工信部印发《工业和信息化领域数据安全事件应急预案（试行）》；午夜暴雪再次来袭！RDP配置文件成钓鱼攻击新武器

•工信部印发《工业和信息化领域数据安全事件应急预案（试行）》

•中央网信办部署开展“清朗·同城版块信息内容问题整治”专项行动

•北京互联网法院通报涉个人信息及数据相关案件审理情况

•全球网络治理面临挑战：美国参议员要求对联合国网络犯罪条约进行修订

•FakeCall安卓恶意软件新变种出现，瞄准Android无障碍服务

•“午夜暴雪”再次来袭！RDP配置文件成钓鱼攻击新武器

•"CrossBarking"新型浏览器攻击手法曝光，通过恶意扩展劫持用户浏览器

•迪士尼前员工入侵公司菜单系统，涉嫌篡改菜单致系统瘫痪

•Strela窃密软件新型变种出现，可有效规避常规安全检测工具

•IBM服务处理器曝严重漏洞：静态凭据成黑客攻击的潜在突破口

•苹果发布重大安全更新，修复90项服务和系统中的安全漏洞

日前，工业和信息化部正式印发《工业和信息化领域数据安全事件应急预案（试行）》（工信部网安〔2024〕214号）（以下简称《应急预案》），并对《应急预案》重点问题进行了官方说明：

1、《应急预案》出台的背景和目的

一是构建工业和信息化领域数据安全事件应急处置工作组织体系，明确工业和信息化部、地方行业监管部门、数据处理者、应急支撑机构等各方职责范围，建立权责一致的工作机制。二是细化数据安全事件应急处置事前、事中、事后全流程各环节要求，提出分级预警、响应、处置、上报等各类机制，建立衔接有序、高效运行的工作闭环。三是根据数据安全事件应急处置工作的需要，明确相关预防措施和保障措施。

2、《应急预案》的定位和主要内容

《应急预案》作为工业和信息化领域数据安全事件处置工作的指导性政策文件，正文共八章四十条，重点明确了以下八方面内容：一是界定《应急预案》适用范围，明确了数据安全事件以及事件分级的相关概念定义；二是明确了工业和信息化领域数据安全应急处置工作的组织体系，规定了领导机构、办事机构、地方行业监管部门、数据处理者、应急支撑机构等单位的构成及职责；三是明确了开展数据安全风险监测预警工作的具体流程和要求；四是明确了不同级别数据安全事件应急处置工作的具体流程和要求；五是规定了重大及以上数据安全事件应急工作结束后，地方行业监管部门和数据处理者的具体工作要求；六是提出预防保护、应急演练、宣传培训、手段建设、重大活动期间保障共五项预防措施；七是提出落实责任、奖惩问责、经费保障、工作协同、物资保障、国际合作、保密管理共七项保障措施；八是规定了应急预案修订原则和排除条款等要求。

3、《应急预案》明确了怎样的职责分工？

《应急预案》明确了“工业和信息化部、地方行业监管部门、数据处理者、应急支撑机构”等各类主体的职责分工。其中，工业和信息化部职责主要由工业和信息化部网络安全和信息化领导小组及工业和信息化领域数据安全工作机制承担，具体为工业和信息化部网络安全和信息化领导小组统一领导数据安全事件应急管理工作，负责特别重大数据安全事件的统一指挥和协调。

地方行业监管部门主要包括各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局和无线电管理机构，负责组织开展本地区本领域数据安全事件应急处置工作，结合实际根据本预案分别制定本地区本领域数据安全事件应急预案。

数据处理者负责本单位数据安全事件预防、监测、应急处置、报告等工作，应当根据应对数据安全事件的需要，制定本单位数据安全事件应急预案。

4、下一步相关工作推进安排

《应急预案》发布后，工业和信息化部将从宣贯培训、引导支持、监督检查等方面抓好落实：一是加强宣贯培训。对《应急预案》的重点内容进行全面深入系统解读，指导行业数据处理者准确理解、认真落实相关要求，提升数据安全事件应急意识和能力，营造“个个讲安全、人人会应急”的良好氛围。二是加强引导支持。鼓励各单位创新工作模式、加大工作支持，及时总结推广在《应急预案》落地实施过程中的优秀经验做法，形成示范带动效应。组织开展行业数据安全事件应急演练等工作，锻炼提升应急处置实战水平。三是加强监督检查。指导各有关单位根据应对数据安全事件的需要，细化制定本单位应急预案，加强责任落实。通过专项行动、监督检查等方式，对工作落实不到位的单位加强督导落实，对表现突出的予以表扬激励。

