新闻速览

•三部门联合开展2024年度北京市汽车数据安全管理情况等报送工作

•《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》发布

•牛津大学领衔，英国启动跨领域安全研究网络计划

•趋势科技紧急修复Deep Security验证组件漏洞，可致远程命令执行

•瞄准安全运营”空档期”：86%勒索软件攻击发生在周末和节假日

•XenoRAT攻击范围全面扩大，可利用Excel-DNA框架规避安全检测

•全球金融科技巨头Finastra遭网络攻击，超400GB数据或已泄露

•突破传统反欺诈机制，新型NFC支付诈骗手法全球蔓延

•警惕！实体信件成为Android恶意软件新型传播途径

•首批125个名额！GitHub“安全开源基金”项目开放申请

•创新数据安全厂商Cyera再获3亿美元融资

特别关注

三部门联合开展2024年度北京市汽车数据安全管理情况等报送工作

为规范汽车数据处理活动，保护个人、组织的合法权益，维护国家安全和社会公共利益，促进汽车数据合理开发利用，根据《汽车数据安全管理若干规定（试行）》，北京市互联网信息办公室、北京市经济和信息化局、北京市通信管理局日前联合组织开展2024年度北京市汽车数据安全管理情况等报送工作，有关要求如下：

一、报送对象

注册地为北京地区且开展重要数据处理活动的汽车数据处理者，包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等。

二、报送内容

1. 2024年度汽车数据安全管理情况报告；
2. 风险评估报告；
3. 开展重要数据处理活动的汽车数据处理者情况表。

三、报送时限

即日起至2024年12月15日。

四、报送方式

本市汽车数据处理者开展重要数据处理活动的，应按要求编制《2024年度汽车数据安全管理情况报告》《风险评估报告》，填写《开展重要数据处理活动的汽车数据处理者情况表》，均加盖企业公章，将加盖公章的扫描版+word电子版报送至北京市互联网信息办公室。

原文链接：

https://mp.weixin.qq.com/s/-E-obR-P-LTGPZNA2II7GQ

《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》发布

为落实《全球数据跨境流动合作倡议》，促进粤港澳大湾区个人信息跨境安全有序流动，全国网络安全标准化委员会秘书处联合香港私隐公署编制了《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》。

本《实践指南》规定了粤港澳大湾区（内地、香港）个人信息处理者或者接收方，在大湾区内地和香港间通过安全互认方式进行大湾区内个人信息跨境流动应遵守的基本原则和要求，适用于指导大湾区内个人信息处理者开展个人信息跨境处理活动。

原文链接：

https://mp.weixin.qq.com/s/Rg90h4TOC8Ca1AsQTNFsFg

热点观察

牛津大学领衔，英国启动跨领域安全研究网络计划

英国政府日前表示，将投入600万英镑建设全新网络安全研究网络。网络安全研究与网络环境（CRANE）NetworkPlus计划由牛津大学计算机科学系牵头，将于明年初正式启动，该项目获得了英国研究与创新署工程与物理科学研究委员会（UKRI EPSRC）的资金支持。

牛津大学计算机科学系教授Andrew Martin表示：”社会和技术研究领域都迫切需要改进网络安全。我们希望帮助社区识别研究能带来最大效益的领域，并在英国及其他地区推动其发展。”

作为英国国家网络战略的重要组成部分，CRANE旨在整合学术研究者、政府、产业界和非营利组织的力量。CRANE计划会通过帮助研究人员组建特定网络安全研究领域的特殊兴趣小组和工作组，支持基层研究工作，促进见解、方法和突破性成果的分享。该计划还将建立首个专注于网络安全研究的学术协会，汇聚跨学科研究人员，为英国企业、政府和志愿者、慈善及社区部门提供接触专家的重要渠道。

原文链接：

https://www.itpro.com/security/new-research-network-launched-to-bolster-uks-cybersecurity

趋势科技紧急修复Deep Security验证组件漏洞，可致远程命令执行

趋势科技Deep Security软件近日曝出严重漏洞（CVE-2024-51503），攻击者可能利用该漏洞在受影响系统上执行远程代码。

据趋势科技研究人员介绍，这个被命名为ZDI-CAN-25215的漏洞源于操作系统命令注入缺陷（CWE-78，影响Windows平台上20.0.1-21510版本之前的Deep Security Agent软件和DSVA版本20.0.0-8438的Deep Security Notifier组件。具有合法域访问权限的攻击者可能通过该漏洞向同一域内的其他机器远程注入命令。不过值得注意的是，攻击者需要先获得目标系统的低权限代码执行能力，才能利用这个漏洞。

