【美国网络安全和基础设施安全局：针对加密投资者的诈骗活动激增】

【美国网络安全和基础设施安全局：针对加密投资者的诈骗活动激增】2024年06月15日05点54分老不正经报道，美国网络安全和基础设施安全局(CISA)于6月12日发出警告，称冒充诈骗行为有所增加，通常使用“政府雇员的姓名和头衔”。CISA警报解释说，其工作人员绝不会要求电汇“现金、加密货币或使用礼品卡”。据报道，诈骗再次成为“加密货币犯罪的最大驱动因素之一，2023年带来造成46亿美元损失”。

美国网络和基础设施安全局（CISA）对被拼多多应用利用的一个 Android 高危漏洞发出警告

美国网络和基础设施安全局（CISA）对被拼多多应用利用的一个Android高危漏洞发出警告编号为CVE-2023-20963的AndroidFramework漏洞允许攻击者在不需要任何用户互动的情况下在未打补丁的Android设备上提权。Google在三月初释出了补丁修复了漏洞，表示该漏洞正被用于针对性的利用。3月21日Google从其应用商店下架了拼多多应用。（Solidot）https://www.cisa.gov/known-exploited-vulnerabilities-catalog

天极智库美国国家安全局（NSA）联合多部门发布《面向供应商的软件供应链安全指南》

美国国家安全局（NSA）联合多部门发布《面向供应商的软件供应链安全指南》近日，美国国家安全局（NSA），NSA、网络安全和基础设施安全局（CISA）和国家情报总监办公室（ODNI）了《供应商软件供应链指南》，以解决国家关键基础设施面临的威胁。NSA认为网络攻击的目标是企业利用网络空间来侵入、禁用、或恶意控制计算环境或基础设施，破坏数据的完整性或窃取受控信息。NSA在通告中指出：软件供应链周期容易受到攻击，并面临潜在损害的风险。软件供应商可以在本次指南中获得指导，通过软件安全检查、保护软件、生产安全良好的软件等措施保护组织免遭损失。NSA在通告中指出，该指南是对SolarWinds攻击事件调查结果的反馈。据悉，NSA、CISA、ODNI联合组建的持久安全框架工作组（ESF）对该事件的调查结果表明，需要创建一套行业和政府评估的方法，重点关注软件供应商的需求。软件供应链中未得到缓解的漏洞给企业带来了巨大的风险。本系列文章对软件供应链的开发、生产和分销以及管理流程提出了可操作的建议，以提高这些流程的抗风险能力。所有组织都有责任建立软件供应链安全实践，以降低风险，但组织在软件供应链生命周期中的角色决定了这种责任的形式和范围。

网络安全［勒索软件TeslaCrypt关闭，公开主密钥］出于未知的原因，勒索TeslaCrypt开发者宣布关闭项目，公开主密

网络安全［勒索软件TeslaCrypt关闭，公开主密钥］出于未知的原因，勒索软件TeslaCrypt开发者宣布关闭项目，公开主密钥，发表了一份简短的致歉声明“wearesorry！”安全研究人员随后发布一个免费的解密软件TeslaDecoder。当受害者的电脑感染TeslaCrypt之后，它会加密.xxx、.ttt、.micro和.mp3后缀的文件。杀毒软件ESET的研究人员在这之前已经注意到TeslaCrypt似乎要关门，正在切换到其它勒索软件，因此通过TeslaCrypt支付网站的聊天工具询问他们是否能释出主密钥。出乎他意料的是，对方同意了。http://www.bleepingcomputer.com/news/security/teslacrypt-shuts-down-and-releases-master-decryption-key/

美国政府将要求制定网络安全法，对关键基础设施实施监管

美国政府将要求制定网络安全法，对关键基础设施实施监管据政府高级官员称，拜登政府将公布一项国家战略，首次呼吁对国家关键基础设施进行全面的网络安全监管，明确承认多年的自愿做法未能确保国家免受网络攻击。该战略建立在美国政府去年实施的有史以来第一个石油和天然气管道法规的基础上，此前该国最大的管道之一遭到黑客攻击导致临时关闭，导致加油站排长队和对燃料短缺的担忧。讲俄语的犯罪分子对ColonialPipeline的攻击将勒索软件升级为国家安全问题。该战略由白宫国家网络主管办公室(ONCD)制定，目前正处于机构间批准的最后阶段——涉及20多个部门和机构——预计将在未来几周内由拜登总统签署，据不愿透露姓名的官员称，因为该文件尚未公开。战略与国际研究中心智囊团的网络安全专家詹姆斯刘易斯说：“这与以前的战略有所不同，以前的战略侧重于信息共享和公私合作伙伴关系作为解决方案。”“这远远超出了这个范围，它说的是其他人一直不敢说的话”。——