•CISA发布自愿网络安全绩效目标，提升软件安全性

•Telegram交出数千个用户数据，隐私政策转变引发关注

•美国启动网络信任标识计划，提升设备安全性

•黑客在暗网叫卖4.2万份文件，联合国国际民用航空组织展开泄露调查

•因数据泄露事件导致7900万客户记录外泄，华盛顿州起诉T-Mobile

•警惕新型社交工程攻击：以虚假CAPTCHA  页面诱骗用户

•安卓发布2025年首个安全更新，涉及第三方供应商组件漏洞

•长亭科技发布语义分析3.0版攻击检测引擎

CISA发布自愿网络安全绩效目标，提升软件安全性

美国网络安全和基础设施安全局（CISA）于2025年1月7日发布了针对IT和产品设计领域的新自愿网络安全绩效目标。这些IT领域特定目标（SSGs）与“安全设计”原则相一致，旨在保护该领域免受网络事件的影响，助力在产品发布前识别和解决漏洞，改善事件响应，并显著提升软件安全性。

CISA与IT领域协调委员会（IT SCC）进行了广泛合作，开发了这些目标。尽管这些目标专门针对IT领域，但它们为所有关键基础设施领域的软件和产品开发者提供了应重点关注的最低基础实践。CISA鼓励产品开发者采纳这些SSGs，以显著提升软件产品的网络安全态势，

推荐的行动包括：

• 将所有软件开发环境逻辑上分隔，使用网络分段和访问控制等措施；

• 定期记录、监控和审查用于授权和访问的软件开发环境中的信任关系；

• 要求使用多因素身份验证（MFA），理想情况下应为抗钓鱼的MFA，以访问所有软件开发环境；

• 为跨软件开发环境使用的软件产品建立并执行安全要求；

• 不要在源代码中存储敏感数据或凭据，而应以加密方式存储，例如使用秘密管理器；

• 建立软件供应链风险管理程序。

了解更多软件供应链安全相关信息，请关注安全牛最新报告：

《软件供应链安全能力构建指南（2024版）》报告发布

原文链接：

https://www.cisa.gov/news-events/news/cisa-releases-new-sector-specific-goals-it-and-product-design

Telegram交出数千个用户数据，隐私政策转变引发关注

Telegram 近日透露，该通讯平台满足了 900 项美国政府请求，向执法部门分享了 2,253 名用户的电话号码或 IP 地址。此前，Telegram 仅在涉及恐怖主义的情况下分享用户的 IP 地址和电话号码，直到 2024 年9 月30 日，仅满足了 14 项请求，涉及 108 名用户。这一数字的大幅增加，主要是由于 2024 年9 月该平台在用户数据共享政策上的转变。

Telegram 长期以来被用作与朋友和家人沟通、与志同道合者交流以及绕过政府审查的工具，但它也被广泛用于网络犯罪。威胁行为者常常利用该平台出售非法服务、进行攻击、交易被盗数据，或作为其恶意软件的指挥和控制服务器。在隐私政策发生变化后，Telegram 现在也会在其他犯罪案件中与执法部门共享用户数据，包括网络犯罪、非法商品交易和在线欺诈等。

这一变化是对当局施加压力的回应。Telegram 创始人兼首席执行官 Pavel Durov 于2024 年8 月底在法国被捕，面临多项指控，包括参与网络犯罪、组织诈骗和传播非法材料，以及拒绝协助合法拦截以支持犯罪调查。政策的转变已导致多个网络犯罪组织宣布退出 Telegram 。

原文链接：

https://www.bleepingcomputer.com/news/legal/telegram-hands-over-data-on-thousands-of-users-to-us-law-enforcement/

美国启动网络信任标识计划，提升设备安全性

美国政府近日宣布，备受期待的网络安全标识计划将于2025年正式启动，旨在为消费者的互联网连接设备提供安全标识。拜登政府于2023年6月首次推出美国网络信任标志（U.S. Cyber Trust Mark），表示这一自愿标识计划将提高互联网连接设备的安全标准，使美国消费者能够更明智地选择购买的设备。

尽管尚未公布具体的启动日期，但公告指出，企业将“很快”能够向11家获得批准的测试公司提交产品，以获得该标签，计划在2025年将认证产品推向市场。网络信任标志同样旨在提高消费级互联网连接设备的安全性，包括路由器、家庭监控摄像头、智能音箱和婴儿监视器等，这些设备通常出厂时配有易于猜测的默认密码，并且没有持续安全更新的承诺。

白宫表示，包括Best Buy和亚马逊在内的零售商将突出显示带有美国网络信任标志的产品，该标志将以二维码的形式呈现，消费者可以扫描二维码获取产品的网络安全信息，例如产品的支持期限和是否自动安装安全更新。获得网络信任标志的产品必须遵循由美国国家标准与技术研究院（NIST）制定的一系列网络安全标准。

了解更多终端安全相关信息，请关注安全牛最新报告：

《新一代终端安全技术应用指南（2024版）》报告发布（附下载二维码）

原文链接：

https://techcrunch.com/2025/01/07/us-government-set-to-launch-its-cyber-trust-mark-cybersecurity-labeling-program-for-internet-connected-devices-in-2025/

黑客在暗网叫卖4.2万份文件，联合国国际民用航空组织展开泄露调查

联合国国际民用航空组织（ICAO）于2025年1月7日宣布，正在调查一起被称为“一个以攻击国际组织而闻名的威胁行为者相关的潜在信息安全事件”的可能的安全漏洞。该机构强调，他们对此事非常重视，并已采取紧急安全措施，进行全面调查。

