2024-04雙子座實驗室contents品牌形象以及經濟效益。然而，近年來供應鏈攻擊事件頻發，不僅對單個企業造成嚴重沖擊，也對全球經濟安了顯著威脅。本次報告通過分析近幾年供應鏈攻擊走勢及重大事件，旨在探討當前供應鏈安全的發全風險、供應鏈攻擊的典型特征及其對整個網絡安全行業造成的影響，報告同時給出了相應的防范建34供應鏈攻擊事件及特點近年來，供應鏈攻擊的發生頻率呈明顯增長趨勢，攻擊者利用供應鏈網絡固有的復雜性植入、代碼篡改、供應鏈流程破壞等方式，實現了對目標組織的深度滲透和控制。下圖為天際友盟監測記錄的0從趨勢圖可以看出，從2021年到2023年，供應鏈攻擊事件穩步增加，可以預測到2024年，供應鏈攻擊活動會更加頻繁，數量將大幅提升。僅從2014年第一季度來看，就已經監測到了近20起有影響力的攻擊案例，其中多在過去的幾年中，供應鏈攻擊事件頻繁曝光，并造成了顯著的影響。下圖展示了最近八年來，一系列標志性的供52017.062017.092018.072017.062017.09Notpetya勒索軟件利用烏克蘭會計軟件Notpetya勒索軟件利用烏克蘭會計軟件MeDoc傳播ccleaner系統清理及優化工具遭到供應鏈攻擊包被劫持傳播挖礦代碼2018.10廉價Android手機出廠被預安裝多款惡意程序2020.072019.092019.042020.072019.09wellMess網絡滲透和供應鏈攻擊活動wellMess網絡滲透和供應鏈攻擊活動shadowHammer攻擊活動針對多家亞洲公司進行供應鏈攻擊拉伯IT提供商,使用木馬syskit2020.11Lazarus組織使用供應鏈攻擊針對政府和銀行領域2020.122021.022021.052020.12codecov供應鏈攻codecov供應鏈攻擊影響數百家公司Darkside黑客組織對美國輸油管供應鏈攻擊道公司colonialpipeline的攻擊供應鏈攻擊2021.07勒索組織REvil利用kaseyaoday發起大規模供應鏈攻擊2022.032022.012021.112022.032022.01Log4j漏洞影響全球多個服務供應商93個wordpressLog4j漏洞影響全球多個服務供應商93個wordpress主題和插件被植入后門布近800個惡意NPM包2022.04●GitHubOAuth令牌攻擊2022.082022.072023.052023.032022.082022.072023.05針對。kta公司的身份憑證竊取活動針對。kta公司的身份憑證竊取活動NPM供應鏈攻擊IconBurst,影響數百個網站和應用3CX企業級電話管理系統供應商遭遇供應鏈攻擊漏洞供應鏈攻擊2023.09Lazarus組織VMconnect供應鏈攻擊活動2023.122024.032023.102023.122024.03身份安全公司。kta遭黑客身份安全公司。kta遭黑客攻擊，市值蒸發20億XZ壓縮庫供應鏈攻擊事件7ZIP軟件供應鏈投毒6_則是一個極其復雜且隱蔽的后門，在被植入SolarWindsOrion平臺軟件更新包后，通過供應鏈傳播至SolarWinds效負載，其中RAINDROP還具備在網絡中橫向傳播的功能。完成環境檢測后，SUNBURST惡意軟件將向自定義的的后門，通過模擬系統管理軟件上的計劃任務來保持持久性。Sibot則是一個由VBScript編寫的惡意組件，功能包針對SolarWinds供應鏈攻擊，研究人員認為其幕后組織針對性很強，并且有著的由于SolarWinds的客戶群體十分龐大，給全球許MOVEitTransferWeb應用程序中存在一個SQL注入漏洞，該漏洞可允許未經身份驗證的攻擊者訪問MOVEit7日則是美國"陣亡將士紀念日"，攻擊者似乎利用了美國聯邦假日無人值守或防御松懈的特點對目標系統進行攻擊。情況，進一步定位到SSHD中調用的xz/liblzma模塊疑似被安插后門，并最終確認該事件為一次非常嚴重的供應鏈corrput_lzma2.xz和good-large_compressed.lzma兩個惡意測試文件。其中，XZ壓縮庫的編譯腳本會在特定條件下從文件中讀取惡意載荷以對編譯結果進行修改，且攻擊者會利用glibc的IFUNC特性針對編譯的二進制文件植入后門代碼，該后門代碼又會在特定條件下HOOK系統OpenSSH服務的RSA_public_decrypt函數，從而致使攻供應鏈攻擊通常發生在供應鏈的某個隱秘環節，如第三方軟件供應商、硬件制造商、中間服務等環節，攻擊者_一旦攻擊者成功突破供應鏈某一環節的防線，他們能夠深入到目標網絡的核心區域，甚至可體系中的眾多組織。這種攻擊可能導致系統癱瘓、數據泄露、服務中斷等嚴重后果。從以上三個案例的嚴重社交工程等方式，欺騙供應鏈成員獲得訪問權限，或者在供應鏈產品中植入惡意軟件，或者利用供應鏈環節中件的漏洞等。由于供應鏈的復雜性和動態性，預防供應鏈攻擊頗具挑戰。攻擊者可能利用供應鏈中的薄弱環節及時更新的軟件、缺乏安全意識的員工等，進行滲透，且單個組織的努力往往不足以抵御此類攻擊，所以供應這些都需要攻擊者具備全面的攻擊能力和躲避檢測的技巧。供應鏈攻擊相較于普通的惡意攻擊，其攻擊鏈要瞄準某一薄弱環節進行精準攻擊，并配以完善的攻擊產業鏈，其獲取的回報往往是超出預期的，但也對。9不論是軟件還是硬件供應商，若其安全措施不到位，都有可能成為攻擊者進入目標網開源軟件和通用組件的廣泛應用帶來了便利，但也增加了供應鏈攻擊的由于企業的供應鏈條相對較長，面臨了上述提到的諸多風供應鏈攻擊能夠通過第三方供應商或合作伙伴潛入目標網絡，這意味著攻擊者可以繞過傳統邊界防滲透。一旦成功植入惡意軟件或取得控制權，攻擊者可以長時間在受害者的網絡中保持隱形，收集敏感信因供應鏈網絡的連通性和輻射效應，一次攻擊可能會影響眾多下游企業甚至消費者。例如，通過篡改某一軟件供應商的產品，攻擊者可以影響到數千乃至數萬家使用該軟件的企業和個人，從而造成大面積的數據泄受害企業不僅要應對內部系統安全問題，還可能因為供應鏈攻擊事件導致公眾信任度下降，品牌形象受損，客當供應鏈攻擊瞄準關鍵基礎設施（如能源、通信、交通、金融等領域）時，其影響遠超商業范疇，可能觸及國_供應鏈攻擊通常意味著修復成本極高，企業需要投入大量人力、財力和時間去排查安全隱患，修復受損系統，）：通過以上多維度的策略和措施，企業可以顯著降低供應鏈攻擊的風險，并建立起_供應鏈安全已成為當今企業及全社會亟待關注和解決的重要課題。只有通過深入了解供應鏈安全鏈攻擊的特點，構建全面立體的防御體系，并積極推動供應鏈安全