuàng)新成果與經(jīng)驗總結(jié)，與國際標(biāo)準(zhǔn)法規(guī)進行了充分協(xié)調(diào)，對提升新能源汽車安全水平、保障產(chǎn)業(yè)健康持續(xù)發(fā)展具有重要意義。

https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2024/art_9fa0f052fe7d4a4683e366eb1afff952.html

業(yè)內(nèi)新聞速覽

2024年國家網(wǎng)絡(luò)安全宣傳周將于9月9日至15日舉辦

9月2日，2024年國家網(wǎng)絡(luò)安全宣傳周新聞發(fā)布會在北京舉行。會議宣布，2024年國家網(wǎng)絡(luò)安全宣傳周將于9月9日至15日在全國范圍舉辦，開幕式等重要活動在廣東省廣州市舉行。

據(jù)介紹，2024年國家網(wǎng)絡(luò)安全宣傳周由中央宣傳部、中央網(wǎng)信辦、教育部、工業(yè)和信息化部、公安部、中國人民銀行、國家廣播電視總局、全國總工會、共青團中央、全國婦聯(lián)等十部門聯(lián)合舉辦，以“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民”為主題，將舉辦開幕式、網(wǎng)絡(luò)安全技術(shù)高峰論壇主論壇暨粵港澳大灣區(qū)網(wǎng)絡(luò)安全大會、網(wǎng)絡(luò)安全博覽會，集中發(fā)布一系列網(wǎng)絡(luò)安全領(lǐng)域重要成果。同時將舉行校園日、電信日、法治日、金融日、青少年日、個人信息保護日等系列主題日活動。

消息來源：中華人民共和國中央人民政府https://www.gov.cn/yaowen/liebiao/202409/content_6971942.htm

又一新型惡意軟件曝光！已向全球70多家企業(yè)發(fā)起網(wǎng)絡(luò)攻擊

近日，Proofpoint的研究人員發(fā)現(xiàn)有一個新的惡意軟件活動通過冒充美國、歐洲和亞洲的稅務(wù)機構(gòu)，向世界各地的組織傳播一種名為 “Voldemort ”的后門程序 。該活動自2024年8月5日起，已向70多個組織發(fā)送了2萬多封郵件，主要針對保險、航空航天、運輸和教育部門。

在這個攻擊鏈路中，攻擊者通過復(fù)雜的攻擊序列，結(jié)合了多種技術(shù)手段：首先，通過Google AMP緩存URL將用戶重定向到search-ms URI、InfinityFree的登錄頁面和Cloudflare隧道；隨后，調(diào)用Windows搜索并打開Windows DEX文件（LNK）或包含LNK的ZIP文件。打開的LNK文件通過PowerShell訪問WebDAV共享上的Python腳本，該腳本收集系統(tǒng)信息并下載偽裝成PDF的惡意文件。Voldemort惡意軟件能夠收集信息并加載其他惡意軟件的后門程序。

研究人員發(fā)現(xiàn)，攻擊者利用標(biāo)準(zhǔn)Google API，泄露了客戶端ID和客戶端密鑰，使其能夠讀取Google Sheets中的數(shù)據(jù)。在每次與受害機器交互時，攻擊者都會以該機器的主機名和用戶名創(chuàng)建新的Google Sheets頁面。此次攻擊還涉及了可能的DLL側(cè)加載攻擊，用于將Cobalt Strike信標(biāo)引入系統(tǒng)，進一步擴大攻擊范圍和影響。

消息來源：FREEBUF  https://www.freebuf.com/news/409960.html

航空安全系統(tǒng)曝嚴(yán)重漏洞，黑客可繞過安檢進入駕駛艙

近日，安全研究人員發(fā)現(xiàn)航空運輸安全系統(tǒng)FlyCASS存在嚴(yán)重漏洞，該漏洞可允許未經(jīng)授權(quán)人員（例如恐怖分子）繞過機場安檢，獲得進入飛機駕駛艙的權(quán)限。FlyCASS是一個由第三方提供的web服務(wù)，一些航空公司使用它來管理和操作已知機組成員（KCM）計劃和駕駛艙訪問安全系統(tǒng)（CASS）。研究人員發(fā)現(xiàn)其登錄系統(tǒng)存在SQL注入漏洞，攻擊者可通過此漏洞篡改員工數(shù)據(jù)，獲取訪問權(quán)限。通過模擬攻擊，他們成功創(chuàng)建了一個名為“Test TestOnly”的虛構(gòu)員工賬戶，并賦予了其KCM和CASS的雙重訪問權(quán)限，從而展示了如何輕松繞過安檢并模擬進入商用飛機駕駛艙的過程。

意識到問題的嚴(yán)重性，研究人員立即啟動了漏洞披露流程，并向美國國土安全部報告此漏洞。該事件進一步揭示了航空運輸安全系統(tǒng)在網(wǎng)絡(luò)安全防護方面的脆弱性，以及持續(xù)監(jiān)控和及時修補漏洞的重要性。

俄羅斯最大社交網(wǎng)站VK超3.9億用戶個人信息疑似泄露

FREEBUF9月4日消息，俄羅斯最大的社交媒體平臺VK（VKontakte）不幸遭遇了一次重大數(shù)據(jù)泄露事件，波及范圍廣泛，影響了海量用戶。

在非法數(shù)據(jù)交易論壇BreachForums上，一位名為Hikki-Chan的威脅行為者宣稱，該批泄露數(shù)據(jù)于2024年9月上線，幾乎以象征性的幾個積分即可輕易獲取。VK作為俄羅斯社交網(wǎng)絡(luò)領(lǐng)域的領(lǐng)頭羊，每月宣稱吸引高達11億次訪問，此次事件無疑對其安全形象造成了沉重打擊。

據(jù)深入調(diào)查，此次泄露事件涉及數(shù)億用戶的敏感個人信息，包括身份證號碼、全名、性別、個人照片以及詳細的居住國家與城市等核心數(shù)據(jù)。一個龐大的7z壓縮包內(nèi)含3.904億條用戶記錄，解壓后數(shù)據(jù)量驚人，達到了約27.6GB。

值得注意的是，據(jù)Hackread.com從BreachForums獲取的線索，VK平臺本身并未直接遭受黑客入侵，而是第三方渠道成為了數(shù)據(jù)泄露的源頭，這一發(fā)現(xiàn)進一步揭示了數(shù)據(jù)保護鏈中的薄弱環(huán)節(jié)。

消息來源：FREEBUFhttps://www.freebuf.com/news/410160.html

來源:本安全周報所推送內(nèi)容由網(wǎng)絡(luò)收集整理而來，僅用于分享，并不意味著贊同其觀點或證實其內(nèi)容的真實性，部分內(nèi)容推送時未能與原作者取得聯(lián)系，若涉及版權(quán)問題，煩請原作者聯(lián)系我們，我們會盡快刪除處理，謝謝！