2024 供應(yīng)鏈安全態(tài)勢(shì)報(bào)告

contents4供應(yīng)鏈攻擊事件及特點(diǎn)0近年來，供應(yīng)鏈攻擊的發(fā)生頻率呈明顯增長(zhǎng)趨勢(shì)，攻擊者利用供應(yīng)鏈網(wǎng)絡(luò)固有的復(fù)雜性0從趨勢(shì)圖可以看出，從2021年到2023年，供應(yīng)鏈攻擊事件穩(wěn)步增加，可以預(yù)測(cè)到2024年，供應(yīng)鏈攻擊活動(dòng)會(huì)更加頻繁，數(shù)量將大幅提升。僅從2014年第一季度來看，就已經(jīng)監(jiān)測(cè)到了近20起有影響力的攻擊案例，其中多在過去的幾年中，供應(yīng)鏈攻擊事件頻繁曝光，并造成了顯著的影響。下圖展示了最近八年來，一系列標(biāo)志性的供2017.062017.092018.07PDF編輯器應(yīng)用程序安裝包被劫持傳播挖礦代碼ccleaner系統(tǒng)清理及優(yōu)化工具遭到供應(yīng)鏈攻擊NotpetyaPDF編輯器應(yīng)用程序安裝包被劫持傳播挖礦代碼ccleaner系統(tǒng)清理及優(yōu)化工具遭到供應(yīng)鏈攻擊2018.10廉價(jià)Android手機(jī)出廠被預(yù)安裝多款惡意程序2020.072019.092019.04wellMess網(wǎng)絡(luò)滲透Tortoiseshell組織針對(duì)沙特阿拉伯wellMess網(wǎng)絡(luò)滲透Tortoiseshell組織針對(duì)沙特阿拉伯IT提供商,使用木馬syskit和供應(yīng)鏈攻擊活動(dòng)2020.11Lazarus組織使用供應(yīng)鏈攻擊針對(duì)政府和銀行領(lǐng)域2021.022021.052021.022021.05codecov供應(yīng)鏈攻codecov供應(yīng)鏈攻擊影響數(shù)百家公司Darkside黑客組織對(duì)美國輸油管道公司colonialpipeline的攻擊供應(yīng)鏈攻擊2021.07勒索組織REvi利用。kaseyaoday發(fā)起大規(guī)模供應(yīng)鏈攻擊2022.032022.012021.11Log4j漏洞影響全球多個(gè)服務(wù)供應(yīng)商93個(gè)wordpress主題和插件被植入后門黑客針對(duì)NPMLog4j漏洞影響全球多個(gè)服務(wù)供應(yīng)商93個(gè)wordpress主題和插件被植入后門2022.04令牌攻擊2023.032023.052022.072022.082023.032023.05針對(duì)okta公司的身份3針對(duì)okta公司的身份3CX企業(yè)級(jí)電話管理系統(tǒng)NPM供應(yīng)鏈攻擊IconBurst,憑證竊取活動(dòng)影響數(shù)百個(gè)網(wǎng)站和應(yīng)用供應(yīng)商遭遇供應(yīng)鏈攻擊漏洞供應(yīng)鏈攻擊憑證竊取活動(dòng)影響數(shù)百個(gè)網(wǎng)站和應(yīng)用供應(yīng)商遭遇供應(yīng)鏈攻擊2023.09Lazarus組織VMconnect供應(yīng)鏈攻擊活動(dòng)2024.032023.122023.10●XZ壓縮庫供應(yīng)鏈攻擊事件黑客團(tuán)伙借助微軟應(yīng)用商店進(jìn)行7ZIP軟件供應(yīng)鏈投毒●身份安全公司okta遭黑客攻擊,市值蒸發(fā)20億s6則是一個(gè)極其復(fù)雜且隱蔽的后門，在被植入SolarWindsOrion平臺(tái)軟件更新包后，通過供應(yīng)鏈傳播至SolarWinds效負(fù)載，其中RAINDROP還具備在網(wǎng)絡(luò)中橫向傳播的功能。完成環(huán)境檢測(cè)后，SUNBURST惡意軟件將向自定義的的后門，通過模擬系統(tǒng)管理軟件上的計(jì)劃任務(wù)來保持持久性。