据外媒报道，与越南网络犯罪生态系统有关的网络犯罪分子正在大量的利用社交媒体平台（包括 Meta 旗下的 Facebook）作为传播恶意软件的重要手段。据 WithSecure 的研究人员 Mohammad Kazem Hassan Nejad 称，在过去的一年时间里，针对 Meta Business 和 Facebook 账户的网络攻击变得越来越流行， Ducktail 和 NodeStealer 等网络犯罪团伙一直在利用大量欺骗性的广告针对受害者实施各种诈骗和恶意广告攻击。滥用 URL 缩短器、使用 Telegram 进行命令和控制 (C2)，以及使用合法云服务托管恶意有效载荷是常用手段。

谷歌在周一发布的安全公告中指出，“谷歌发现在野存在 CVE-2023-4863的利用。”该漏洞是由 WebP 堆缓冲溢出弱点引发的，可造成崩溃、任意代码执行等影响，由苹果安全工程和架构 (SEAR) 以及公民实验室在上周三报送。新版本目前推给 Stable 和 Extended 稳定频道用户，预计将在未来几天或几周的时间内推送给所有用户。建议 Chrome 用户将浏览器更新至 116.0.5845.187版本（Mac 和 Linux）以及116.0.5845.187 .188 (Windows) 版本。用户可直接通过 Chrome目录＞帮助＞关于 Google Chrome 直接获取。

9月11日，谷歌宣布将弃用标准的 Google Chrome 安全浏览功能，并在未来几周内全面推广增强型安全浏览功能，为所有用户在浏览网页时提供实时网络钓鱼防护。据悉，自 2007 年以来，Google Chrome 就利用了安全浏览安全功能，保护用户免受推送恶意软件或显示网络钓鱼页面的恶意网站的侵害。但由于不良 URL 列表是在本地托管，因此它无法保护用户免受自上次更新列表以来检测到的新站点的影响。为了提供更好的安全性，Google推出了增强型安全浏览功能 ，以实时保护用户免受恶意网站侵害。

日前有研究人员表示，苹果在紧急安全更新中修复的两个零日漏洞已经监测到被攻击者滥用，漏洞被用作零点击漏洞利用链的一部分，将 NSO Group 的 Pegasus 商业间谍软件部署到了打过补丁的 iPhone 上。这两个漏洞分别为 CVE-2023-41064 和 CVE-2023-41061，允许攻击者通过包含恶意图像的 PassKit 附件感染运行 iOS 16.6 的 iPhone。研究人员将该漏洞利用链称为 BLASTPASS。该漏洞利用链能够危害运行最新版本 iOS (16.6) 的 iPhone，而无需受害者进行任何交互。

本周，思科确认其思科自适应安全设备 (ASA) 和思科 Firepower 威胁防御 (FTD) 中存在 CVE-2023-20269 零日漏洞，勒索软件操作会积极利用该漏洞来获取对企业网络的初始访问权限。漏洞影响 Cisco ASA 和 Cisco FTD 的 VPN 功能，允许未经授权的远程攻击者对现有帐户进行暴力攻击。通过访问这些帐户，攻击者可以在受攻击组织的网络中建立无客户端 SSL VPN 会话。思科在临时安全公告中提供了解决办法，并提醒用户尽快升级。

日前，有研究人员披露，发现了一个新的网络钓鱼活动正在滥用 Microsoft Teams 消息来发送安装 DarkGate Loader 恶意软件的恶意附件。该活动于 2023 年 8 月下旬开始，发现两个受感染的外部 Office 365 帐户向其他组织发送了 Microsoft Teams 网络钓鱼消息。这些帐户被用来诱骗用户打开并下载恶意软件。研究人员发现， 该网络钓鱼活动中包含恶意 VBScript脚本，能够触发感染链，从而导致识别为 DarkGate Loader 的有效负载。为了尝试逃避检测，下载过程利用 Windows cURL 来获取恶意软件的可执行文件。

日前，Cybernews Research团队的发布的一项调查报告显示，全球多所顶尖大学在网络安全方面都存在易被攻击的安全缺陷，存在安全漏洞未打补丁、敏感信息泄露甚至网站被全面接管等安全问题，在已发现的20个存在明显安全问题的高校网站案例中，至少有6个属于全球Top100 的顶尖高校。Cybernews研究人员称，一直以来针对教育系统的攻击都非常普遍，从试图取消课程的学生发起的DDoS攻击到全面的勒索软件攻击都十分常见，这反映出，教育系统的网络安全建设滞后，网络安全意识仍然有待提高。

9月11日，国家安全部公布美国“功勋”间谍梁成运在华落网的大量细节。2023年5月15日，江苏省苏州市中级人民法院以间谍罪判处梁成运无期徒刑，剥夺政治权利终身，并没收个人财产五十万元。据悉，梁成运为美间谍情报机关搜集大量涉华情报，美间谍情报机关总部负责人曾授予他“功勋奖牌”。近年来，我国面临的安全威胁日趋多元，反间谍斗争形势也更加严峻复杂。今年以来，国家安全机关已公布多起间谍案件，如公民和组织发现间谍行为可以拨打电话12339向国家安全机关举报。

日前，票务网站See Tickets发布声明称，在5月份的一次攻击事件中，超过30万名用户的支付卡信息在Web Skimmer攻击中被盗。See Tickets表示，在5月份开始，发现其某些电商网站上存在异常活动。通过进一步的调查发现，有恶意攻击者在一些电商结账页面中注入了多个恶意代码。在数个月内，这些恶意代码收集并窃取了用户在结账页面上提供的信息，包括姓名、地址和支付卡信息。目前，See Tickets已实施额外的措施来保护其网页上的支付卡信息。

