9月28日消息，全国信息安全标准化技术委员会归口的国家标准《信息安全技术 网络安全信息报送指南》现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求，现将该标准征求意见稿面向社会公开征求意见。截止日期为2022年11月27日。

9月28日消息，为落实疫情防控政策，针对健康码伪造现象给疫情防控工作带来严重安全挑战，信安标委秘书处组织编制了《网络安全标准实践指南—健康码防伪技术指南》。《实践指南》给出了现场核验场景下健康码防伪的技术指南，指导健康码服务的技术提供方提高防伪能力，提升整体安全水平。

9月28日消息，FreeBuf WitAwards 2022中国网络安全行业年度评选正式启动。本次评选共设立五大奖项，分别是「年度安全品牌影响力」「年度创新产品」「年度技术变革」「年度优秀解决方案」「年度开源&社区安全工具」，最终结果将在CIS 2022网络安全创新大会现场揭晓并颁奖。

9月27日，浪潮集团旗下浪潮云信息技术股份公司收购杭州思福迪信息技术有限公司签约仪式在济南举行。此次签约，双方将利用各自的资源和优势，在前期合作的基础上，不断深化合作空间、放大合作成果，共同努力将安全品牌做大做强，切实为浪潮云产品研发能力注入新鲜的血液，提升浪潮云在安全产品能力方面的竞争力。

9月26日消息，派拉软件发布《银行零信任安全白皮书》，其意在指引利用零信任安全技术的优势，加快推进并完善银行业务安全的建设。本白皮书共四个章节，从银行业在信息化发展的环境背景着眼，对其面临的安全挑战进行思考，提出银行零信任安全框架及业务场景的实现路径，并进一步对安全合规与隐私保护进行分析。同时，结合网络安全发展趋势，对银行业零信任安全的发展进行剖析，是银行数字化转型的指导旗帜文件。

据外媒报道，以色列国防承包商Elbit的美国分公司Elbit Systems of America遭到攻击后数据泄露。6月下旬，勒索团伙Black Basta曾声称入侵了Elbit Systems of America，并将该公司添加到其Tor网站上。现在，该公司确认于6月8日发生了数据泄露事件，影响了369个人 。泄露的数据包括姓名、地址、社会安全号码、出生日期、直接存款信息和种族信息等。该公司已经通知受影响人员的人，并将为他们提供12个月的身份保护和信用监控服务。

据外媒报道，英国隐私监管机构宣布有意对违反该国数据保护法的社交媒体平台TikTok处以2700万英镑的罚款。信息专员办公室(ICO)已向TikTok发出“意向通知”。TikTok在2018年5月至2020年7月期间可能未经父母同意处理13岁以下儿童的数据；未能以简洁、透明和易于理解的方式向用户提供信息；以及在没有法律依据的情况下处理特殊类别数据（包括种族和种族、遗传、健康和生物特征数据等）。ICO表示，目前，调查是初步的，通知是临时的，其将在仔细考虑TikTok的陈述后再做决定。

9月27日消息，中央网信办违法和不良信息举报中心组织第九批617家网站平台向社会统一公布举报受理方式。网站平台向社会统一公布举报受理方式，是推动网站平台规范开展网络举报工作、自觉接受社会监督的重要举措。网站平台应以公布举报受理方式为契机，切实履行主体责任，进一步畅通违法和不良信息举报渠道，及时受理处置和反馈网民举报投诉，切实维护好网民合法权益，共同营造清朗网络空间。

9月27日消息，全国信息安全标准化技术委员会归口的国家标准《信息安全技术 网络安全众测服务要求》现已形成标准征求意见稿。根据《全国信息安全标准化技术委员会标准制修订工作程序》要求，现将该标准征求意见稿面向社会公开征求意见。截止时间为2022年11月26日。

据外媒报道，法国一家拥有1000个床位的中心医院Centre Hospitalier Sud Francilien上个月底遭受了一次网络攻击，并收到了一个与LockBit勒索软件合作的组织的1000万美元赎金要求。医院拒绝向勒索软件组织付款，之后，近12GB的患者和工作人员数据被泄露，泄露的内容包括社会安全号码、实验室报告和其他健康数据。攻击者推迟了最后通牒的日期，并将赎金要求降至100万美元。CHSF董事会主席Medhy Zeghouf表示，即使金额减少，医院也拒绝付款。