原文链接：

https://wap.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2024/art_a5a0cf8110354f1499604ea7181bc619.html

为集中治理同城版块易发多发问题，压紧压实网站平台主体责任，切实净化同城版块网络生态环境，近日，中央网信办印发通知，在全国范围内部署开展为期2个月的“清朗·同城版块信息内容问题整治”专项行动。

中央网信办有关负责人表示，本次专项行动覆盖社交、短视频、直播、资讯、电商、搜索引擎、团购点评、婚恋交友、地图导航、旅游出行、本地生活、天气日历、运动健康等平台同城（本地）榜单、版块、栏目、频道，以及各类基于地理位置提供同城信息内容或服务的移动互联网应用程序，重点整治5类突出问题：一是散播网络戾气，二是制造网络谣言和虚假信息，三是呈现色情低俗信息，四是为同城违法活动引流，五是提供网络水军服务。

中央网信办有关负责人强调，各地网信部门要充分认识专项行动对于净化网络生态，维护网民合法权益的重要意义，切实履行对同城版块的属地管理责任，不断完善工作方法，督导网站平台对照专项行动有关要求，严打违法违规行为，完善重点功能设置，优化同城信息内容推荐机制，做好整改落实。

原文链接：

https://mp.weixin.qq.com/s/TsMu9w0Pq1hIK3GSTZgvMQ

10月30日，北京互联网法院召开涉个人信息及数据相关案件审理情况新闻通报会，通报了此类案件的审理情况，并发布八起典型案例。

北京互联网法院党组成员、副院长赵瑞罡介绍，自2023年10月至今，北京互联网法院共受理113件涉及个人信息保护的案件，涉及的行业领域较为广泛，以互联网企业为被诉主体的案件最多，涉诉个人信息类型和侵权形态较为多样。

调研发现，数字经济下个人信息权益和其他人格权错综交织，呈现出较为复杂的权益形态，涉诉案件中单独以个人信息权益受到侵害为由起诉的不足40%。另外，个人信息保护案件涉诉信息类型较为丰富，既包含基础个人信息，如手机号、身份证号等，也有因人工智能技术引发的“AI换脸”等新类型侵权案件，还包括多种衍生信息，亦包括大量法律未明确列举的个人信息，如电子商务平台上形成的用户订单交易详情、客服沟通记录等。

从侵权形态来看，涉及侵害个人信息的知情权与决定权的案件最多，主要侵权形式为未经同意收集、公开、提供个人信息，或超范围收集个人信息。部分案件中反映网络平台运营者未尽到保障用户个人信息安全的法定义务，导致用户个人信息遭受泄露、篡改、冒用。

原文链接：

https://mp.weixin.qq.com/s/YOuYR8SON7XuQoqp6W9zyA

近日，六名美国民主党参议员联名致信拜登政府，敦促其寻求修改联合国网络犯罪条约中的多项条款。他们认为，这些条款可能会损害人工智能安全以及人权保障。

这些议员在联名信中表示，目前的条约存在多个问题。首先，条约可能会授权进行侵犯个人隐私权的监控；其次，条约要求收集和分享私人互联网用户数据，这可能会为某些不民主国家之间的合作提供合法依据；此外，条约未能为安全研究人员和记者提供计算机访问保护。如果不进行这些重要的修改，某些国家背景的黑客组织可能更容易利用漏洞入侵敏感数据集并传播恶意软件。

值得注意的是，联合国网络犯罪条约已经获得了联合国特设网络犯罪委员会的批准。然而，本次提案的美国参议员们则认为，条约的某些条款可能会产生可预见的负面影响，特别是在隐私保护和人权方面。这也凸显了国际社会在制定全球网络安全规则时平衡各方利益的复杂性。

原文链接：

https://www.scworld.com/brief/un-cybercrime-treaty-changes-sought-by-lawmakers

近日，Zimperium zLabs安全研究人员发现了FakeCal安卓恶意软件的一个新变种，该软件具备更强大的功能，可对受害者设备实施更全面的控制，从而进行欺诈和网络间谍活动。

