2024-04雙子座實(shí)驗(yàn)室contents品牌形象以及經(jīng)濟(jì)效益。然而，近年來供應(yīng)鏈攻擊事件頻發(fā)，不僅對單個企業(yè)造成嚴(yán)重沖擊，也對全球經(jīng)濟(jì)安了顯著威脅。本次報(bào)告通過分析近幾年供應(yīng)鏈攻擊走勢及重大事件，旨在探討當(dāng)前供應(yīng)鏈安全的發(fā)全風(fēng)險(xiǎn)、供應(yīng)鏈攻擊的典型特征及其對整個網(wǎng)絡(luò)安全行業(yè)造成的影響，報(bào)告同時給出了相應(yīng)的防范建34供應(yīng)鏈攻擊事件及特點(diǎn)近年來，供應(yīng)鏈攻擊的發(fā)生頻率呈明顯增長趨勢，攻擊者利用供應(yīng)鏈網(wǎng)絡(luò)固有的復(fù)雜性植入、代碼篡改、供應(yīng)鏈流程破壞等方式，實(shí)現(xiàn)了對目標(biāo)組織的深度滲透和控制。下圖為天際友盟監(jiān)測記錄的0從趨勢圖可以看出，從2021年到2023年，供應(yīng)鏈攻擊事件穩(wěn)步增加，可以預(yù)測到2024年，供應(yīng)鏈攻擊活動會更加頻繁，數(shù)量將大幅提升。僅從2014年第一季度來看，就已經(jīng)監(jiān)測到了近20起有影響力的攻擊案例，其中多在過去的幾年中，供應(yīng)鏈攻擊事件頻繁曝光，并造成了顯著的影響。下圖展示了最近八年來，一系列標(biāo)志性的供52017.062017.092018.072017.062017.09Notpetya勒索軟件利用烏克蘭會計(jì)軟件Notpetya勒索軟件利用烏克蘭會計(jì)軟件MeDoc傳播ccleaner系統(tǒng)清理及優(yōu)化工具遭到供應(yīng)鏈攻擊包被劫持傳播挖礦代碼2018.10廉價(jià)Android手機(jī)出廠被預(yù)安裝多款惡意程序2020.072019.092019.042020.072019.09wellMess網(wǎng)絡(luò)滲透和供應(yīng)鏈攻擊活動wellMess網(wǎng)絡(luò)滲透和供應(yīng)鏈攻擊活動shadowHammer攻擊活動針對多家亞洲公司進(jìn)行供應(yīng)鏈攻擊拉伯IT提供商,使用木馬syskit2020.11Lazarus組織使用供應(yīng)鏈攻擊針對政府和銀行領(lǐng)域2020.122021.022021.052020.12codecov供應(yīng)鏈攻codecov供應(yīng)鏈攻擊影響數(shù)百家公司Darkside黑客組織對美國輸油管供應(yīng)鏈攻擊道公司colonialpipeline的攻擊供應(yīng)鏈攻擊2021.07勒索組織REvil利用kaseyaoday發(fā)起大規(guī)模供應(yīng)鏈攻擊2022.032022.012021.112022.032022.01Log4j漏洞影響全球多個服務(wù)供應(yīng)商93個wordpressLog4j漏洞影響全球多個服務(wù)供應(yīng)商93個wordpress主題和插件被植入后門布近800個惡意NPM包2022.04●GitHubOAuth令牌攻擊2022.082022.072023.052023.032022.082022.072023.05針對。kta公司的身份憑證竊取活動針對。kta公司的身份憑證竊取活動NPM供應(yīng)鏈攻擊IconBurst,影響數(shù)百個網(wǎng)站和應(yīng)用3CX企業(yè)級電話管理系統(tǒng)供應(yīng)商遭遇供應(yīng)鏈攻擊漏洞供應(yīng)鏈攻擊2023.09Lazarus組織VMconnect供應(yīng)鏈攻擊活動2023.122024.032023.102023.122024.03身份安全公司。kta遭黑客身份安全公司。kta遭黑客攻擊，市值蒸發(fā)20億XZ壓縮庫供應(yīng)鏈攻擊事件7ZIP軟件供應(yīng)鏈投毒6_則是一個極其復(fù)雜且隱蔽的后門，在被植入SolarWindsOrion平臺軟件更新包后，通過供應(yīng)鏈傳播至SolarWinds效負(fù)載，其中RAINDROP還具備在網(wǎng)絡(luò)中橫向傳播的功能。完成環(huán)境檢測后，SUNBURST惡意軟件將向自定義的的后門，通過模擬系統(tǒng)管理軟件上的計(jì)劃任務(wù)來保持持久性。