据外媒报道，斯里兰卡信息和通信技术局 （ICTA）日前证实，在大规模勒索软件攻击之后，所有使用 “gov.lk ”电子邮件域的政府办公室，包括内阁办公室，都丢失了5月17日至8月26日的数据。勒索攻击发生于8月26日，部分网站被攻击者加密。虽然信息和通信技术局(ICTA)在云中维护了多个备份，但被入侵服务器的加密过程却被复制到了在线备份系统中，导致在线备份系统损坏，丢失了近两个半月的数据。该事件影响了约5000个邮箱，ICTA称已经采取措施，开始每日离线备份，并尝试找回数据。

9月11日，据全国信安标委官方发布消息，为提高标准编制工作的开放性、公正性、透明性，提升标准的实用性和质量，公开就《信息安全技术 网络安全运维实施指南》、《信息安全技术 信息安全风险管理指导》、《信息安全技术 标识密码认证系统密码及其相关安全技术要求》、《信息安全技术 公钥基础设施 时间戳规范》、《信息安全技术 网络安全试验平台 体系架构》、《信息安全技术 公钥基础设施 证书管理协议》在内的多项信安标准征集参编单位，相关单位可公开申请报名。

近日，奇安信发布致远OA前台任意用户密码重置漏洞安全风险通告。通告指出，奇安信CERT监测到致远官方发布了短信验证码绕过重置密码漏洞的补丁公告，修复致远OA前台任意用户密码重置漏洞(QVD-2023-21704)：未经授权的远程攻击者在已知用户名的情况下可通过发送HTTP请求来触发任意用户密码重置，最终可导致任意用户登录。鉴于此漏洞利用简单且影响范围较大，建议用户尽快做好自查及防护。

国家邮政局、中央网信办、公安部三部门联合召开邮政快递领域隐私运单应用工作推进会，强调推广应用隐私运单是贯彻落实个人信息保护法、保障寄递用户个人信息安全的有效举措，要求增强风险意识，不断升级技术手段，持续完善用户个人信息安全保障措施，加强对从业人员的教育培训，提升从业人员保护用户信息的能力。

近日，广州市荔湾区人民法院公布一起侵犯公民个人信息罪案件，广州某医院两名护工利用工作便利，在跟随医院救护车急救过程中，未经同意擅自将包括急救病人及丧者家属的居住住址、联系方式等公民个人信息，分别按照每条1000元、2000元的价格非法出售给某殡葬服务公司，获利10万余元。法院依法判处两人犯侵犯公民个人信息罪，判处有期徒刑三年至一年，缓刑四年至一年六个月，并处罚金。

抖音安全中心近日公布了抖音关于“发布特定内容需主动添加标识”的公告，发布由人工智能生成的内容（AIGC）时，需添加声明“内容由 AI 生成”，发布涉及虚构情节的内容时，需添加标识“情景演绎，仅供娱乐”，帮助用户区分虚构内容与真实事件。对于屡次未添加或错误添加的，平台将视违规情节和造成的影响，对账号进行处罚，包括但不限于取消投稿权限、取消营利权限、抹除账号粉丝、封禁账号等。

卡巴斯基安全研究员发现，谷歌应用商店中近日出现了伪装成Telegram修订版的间谍软件，该软件可入侵安卓设备，并窃取用户的姓名、ID、联系人、电话号码和聊天信息，还能将这些信息传输至恶意行为者的服务器上。这些软件在被谷歌商店下架前，已经被下载了数百万次。

2023年国家网络安全宣传周于9月11日-17日在全国范围内举办，其中，开幕式、网络安全技术高峰论坛、网络安全博览会等重要活动于福建省福州市举办，并将依次举办校园日、电信日、法治日、金融日、青少年日、个人信息保护日等主题日活动。网络安全博览会于9月10日—16日在福建省福州市举办，展示面积约2万平方米,参展单位70余家，设置有关键信息基础设施保护、数据安全、个人信息保护、网络安全产品与服务等展区。

近日，北京长扬软件有限公司宣布完成数千万元Pre-A轮融资，由深创投领投，曦域资本跟投。长扬软件聚焦国家基础软件安全领域，打造安全操作系统系列产品，开展信创产品的迁移适配、重构、独立研发及安全解决方案设计与实现。本轮融资主要用于核心技术创新以及相关研发基础设施建设。

日前，十四届全国人大常委会立法规划发布，网络安全法和反不正当竞争法被纳入第一类立法项目中，将完成修改。官方信息显示，此次立法规划分为三类，第一类项目为“条件比较成熟、任期内拟提请审议的法律草案”，共79件（制定32件、修改47件）。网络安全法自2017年6月1日起施行，这是首次迎来修改。去年9月，国家网信办公布修改网络安全法的征求意见稿，拟提高相关违法行为的法律责任，并强化与个人信息保护法的衔接。

据南华早报消息，勒索软件组织Trigona声称，已从香港科创中心数码港窃取超过400GB数据，要求支付30万美元（约合港币235万元）才能归还。数码港已就网络安全漏洞向警方和香港隐私监管机构上报。数码港商业园区有140名员工，是1900家初创企业和科技公司的运营基地。警方表示，已将此案移交网络安全及科技罪案调查科进行调查，目前尚未有人被捕。