FakeCall最早于2022年被发现，主要用于实施语音钓鱼(vishing)和移动钓鱼(mishing)攻击。它通过欺骗受害者拨打攻击者控制的虚假电话号码，并模仿银行员工等进行对话来实施欺诈。研究人员发现，FakeCall的新变种增加了一些新功能，使攻击者能够更精确地监控和控制用户设备，其中一项新功能允许恶意软件与Android的无障碍服务集成，从而获得对用户界面的重要控制权，并能捕获屏幕上显示的信息。

此外，新变种还增加了蓝牙接收器和屏幕接收器功能，用于监控设备的蓝牙状态和屏幕状态变化。这些新功能进一步扩展了FakeCall的持续性间谍能力。FakeCall攻击通常始于用户下载伪装成合法应用的恶意APK文件。一旦启动，该应用会提示用户将其设置为默认通话处理程序。之后，攻击者就可以管理所有的来电和去电，并显示一个模仿原生Android拨号器的自定义界面。

原文链接：

https://www.darkreading.com/cyberattacks-data-breaches/vishing-mishing-fakecall-android-malware

近日，微软发布安全警告，称某国家背景黑客组织“午夜暴雪”（Midnight Blizzard）正在全球多个地区发起一场大规模的鱼叉式钓鱼攻击。该组织此前曾入侵微软系统，并在2020年发动了震惊业界的SolarWinds供应链攻击。

微软表示，这次攻击始于10月22日，目标包括多个国家的政府机构、高等教育机构和国防部门。目前，攻击行动或已影响了全球100多个组织，其中英国、欧盟、澳大利亚和日本受影响较为严重。

微软研究人员表示，"午夜暴风雪"组织采取了一种新型访问手段。攻击者使用合法邮箱地址发送包含签名远程桌面协议（RDP）配置文件的电子邮件，以获取目标设备的初始访问权限。为增加可信度，攻击者会冒充微软员工，并在钓鱼邮件中提及其他云服务提供商。恶意RDP文件使用Let's Encrypt证书签名，一旦打开，就会将目标设备的资源映射到攻击者控制的服务器。攻击者还可以查看文件和目录，以及使用Windows Hello、密钥或安全密钥的Web身份验证过程。

为防范此类攻击，微软安全专家建议组织采用多因素身份验证、使用FIDO令牌等防钓鱼身份验证方法，并加强Microsoft Office 365的安全配置。

原文链接：

https://www.techtarget.com/searchsecurity/news/366614828/Microsoft-warns-of-Midnight-Blizzard-spear-phishing-campaign

近日，安全研究人员揭示了一种名为"CrossBarking"的新型浏览器攻击手法，该攻击可能会危及Opera浏览器用户的安全。这种攻击方式利用了Opera浏览器中的"私有"应用程序接口（API），使攻击者能够完全控制受害者的浏览器。

Guardio的研究人员通过开发一个恶意的Chrome扩展程序，展示了攻击者如何利用现已修复的漏洞，将自定义代码注入受害者的Opera浏览器，从而利用通常只有合规网站才能使用的私有API。这些私有API通常为开发人员所用，并且仅限于少数受信任的网站使用。但研究人员证明了黑客也可以访问它们，从而获得各种强大的权限，如更改设置、劫持账户、禁用安全扩展、添加恶意扩展等。

Opera目前已经采取了快速修复方案，阻止任何扩展程序在具有私有API访问权限的域上运行脚本。然而，这一事件凸显了浏览器开发人员在功能性和安全性之间需要权衡的永恒挑战。

原文链接：

https://www.darkreading.com/vulnerabilities-threats/crossbarking-attack-secret-apis-expose-opera-browser-users

近日，一名前迪士尼员工因涉嫌网路入侵公司系统并篡改服务菜单而被逮捕和起诉。据法庭文件显示，被告Michael Scheuer曾是迪士尼的服务菜单制作经理，今年6月因未明确的不当行为被解雇。他的离职被描述为"有争议的"且"不友好的"。

起诉书内容显示，Scheuer被指控多次违反《计算机欺诈和滥用法》（CFAA）。Scheuer在被解雇后，利用仍然有效的工作凭证登录迪士尼委托第三方公司开发的菜单创建系统，将系统中的字体更改为Wingdings符号。当菜单创建器启动时，它会调用这些被篡改的字体文件，误认为它们是正确的。"由于这一更改，数据库中的所有菜单都无法使用。

