要闻速览

1、工信部等十一部门联合发文推动新型信息基础设施协调发展

2、三项智能网联汽车强制性国家标准正式发布

3、2024年国家网络安全宣传周将于9月9日至15日举办

4、又一新型恶意软件曝光！已向全球70多家企业发起网络攻击

5、航空安全系统曝严重漏洞，黑客可绕过安检进入驾驶舱

6、俄罗斯最大社交网站VK超3.9亿用户个人信息疑似泄露

一周政策要闻

工信部等十一部门联合发文推动新型信息基础设施协调发展

近日，工业和信息化部、中央网信办、教育部、财政部、自然资源部、住房城乡建设部、农业农村部、国家卫生健康委、中国人民银行、国务院国资委、中国国家铁路集团有限公司等十一部门联合印发《关于推动新型信息基础设施协调发展有关事项的通知》。

《通知》结合新型信息基础设施的技术发展趋势和经济社会发展需求，以促进协调发展为目标，以推动新型信息基础设施跨区域、跨网络、跨行业协同建设为重点方向，提出了“1统筹6协调”等7方面主要工作，即全国统筹布局、跨区域协调、跨网络协调、跨行业协调，发展与绿色协调、发展与安全协调、跨部门政策协调等。

三项智能网联汽车强制性国家标准正式发布

近日，工业和信息化部组织制定的GB 44495—2024《汽车整车信息安全技术要求》、GB 44496—2024《汽车软件升级通用技术要求》和GB 44497—2024《智能网联汽车 自动驾驶数据记录系统》三项强制性国家标准由国家市场监督管理总局、国家标准化管理委员会批准发布，将于2026年1月1日起开始实施。

本次发布的三项标准是我国电动汽车领域首批强制性国家标准，综合我国电动汽车产业的技术创新成果与经验总结，与国际标准法规进行了充分协调，对提升新能源汽车安全水平、保障产业健康持续发展具有重要意义。

https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2024/art_9fa0f052fe7d4a4683e366eb1afff952.html

业内新闻速览

2024年国家网络安全宣传周将于9月9日至15日举办

9月2日，2024年国家网络安全宣传周新闻发布会在北京举行。会议宣布，2024年国家网络安全宣传周将于9月9日至15日在全国范围举办，开幕式等重要活动在广东省广州市举行。

据介绍，2024年国家网络安全宣传周由中央宣传部、中央网信办、教育部、工业和信息化部、公安部、中国人民银行、国家广播电视总局、全国总工会、共青团中央、全国妇联等十部门联合举办，以“网络安全为人民，网络安全靠人民”为主题，将举办开幕式、网络安全技术高峰论坛主论坛暨粤港澳大湾区网络安全大会、网络安全博览会，集中发布一系列网络安全领域重要成果。同时将举行校园日、电信日、法治日、金融日、青少年日、个人信息保护日等系列主题日活动。

消息来源：中华人民共和国中央人民政府https://www.gov.cn/yaowen/liebiao/202409/content_6971942.htm

又一新型恶意软件曝光！已向全球70多家企业发起网络攻击

近日，Proofpoint的研究人员发现有一个新的恶意软件活动通过冒充美国、欧洲和亚洲的税务机构，向世界各地的组织传播一种名为 “Voldemort ”的后门程序 。该活动自2024年8月5日起，已向70多个组织发送了2万多封邮件，主要针对保险、航空航天、运输和教育部门。

在这个攻击链路中，攻击者通过复杂的攻击序列，结合了多种技术手段：首先，通过Google AMP缓存URL将用户重定向到search-ms URI、InfinityFree的登录页面和Cloudflare隧道；随后，调用Windows搜索并打开Windows DEX文件（LNK）或包含LNK的ZIP文件。打开的LNK文件通过PowerShell访问WebDAV共享上的Python脚本，该脚本收集系统信息并下载伪装成PDF的恶意文件。Voldemort恶意软件能够收集信息并加载其他恶意软件的后门程序。

研究人员发现，攻击者利用标准Google API，泄露了客户端ID和客户端密钥，使其能够读取Google Sheets中的数据。在每次与受害机器交互时，攻击者都会以该机器的主机名和用户名创建新的Google Sheets页面。此次攻击还涉及了可能的DLL侧加载攻击，用于将Cobalt Strike信标引入系统，进一步扩大攻击范围和影响。

消息来源：FREEBUF  https://www.freebuf.com/news/409960.html

航空安全系统曝严重漏洞，黑客可绕过安检进入驾驶舱

近日，安全研究人员发现航空运输安全系统FlyCASS存在严重漏洞，该漏洞可允许未经授权人员（例如恐怖分子）绕过机场安检，获得进入飞机驾驶舱的权限。FlyCASS是一个由第三方提供的web服务，一些航空公司使用它来管理和操作已知机组成员（KCM）计划和驾驶舱访问安全系统（CASS）。研究人员发现其登录系统存在SQL注入漏洞，攻击者可通过此漏洞篡改员工数据，获取访问权限。通过模拟攻击，他们成功创建了一个名为“Test TestOnly”的虚构员工账户，并赋予了其KCM和CASS的双重访问权限，从而展示了如何轻松绕过安检并模拟进入商用飞机驾驶舱的过程。

意识到问题的严重性，研究人员立即启动了漏洞披露流程，并向美国国土安全部报告此漏洞。该事件进一步揭示了航空运输安全系统在网络安全防护方面的脆弱性，以及持续监控和及时修补漏洞的重要性。

俄罗斯最大社交网站VK超3.9亿用户个人信息疑似泄露

FREEBUF9月4日消息，俄罗斯最大的社交媒体平台VK（VKontakte）不幸遭遇了一次重大数据泄露事件，波及范围广泛，影响了海量用户。

在非法数据交易论坛BreachForums上，一位名为Hikki-Chan的威胁行为者宣称，该批泄露数据于2024年9月上线，几乎以象征性的几个积分即可轻易获取。VK作为俄罗斯社交网络领域的领头羊，每月宣称吸引高达11亿次访问，此次事件无疑对其安全形象造成了沉重打击。

据深入调查，此次泄露事件涉及数亿用户的敏感个人信息，包括身份证号码、全名、性别、个人照片以及详细的居住国家与城市等核心数据。一个庞大的7z压缩包内含3.904亿条用户记录，解压后数据量惊人，达到了约27.6GB。

值得注意的是，据Hackread.com从BreachForums获取的线索，VK平台本身并未直接遭受黑客入侵，而是第三方渠道成为了数据泄露的源头，这一发现进一步揭示了数据保护链中的薄弱环节。

消息来源：FREEBUFhttps://www.freebuf.com/news/410160.html

来源:本安全周报所推送内容由网络收集整理而来，仅用于分享，并不意味着赞同其观点或证实其内容的真实性，部分内容推送时未能与原作者取得联系，若涉及版权问题，烦请原作者联系我们，我们会尽快删除处理，谢谢！