Sibot則是一個(gè)由VBScript編寫的惡意組件，功能包針對(duì)SolarWinds供應(yīng)鏈攻擊，研究人員認(rèn)為其幕后組織針對(duì)性很強(qiáng)，并且有著的由于SolarWinds的客戶群體十分龐大，給全球許MOVEitTransferWeb應(yīng)用程序中存在一個(gè)SQL注入漏洞，該漏洞可允許未經(jīng)身份驗(yàn)證的攻擊者訪問MOVEit7日則是美國"陣亡將士紀(jì)念日"，攻擊者似乎利用了美國聯(lián)邦假日無人值守或防御松懈的特點(diǎn)對(duì)目標(biāo)系統(tǒng)進(jìn)行攻擊。情況，進(jìn)一步定位到SSHD中調(diào)用的xz/liblzma模塊疑似被安插后門，并最終確認(rèn)該事件為一次非常嚴(yán)重的供應(yīng)鏈corrput_lzma2.xz和good-large_compressed.lzma兩個(gè)惡意測(cè)試文件。其中，XZ壓縮庫的編譯腳本會(huì)在特定條件下從文件中讀取惡意載荷以對(duì)編譯結(jié)果進(jìn)行修改，且攻擊者會(huì)利用glibc的IFUNC特性針對(duì)編譯的二進(jìn)制文件植入后門代碼，該后門代碼又會(huì)在特定條件下HOOK系統(tǒng)OpenSSH服務(wù)的RSA_public_decrypt函數(shù)，從而致使攻此次攻擊中編譯的XZ壓縮庫（liblzma.so在debian、ubuntu、centos等多個(gè)發(fā)行版中，用來處理xz格供應(yīng)鏈攻擊通常發(fā)生在供應(yīng)鏈的某個(gè)隱秘環(huán)節(jié)，如第三方軟件供應(yīng)商、硬件制造商、中間服務(wù)等環(huán)節(jié)，攻擊者8一旦攻擊者成功突破供應(yīng)鏈某一環(huán)節(jié)的防線，他們能夠深入到目標(biāo)網(wǎng)絡(luò)的核心區(qū)域，甚至可體系中的眾多組織。這種攻擊可能導(dǎo)致系統(tǒng)癱瘓、數(shù)據(jù)泄露、服務(wù)中斷等嚴(yán)重后果。從以上三個(gè)案例的嚴(yán)重供應(yīng)鏈攻擊善于利用企業(yè)對(duì)供應(yīng)商、合作伙伴社交工程等方式，欺騙供應(yīng)鏈成員獲得訪問權(quán)限，或者在供應(yīng)鏈產(chǎn)品中植入惡意軟件，或者利用供應(yīng)鏈環(huán)節(jié)中件的漏洞等。由于供應(yīng)鏈的復(fù)雜性和動(dòng)態(tài)性，預(yù)防供應(yīng)鏈攻擊頗具挑戰(zhàn)。攻擊者可能利用供應(yīng)鏈中的薄弱環(huán)節(jié)及時(shí)更新的軟件、缺乏安全意識(shí)的員工等，進(jìn)行滲透，且單個(gè)組織的努力往往不足以抵御此類攻擊，所以供應(yīng)這些都需要攻擊者具備全面的攻擊能力和躲避檢測(cè)的技巧。供應(yīng)鏈攻擊相較于普通的惡意攻擊，其攻擊鏈要瞄準(zhǔn)某一薄弱環(huán)節(jié)進(jìn)行精準(zhǔn)攻擊，并配以完善的攻擊產(chǎn)業(yè)鏈，其獲取的回報(bào)往往是超出預(yù)期的，但也對(duì)9不論是軟件還是硬件供應(yīng)商，若其安全措施不到位，都有可能成為攻擊者進(jìn)入目標(biāo)網(wǎng)開源軟件和通用組件的廣泛應(yīng)用帶來了便利，但也增加由于企業(yè)的供應(yīng)鏈條相對(duì)較長(zhǎng)，面臨了上述提到的諸多風(fēng)供應(yīng)鏈攻擊能夠通過第三方供應(yīng)商或合作伙伴潛入目標(biāo)網(wǎng)絡(luò)，這意味著攻擊者可以繞過傳統(tǒng)邊界防滲透。一旦成功植入惡意軟件或取得控制權(quán)，攻擊者可以長(zhǎng)時(shí)間在受害者的網(wǎng)絡(luò)中保持隱形，收集敏感信因供應(yīng)鏈網(wǎng)絡(luò)的連通性和輻射效應(yīng)，一次攻擊可能會(huì)影響眾多下游企業(yè)甚至消費(fèi)者。例如，通過篡改某一軟件供應(yīng)商的產(chǎn)品，攻擊者可以影響到數(shù)千乃至數(shù)萬家使用該軟件的企業(yè)和個(gè)人，從而造成大面積的數(shù)據(jù)受害企業(yè)不僅要應(yīng)對(duì)內(nèi)部系統(tǒng)安全問題，還可能因?yàn)楣?yīng)鏈攻擊事件導(dǎo)致公眾信任度