为应对这一安全威胁，趋势科技已紧急发布安全更新。Windows平台用户可升级到Deep Security Agent 20.0.1-21510版本（20 LTS Update 2024-10-16），而Deep Security Notifier on DSVA的用户则需要安装DSA 20.0.1完整包或更高版本以更新Notifier功能。

原文链接：

https://cybersecuritynews.com/trend-micro-deep-security-vulnerability/

网络攻击

瞄准安全运营”空档期”：86%勒索软件攻击发生在周末和节假日

Semperis最新发布的《2024年勒索软件风险报告》显示，勒索软件团伙正越来越多地利用周末和节假日发动攻击，因为这些时期网络安全团队的人员配备通常较少。

报告显示，86%经历过勒索软件攻击的受访组织是在周末或节假日遭到攻击。尽管96%的受访组织声称维持24/7安全运营中心（SOC）运作，但85%的组织在节假日和周末会将安全运营中心人员削减多达50%。

Semperis公司EMEA West区域副总裁Dan Lattimer指出，运营一个完整的安全运营中心成本高昂。在预算或人员不足的情况下，根本无法实现每周七天的持续运营。”有些组织会因为周末在线员工较少，认为遭受钓鱼链接等攻击的风险较低。不幸的是，勒索软件攻击者深知这一点，并将其视为机会，在无人能够快速响应的时间点发起攻击。

值得注意的是，许多组织对其身份防御能力估计过高。调查显示，81%的受访者认为他们具备防范与身份相关攻击的必要专业知识，但83%的组织在过去12个月内仍遭受过成功的勒索软件攻击。

原文链接：

https://www.infosecurity-magazine.com/news/cybercriminals-exploit-weekend/

XenoRAT攻击范围全面扩大，可利用Excel-DNA框架规避安全检测

安全研究人员近期发现了一种利用Excel XLL文件传播的新型攻击载体，攻击者通过这种方式传播开源远程访问工具XenoRAT，展示了威胁行为者为绕过安全措施而采用的不断进化的攻击策略。

Hunt研究团队在分析恶意软件库时发现了这个新型XenoRAT样本。这款通常针对游戏玩家的恶意软件，被打包成使用Excel-DNA框架生成并经ConfuserEx保护的XLL文件。分析显示，XenoRAT使用C#编写，因其可访问性强且应用广泛而声名远扬。该恶意软件此前主要通过鱼叉式钓鱼和软件伪装攻击游戏玩家，现已扩大攻击范围。

从技术角度分析，这个伪装成”Payment Details”的恶意软件采用多阶段攻击流程：首先通过Excel-DNA生成XLL文件进行初始投递，随后大量使用ConfuserEx进行混淆以阻碍分析。其执行链包括触发混淆的批处理文件、执行SFX RAR压缩包，并显示诱饵PDF文件以维持合法性表象。

攻击者实施了多种复杂的检测规避方法：滥用Excel-DNA这一合法Excel开发工具直接将压缩的.NET程序集加载到内存中；对”MAIN”模块进行大量混淆以隐藏功能；操纵时间戳（编译时间显示为2052年10月22日）以绕过安全过滤。

原文链接：

https://cybersecuritynews.com/xenorat-weaponizes-excel-xll-files/

全球金融科技巨头Finastra遭网络攻击，超400GB数据或已泄露

全球金融科技巨头Finastra近日确认遭遇网络安全事件。一名威胁行为者在黑客论坛上兜售疑似从该公司窃取的400G数据。Finastra作为一家金融软件公司，服务于130多个国家的8000多家机构，其中包括全球50大银行和信用社中的45家。该公司拥有1.2万名员工，去年营收达17亿美元。

Finastra透露，其安全运营中心（SOC）于11月7日检测到内部托管的安全文件传输平台（SFTP）出现可疑活动。攻击者利用被盗凭证访问了该SFTP系统。公司立即启动调查并邀请第三方网络安全专家协助，同时采取预防措施隔离和控制了受影响平台。

目前的调查显示，此次入侵仅限于单一SFTP平台，未发现横向移动的迹象。该公司强调，被入侵的SFTP平台并非所有客户都在使用，也不是Finastra用于文件交换的默认平台。不过，事件的具体影响范围仍在调查中，确定受影响用户可能需要一定时间。

原文链接：

https://www.bleepingcomputer.com/news/security/fintech-giant-finastra-investigates-data-breach-after-sftp-hack/

