1、双子座实验室2024-042024供应链安全态势报告2024 供应链安全态势报告P3 引言P4 供应链攻击事件及特点P9 供应链安全态势P11 供应链攻击防范措施P12 附录contents目录3引言01随着全球化和数字化的快速发展，供应链已成为企业运营的关键环节，其安全状况直接影响到企业的运营效能、品牌形象以及经济效益。然而，近年来供应链攻击事件频发，不仅对单个企业造成严重冲击，也对全球经济安全构成了显著威胁。本次报告通过分析近几年供应链攻击走势及重大事件，旨在探讨当前供应链安全的发展态势、存在的安全风险、供应链攻击的典型特征及其对整个网络安全行业造成的影响，报告同时给出了相应的防范建议，以

2、增强供应链的安全防护能力。42024 供应链安全态势报告图 1 重大供应链攻击事件趋势图2.1 供应链攻击事件走势近年来，供应链攻击的发生频率呈明显增长趋势，攻击者利用供应链网络固有的复杂性和互联性，通过恶意软件植入、代码篡改、供应链流程破坏等方式，实现了对目标组织的深度渗透和控制。下图为天际友盟监测记录的近年来重要的供应链安全事件的统计数据及趋势展示：从趋势图可以看出，从 2021 年到 2023 年，供应链攻击事件稳步增加，可以预测到 2024 年，供应链攻击活动会更加频繁，数量将大幅提升。仅从 2014 年第一季度来看，就已经监测到了近 20 起有影响力的攻击案例，其中多起攻击活动通过冒

3、充或修改流行 PYPI 软件包，进而利用软件供应链传播信息窃取软件或挖矿软件等进行攻击。在过去的几年中，供应链攻击事件频繁曝光，并造成了显著的影响。下图展示了最近八年来，一系列标志性的供应链攻击事件：508030601040702002021 年2023 年2022 年2024 年133038供应链攻击事件及特点0252018.102017.062017.092018.072020.072019.092019.042022.032022.012021.11MOVEit Transfer2022.072022.082023.052023.032023.092024.032023.12SolarW

4、inds2020.122021.022021.052021.072023.102020.112022.04GitHub OAuth 62024 供应链安全态势报告2.2 典型供应链案例分析接下来我们将精选几个典型的供应链攻击案例来深入分析此类攻击的特点。事件2020 年 12 月 13 日，安全公司 FireEye 发布报告，声称全球知名 IT 管理及监控软件供应商 SolarWinds 遭受供应链攻击。攻击者篡改了 SolarWinds Orion 平台软件更新包，以分发名为 SUNBURST 的恶意软件。事件2023 年 5 月，MOVEit Transfer 零日漏洞 CVE-2023-

5、34362 被 CL0P 勒索团伙大量利用进行恶意攻击活动。Progress MOVEit 是一款安全托管文件传输(MFT)软件，可提供敏感数据的安全传输。据 Progress 官方表示，MOVEit Transfer Web 应用程序中存在一个 SQL 注入漏洞，该漏洞可允许未经身份验证的攻击者访问 MOVEit Transfer 数据库。攻击过程根据 SolarWinds 官方披露，攻击者自 2019 年起潜伏于公司的产品开发环境，并于 2020 年 2 月正式开始部署恶意后门。攻击者使用了一个名为 SUNSPOT 植入程序来将 SUNBURST 后门植入 SolarWinds 的源码构建

6、程序中。SUNSPOT 利用了互斥体等多种方式来保证在替换源文件时不会引起 SolarWinds 开发人员的怀疑。SUNBURST 后门则是一个极其复杂且隐蔽的后门，在被植入 SolarWinds Orion 平台软件更新包后，通过供应链传播至 SolarWinds相关客户系统。在攻击后续阶段中，攻击者使用了 Loader 程序（RAINDROP、TEARDROP）来加载自定义的 Cobalt Strike 有效负载，其中 RAINDROP 还具备在网络中横向传播的功能。完成环境检测后，SUNBURST 恶意软件将向自定义的NameServer 发起 DNS 请求。2021 年 3 月，Mic