ICAO成立于1944年，是一个政府间组织，与193个国家合作，支持共同认可的技术标准的制定。

尽管ICAO尚未提供具体的调查触发原因，但是在声明发布两天前，威胁行为者natohub在BreachForums黑客论坛上泄露了4.2万份据称是被盗的ICAO文件。根据natohub的说法，这些被盗文件包含姓名、出生日期、地址、电话号码、电子邮件地址以及教育和就业信息。另一名威胁行为者声称，该档案包含2GB的文件，涉及57,240个独特的电子邮件地址。

原文链接：

https://www.bleepingcomputer.com/news/security/un-aviation-agency-investigating-potential-security-breach/

因数据泄露事件导致7900万客户记录外泄，华盛顿州起诉T-Mobile

近日，华盛顿州对 T-Mobile 提起诉讼，指控这家电信巨头未能在 2021 年8 月的数据泄露事件之前保护好数百万州居民的个人数据，此次泄露影响了全美超过 7900 万客户。诉讼旨在根据州消费者保护法寻求经济赔偿，并要求 T-Mobile 改善其网络安全政策。

此次泄露使黑客能够访问 T-Mobile 的系统，窃取了客户的姓名、出生日期、社会安全号码以及驾驶执照信息。部分被盗的客户数据随后在一个知名的网络犯罪论坛上被发布。

根据诉讼，T-Mobile 在泄露后未能向受影响客户提供充分的通知，且通知“遗漏了关键信息并淡化了事件的严重性”，这影响了消费者评估身份盗用或欺诈风险的能力。此外，诉状指出，该公司的“监控和警报配置不足”，使得黑客更容易在不被发现的情况下访问 T-Mobile 的网络。T-Mobile 的公开声明也被指责误导了公众对其网络安全防御能力及客户数据在暗网上威胁的认识。

原文链接：

https://techcrunch.com/2025/01/06/washington-sues-t-mobile-over-2021-data-breach-that-spilled-79-million-customer-records/

警惕新型社交工程攻击：以虚假CAPTCHA 页面诱骗用户

网络安全专家近日警告称，一种新的社交工程攻击变种正在兴起，攻击者利用虚假的 CAPTCHA 页面，模仿谷歌和 Cloudflare 等可信服务，诱使用户在其设备上执行恶意脚本。

Reliaquest 的研究表明，攻击者通过伪造 reCAPTCHA 界面，诱导用户执行下载有害脚本的命令。这些脚本能够建立安全外壳（SSH）隧道，窃取敏感数据。受害者在访问被攻陷的网站后，会被重定向到假冒的 CAPTCHA 页面。与通常的“点击交通信号灯的图片”或重新输入模糊字母的方式不同，用户被提示打开运行窗口，并粘贴一个在访问网站时悄悄复制到剪贴板的命令。这个恶意命令会导致恶意软件的安装，通常是像 Lumma Stealer 这样的凭据窃取工具。安全研究人员将这种让受害者自行执行恶意命令的方法称为“自我欺骗”攻击。

Reliaquest 指出，尽管这一攻击活动最早在 2024 年9 月被发现，但从 10 月到 2024 年12 月初，其客户观察到假冒 CAPTCHA 网站的数量几乎翻了一番。该公司警告称，黑客将继续改进假冒 CAPTCHA 攻击技术，使其更难以识别，并预测未来几个月将出现替代执行方法，这将对组织构成重大风险。

原文链接：

https://www.itpro.com/security/cyber-crime/fake-captcha-attacks-surged-in-late-2024-heres-what-to-look-out-for

安卓发布2025年首个安全更新，涉及第三方供应商组件漏洞

安卓系统近日发布了2025年的首个安全更新，披露了多项影响广泛的关键和高危安全缺陷，这些缺陷涉及多款安卓设备。

公告中指出，存在五个关键的远程代码执行（RCE）缺陷。这些缺陷影响安卓系统的核心组件及其底层架构。攻击者可以利用这些缺陷在不需要额外权限的情况下执行代码。所有在2025年1月5日或之后获得安全补丁的设备将受到保护。

此外，公告还详细说明了来自第三方供应商的组件漏洞：联发科技的调制解调器芯片组存在一个组件漏洞（CVE-2024-20154），可能导致数据写入错误的位置，使攻击者通过诱使设备连接到假基站，从而远程控制设备；高通的一个特定漏洞（CVE-2024-21464）在数据复制过程中，未检查数据是否适合内存空间，可能导致内存错误，尤其是在没有活跃用户连接设备互联网功能时。消费者使用谷歌发行的设备或其他安卓合作伙伴的设备时，建议及时有效地应用这些补丁。

原文链接：

https://cyberscoop.com/android-security-update-january-2025/

长亭科技发布语义分析3.0版攻击检测引擎

1月7日，长亭科技语义分析3.0暨雷池30巡回发布会在北京举行。长亭科技在发布会上展示了长亭语义分析技术的最新成果、雷池（SafeLine）全新升级30版本和WAF的最佳实践。

长亭科技CTO 刘金钊介绍，语义分析3.0版攻击检测引擎的核心原理是深度融合语义分析技术与机器学习技术。在新的引擎架构中，语义分析不再直接输出检测结果，而是专注于提取请求中的攻击特征，包括词法、语法和语义层面的特征。这些强安全特征相对稳定，减少了对引擎的维护需求。提取到的特征被送入多个AI模型进行判定，无需复杂庞大的深度神经网络模型，即能实现较高的判定准确率。这样的设计既保留了语义分析和机器学习两者的优点，同时又减少了各自的不足。

此外，雷池（SafeLine）下一代Web应用防火墙30版本聚焦“创新、智能、融合”三大特色，主要体现在安全核心引擎智能升级、模式融合与架构升级和WAAP方案融合升级。

原文链接：

https://mp.weixin.qq.com/s/WbNDrl9K7z7kKGoXpHcVyg