突破传统反欺诈机制，新型NFC支付诈骗手法全球蔓延

网络安全公司Threat Fabric最新披露了一种名为”Ghost Tap”的新型支付欺诈手法，犯罪分子通过该方式滥用NFC移动支付系统盗取资金。这种攻击方法在此前移动恶意软件NGate的基础上进行了改进，使用更隐蔽的方式中继NFC卡数据到全球的资金骗取团伙。

相关研究人员透露，他们近期观察到这种攻击手法在野使用频率显著上升。与NGate攻击相比，Ghost Tap无需实体银行卡或受害者设备，也不需要持续与受害者交互，而是通过多个位于远程位置的资金骗取团伙与销售终端（PoS）进行交互。

与此前NGate攻击中仅限于小额非接触支付和ATM提款不同，Ghost Tap操作仅进行销售点套现，并将其分散到全球范围内的骗取团伙网络中。这种方式掩盖了主要操作者的踪迹，只让资金骗取团伙承担风险。为了躲避追踪，骗取团伙将设备设置为”飞行模式”，这种模式下NFC系统仍可正常运行。

原文链接：

https://www.bleepingcomputer.com/news/security/new-ghost-tap-attack-abuses-nfc-mobile-payments-to-steal-money/

警惕！实体信件成为Android恶意软件新型传播途径

瑞士国家网络安全中心（NCSC）近日发布警告称，一种通过传统邮件传播恶意软件的新型网络攻击手段正在威胁Android用户的安全。攻击者利用实体信件作为载体，巧妙地将现代网络威胁与传统邮件相结合，展开精心设计的钓鱼攻击。

根据披露，犯罪分子通过伪装成官方机构发送实体信件，声称推广”MeteoSwiss”应用程序。这款应用本应用于自然灾害预警，但攻击者制作了携带二维码的仿冒版本。用户一旦扫描信件中的二维码，就会被引导下载一个携带”Coper”恶意程序的伪装应用。

这款恶意软件具有窃取用户敏感信息的能力，可以获取受害者的银行账户凭证，并将数据传输至境外服务器。安全专家提醒，用户切勿轻易扫描来历不明的实体信件中的二维码，也不要点击可疑链接，以防止个人信息泄露和财产损失。

原文链接：

产业动态

首批125个名额！GitHub“安全开源基金”项目开放申请

GitHub近日宣布开放”安全开源基金”（Secure Open Source Fund）项目申请。该项目旨在为开源项目维护者提供资金和知识支持，以提升其软件的安全性和可持续性。该项目将于2025年1月7日截止申请，首批将接收125个维护者或项目。

该计划由行业知名企业、风险投资基金和非营利组织共同资助。GitHub开发者关系副总裁Martin Woodward表示，任何拥有有效开源许可证且位于GitHub Sponsors支持地区的现任开源项目维护者都可以申请。

入选项目将获得多项重要支持，包括：资金支持，获得安全教育培训机会，与GitHub安全实验室团队进行深入交流，了解相关政策（如安全设计、欧盟网络韧性法案等），免费获取并接受GitHub Copilot、Copilot Autofix和密钥扫描等工具培训，享受每半年一次的免费安全健康审查。

GitHub强调，该计划特别适合个人维护者或小型开源项目团队。入选者需要在为期3周的项目期间投入5-10小时，参与每周的教学、研讨会，并完成与项目管理者和GitHub安全实验室专家共同商定的项目特定安全里程碑相关的作业或重点工作。

原文链接：

创新数据安全厂商Cyera再获3亿美元融资

数据安全创业公司Cyera近日宣布完成3亿美元D轮融资，估值达30亿美元。这是该公司今年第二次获得同等规模融资。自2021年成立以来，Cyera累计融资达7.6亿美元。

Cyera联合创始人兼CEO Yotam Segev表示，在生成式AI广泛应用的背景下，公司的数据安全态势管理（DSPM）产品受到客户和合作伙伴的强烈需求。该工具专注于快速提供组织数据和身份访问状态的可见性，这对于确保Microsoft 365 Copilot等GenAI应用的安全使用至关重要。

Cyera的DSPM技术采用无代理方式，可跨云环境、SaaS、数据湖和本地环境工作，为企业提供统一的风险视图。今年10月，公司以1.62亿美元收购Trail Security，将独特的AI驱动DLP（数据丢失防护）方案整合到平台中。据悉，未来Cyera计划利用新融资继续增强DSPM工具，并在DLP领域添加更多功能。公司还将涉足隐私保护、治理、风险和合规（GRC）等领域，以满足客户的全方位数据安全需求。

原文链接：

https://www.crn.com/news/security/2024/cyera-ceo-on-raising-300m-to-become-the-end-to-end-data-security-platform