更为严重的是，Scheuer还被指控删除了菜单中的过敏源信息，错误地表明某些食物是安全的，这可能会导致致命后果。所幸这些菜单在发出前被迪士尼及时发现并隔离。

原文链接：

https://www.darkreading.com/cyberattacks-data-breaches/ex-disney-employee-charged-hacking-menu-database

近日，Cyble研究与情报实验室（CRIL）发现了一种新的Strela窃密软件变种，研究人员表示：该变种代表了"恶意软件传播技术的显著进步，突显出其显著增强的复杂性和隐蔽性"。这一新型攻击活动目前主要针对德国和西班牙语地区的企业组织。

新版Strela窃密软件采用了混淆的JavaScript和PowerShell命令，大大增加了检测和响应的难度。另一个新特点是直接从WebDAV服务器执行DLL文件而不将其保存到磁盘，进一步提高了其规避安全检测的能力。

攻击活动始于一封虚假的发票通知邮件，附带ZIP文件包含混淆的JavaScript代码。该代码通过WScript运行，启动base64编码的PowerShell命令，最终使用"rundll32.exe"通过导出函数"Entry"从WebDAV服务器执行恶意DLL。

Strela窃密软件最初由DCSO于2022年识别，主要用于窃取Microsoft Outlook和Mozilla Thunderbird等广泛使用的电子邮件客户端的账户凭证。这次升级显示了网络犯罪分子不断提高其攻击技术的趋势，对网络安全防御提出了新的挑战。

原文链接：

https://thecyberexpress.com/new-stealthy-strela-stealer-evades-security/

近日，IBM灵活服务处理器FSP（Flexible Service Processor）被发现存在一个严重的安全漏洞，可能允许未经授权的网络用户获得服务权限。该漏洞被编号为CVE-2024-45656，影响IBM服务器固件的多个版本，CVSS基础评分高达9.8。这一安全漏洞源于IBM服务处理器中的静态凭据。由于这些凭据的静态特性，网络用户可能获得FSP的服务权限，从而可能危及受影响系统的安全。

该漏洞影响了应用广泛的IBM Power系统，包括：

1. 运行固件版本FW1030.00至FW1030.61、FW1050.00至FW1050.21和FW1060.00至FW1060.10的Power10服务器

2. 固件版本为FW950.00至FW950.C0的Power9服务器

3. 使用固件版本FW860.00至FW860.B3的Power8服务器

IBM已发布安全更新以解决此漏洞，并强烈建议客户尽快安装以下固件版本：

1. Power10系统：

   FW1030.62(1030_082)、FW1050.22(1050_063)、FW1060.11(1060_065)或更新版本

2. Power9系统：

   FW950.C1(950_165)或更新版本

3. Power8系统：

   FW860.B4(860_246)或更新版本

目前，除了应用提供的固件更新外，尚无已知的解决方法或缓解措施。建议组织审查其系统，识别受影响的设备，并计划立即部署安全补丁，以最大限度地降低潜在利用的风险。

原文链接：

https://cybersecuritynews.com/ibm-flexible-service-processor-vulnerability/

2024年10月30日，苹果公司发布重大安全更新，修复了其90项服务和操作系统中所存在的漏洞，其中包括一些严重级别的安全隐患。

此次更新涵盖了所有苹果操作系统（macOS、iOS、iPadOS、watchOS、tvOS、visionOS），以及Safari和iTunes等服务。苹果强调，保持软件更新是用户维护苹果产品安全的最重要措施之一。

在macOS方面，此次修复了多个严重漏洞。其中一个漏洞可能允许攻击者访问用户的联系人信息，通过"查找我的"服务读取敏感位置信息，并泄露敏感的内核状态；另一个漏洞则可能导致恶意图像引发拒绝服务（DoS）攻击；还有一个漏洞可能使能够物理接触到Mac设备的攻击者在软件更新时绕过登录窗口；此外，Safari的隐私浏览模式也存在可能泄露浏览历史的问题。

在iOS和iPadOS方面，即使设备处于锁定状态，拥有物理访问权限的人也可能查看私密信息，包括因Siri相关漏洞而可能暴露的联系人照片。而visionOS 2.1更新修复了超过25个已识别的安全漏洞，其中一些可能允许恶意行为者执行任意代码、访问敏感信息，甚至导致系统崩溃。

原文链接：

https://www.infosecurity-magazine.com/news/apple-security-update-macos-ios/