据外媒报道，研究人员发现攻击者开始使用一种新的代码执行技术，该技术依赖于Microsoft PowerPoint演示文稿中的鼠标移动来触发恶意PowerShell脚本。该恶意代码不需要恶意宏来执行和下载有效载荷，从而进行更隐蔽的攻击。PowerPoint文件包含一个超链接，作为启动恶意PowerShell脚本的触发器。当以演示模式打开诱饵文档并且受害者将鼠标悬停在超链接上时，会激活恶意PowerShell脚本从Microsoft OneDrive帐户下载JPEG文件。

据外媒报道，新的Erbium窃密木马正在通过流行视频游戏的虚假破解和作弊程序分发，以窃取受害者的凭据和加密货币钱包。Erbium窃密木马以恶意软件即服务(MaaS)的商业模式获利，其为订阅者提供了一种新的信息窃取恶意软件。专家建议不要下载盗版软件、用杀毒软件对下载文件进行扫描，安装最新补丁。

上海市通信管理局近期组织第三方检测机构对本市APP应用侵害用户权益行为开展检查。经检测发现127款APP存在“违规收集个人信息”“违规使用个人信息”“APP强制、频繁、过度索取权限”等相关问题，上海市通信管理局已通报相关APP运营企业，督促存在问题的APP进行整改。截至目前，尚有25款APP未完成整改，这些APP应在9月30日前落实整改工作。

据cnBeta9月27日报道，以色列国防承包商埃尔比特系统公司的美国分公司表示，其网络在6月初遭到黑客攻击，员工的个人信息被盗。埃尔比特系统美国分公司在提交给缅因州总检察长办公室的一份通知中称，有369名员工受到数据泄露的影响，其中包括员工姓名、地址、出生日期、直接存款信息、种族和社会安全号码。

据cnBeta9月27日报道，Cloudflare于本周宣布推出了两项主打“零信任”（Zero Trust）的新服务。两项服务分别为 Zero Trust SIM 和 Zero Trust for Mobile Operators，主要面向注重设备安全的企业、以及提供数据服务的运营商，旨在为目标智能机用户提供增强的安全防护。

据外媒报道，乌克兰安全局(SSU)的网络部门捣毁了一个曾窃取并出售3000万个账户的黑客团伙。据SSU称，他们从此次行动中获利1400万UAH（380000美元）。攻击者子通过恶意软件感染来获取凭据和数据，主要针对乌克兰和欧盟组织的系统。他们还通过在乌克兰被禁止的电子支付系统YuMoney、Qiwi和WebMoney收款。目前，被捕的人数仍未披露，但他们都因未经授权出售或分发在存储于计算机和网络中的访问受限的信息而面临刑事诉讼及多年监禁。

据外媒9月26日报道，研究人员在Google Play上发现了75个广告应用，在App Store上发现了另外10个广告应用，总共被安装了1300万次。除了向手机用户投放可见和隐藏的广告外，这些欺诈应用还通过冒充合法的应用来创收。虽然这种类型的应用不存在严重的威胁，但攻击者可以利用它们进行更危险的活动。研究团队已将这些发现通知Google和Apple，目前这些应用已从官方Android和iOS商店中删除。

甘肃网警消息，近日，山东省济南市公安局长清区分局联合网安支队在开展夏季治安严打整治“百日行动”中，成功侦破一起非法控制计算机信息系统案件。经查，一个组织大量考生到济南报名参加考试、并利用远程控制计算机进行考试作弊的犯罪组织架构浮出水面。本案中涉案作弊的考生来自全省多个地市共250余人，涉案资金近百万元。

据SecurityLab.ru9月26日报道，赛门铁克称，Coreid组织已更新Darkside勒索软件，并为其合作伙伴提供更高级的功能。更新后的勒索软件提供两种不同的加密算法和加密模式，现在Coreid正在摆脱那些没有给其带来足够利润的合作伙伴。

据外媒报道，卡巴斯基的安全研究人员发现了一系列新的活动，这些活动的核心是一款恶意软件工具NullMixer，其通过恶意网站传播恶意软件。当用户尝试从其中一个站点下载软件时，他们会被重定向多次，并最终登陆一个包含下载说明的页面，以及作为所需软件工具的受口令保护的恶意软件压缩包。然而，当用户提取并执行NullMixer时，恶意软件会将几个恶意软件文件放到受感染的机器上。