Sibot則是一個由VBScript編寫的惡意組件，功能包針對SolarWinds供應(yīng)鏈攻擊，研究人員認(rèn)為其幕后組織針對性很強(qiáng)，并且有著的由于SolarWinds的客戶群體十分龐大，給全球許MOVEitTransferWeb應(yīng)用程序中存在一個SQL注入漏洞，該漏洞可允許未經(jīng)身份驗(yàn)證的攻擊者訪問MOVEit7日則是美國"陣亡將士紀(jì)念日"，攻擊者似乎利用了美國聯(lián)邦假日無人值守或防御松懈的特點(diǎn)對目標(biāo)系統(tǒng)進(jìn)行攻擊。情況，進(jìn)一步定位到SSHD中調(diào)用的xz/liblzma模塊疑似被安插后門，并最終確認(rèn)該事件為一次非常嚴(yán)重的供應(yīng)鏈corrput_lzma2.xz和good-large_compressed.lzma兩個惡意測試文件。其中，XZ壓縮庫的編譯腳本會在特定條件下從文件中讀取惡意載荷以對編譯結(jié)果進(jìn)行修改，且攻擊者會利用glibc的IFUNC特性針對編譯的二進(jìn)制文件植入后門代碼，該后門代碼又會在特定條件下HOOK系統(tǒng)OpenSSH服務(wù)的RSA_public_decrypt函數(shù)，從而致使攻供應(yīng)鏈攻擊通常發(fā)生在供應(yīng)鏈的某個隱秘環(huán)節(jié)，如第三方軟件供應(yīng)商、硬件制造商、中間服務(wù)等環(huán)節(jié)，攻擊者_(dá)一旦攻擊者成功突破供應(yīng)鏈某一環(huán)節(jié)的防線，他們能夠深入到目標(biāo)網(wǎng)絡(luò)的核心區(qū)域，甚至可體系中的眾多組織。這種攻擊可能導(dǎo)致系統(tǒng)癱瘓、數(shù)據(jù)泄露、服務(wù)中斷等嚴(yán)重后果。從以上三個案例的嚴(yán)重社交工程等方式，欺騙供應(yīng)鏈成員獲得訪問權(quán)限，或者在供應(yīng)鏈產(chǎn)品中植入惡意軟件，或者利用供應(yīng)鏈環(huán)節(jié)中件的漏洞等。由于供應(yīng)鏈的復(fù)雜性和動態(tài)性，預(yù)防供應(yīng)鏈攻擊頗具挑戰(zhàn)。攻擊者可能利用供應(yīng)鏈中的薄弱環(huán)節(jié)及時更新的軟件、缺乏安全意識的員工等，進(jìn)行滲透，且單個組織的努力往往不足以抵御此類攻擊，所以供應(yīng)這些都需要攻擊者具備全面的攻擊能力和躲避檢測的技巧。供應(yīng)鏈攻擊相較于普通的惡意攻擊，其攻擊鏈要瞄準(zhǔn)某一薄弱環(huán)節(jié)進(jìn)行精準(zhǔn)攻擊，并配以完善的攻擊產(chǎn)業(yè)鏈，其獲取的回報(bào)往往是超出預(yù)期的，但也對。9不論是軟件還是硬件供應(yīng)商，若其安全措施不到位，都有可能成為攻擊者進(jìn)入目標(biāo)網(wǎng)開源軟件和通用組件的廣泛應(yīng)用帶來了便利，但也增加了供應(yīng)鏈攻擊的由于企業(yè)的供應(yīng)鏈條相對較長，面臨了上述提到的諸多風(fēng)供應(yīng)鏈攻擊能夠通過第三方供應(yīng)商或合作伙伴潛入目標(biāo)網(wǎng)絡(luò)，這意味著攻擊者可以繞過傳統(tǒng)邊界防滲透。一旦成功植入惡意軟件或取得控制權(quán)，攻擊者可以長時間在受害者的網(wǎng)絡(luò)中保持隱形，收集敏感信因供應(yīng)鏈網(wǎng)絡(luò)的連通性和輻射效應(yīng)，一次攻擊可能會影響眾多下游企業(yè)甚至消費(fèi)者。例如，通過篡改某一軟件供應(yīng)商的產(chǎn)品，攻擊者可以影響到數(shù)千乃至數(shù)萬家使用該軟件的企業(yè)和個人，從而造成大面積的數(shù)據(jù)泄受害企業(yè)不僅要應(yīng)對內(nèi)部系統(tǒng)安全問題，還可能因?yàn)楣?yīng)鏈攻擊事件導(dǎo)致公眾信任度下降，品牌形象受損，客當(dāng)供應(yīng)鏈攻擊瞄準(zhǔn)關(guān)鍵基礎(chǔ)設(shè)施（如能源、通信、交通、金融等領(lǐng)域）時，其影響遠(yuǎn)超商業(yè)范疇，可能觸及國_供應(yīng)鏈攻擊通常意味著修復(fù)成本極高，企業(yè)需要投入大量人力、財(cái)力和時間去排查安全隱患，修復(fù)受損系統(tǒng)，）：通過以上多維度的策略和措施，企業(yè)可以顯著降低供應(yīng)鏈攻擊的風(fēng)險(xiǎn)，并建立起_供應(yīng)鏈安全已成為當(dāng)今企業(yè)及全社會亟待關(guān)注和解決的重要課題。只有通過深入了解供應(yīng)鏈安全鏈攻擊的特點(diǎn)，構(gòu)建全面立體的防御體系，并積極推動供應(yīng)鏈安全