文章总结: 2026上半年四起攻击案例显示攻击者利用合法身份、SaaS平台和供应链进行攻击而非复杂漏洞。关键趋势包括身份攻击增加、SaaS与核心业务平台成为目标、供应链攻击向传统行业扩展。安全团队应加强身份安全、业务系统安全、供应链风险及异常行为监测。 综合评分: 87 文章分类: 威胁情报,实战经验,安全运营,红队,供应链安全
2026上半年典型网络攻击案例:攻击链与ATT&CK分析
原创
木火纪 木火纪
木火纪
2026年7月6日 16:02 浙江
在小说阅读器读本章
去阅读
引言
2026 年已经过半。
如果回顾上半年公开披露的网络安全事件,会发现越来越多攻击活动开始围绕身份、业务系统和供应链展开。很多攻击没有使用复杂的 0day,也没有部署新的恶意软件,却依然造成了大规模数据泄露和业务影响。
本文选取 2026 年上半年 4 起具有代表性的网络攻击事件,结合公开调查结果和 MITRE ATT&CK 框架,对攻击过程进行分析,希望能够从这些真实案例中,梳理出当前攻击者更关注什么,以及企业安全建设正在发生哪些变化。
ADT 数据泄露事件
事件
2026 年 4 月,美国安防服务商 ADT 确认发生数据泄露事件。
ADT 表示,公司在 4 月 20 日发现客户及潜在客户数据遭到未授权访问,并终止了相关入侵活动。ShinyHunters 随后在数据泄露站点发布勒索威胁,声称掌握大量 ADT 客户数据。
多家安全报道和事件分析将攻击路径指向 Voice Phishing:攻击者通过电话社会工程获取员工单点登录相关身份信息,随后进入 Salesforce 环境并导出客户数据。泄露数据主要包括姓名、电话、地址等信息,部分记录还涉及出生日期、部分 SSN 或 Tax ID 信息。
ATT&CK 视角
初始访问(Initial Access)
- • Phishing for Information(T1598)对应事件分析中披露的 Voice Phishing 行为,用于诱导目标提供身份认证相关信息。
- • Valid Accounts(T1078)对应使用合法身份访问云端业务环境。
数据收集(Collection)
- • Data from Information Repositories(T1213)对应从 Salesforce 等业务系统中收集客户资料。
数据窃取(Exfiltration)
- • 未知(公开资料未披露)
攻击分析
ADT 事件没有公开证据显示攻击者利用了系统漏洞或恶意程序,攻击链建立在合法身份基础之上。获得员工身份后,即可访问云端业务平台,后续访问行为与正常业务操作高度相似。
这类攻击的关键不在于绕过网络边界,而是绕过身份信任。对于依赖 Okta、Microsoft Entra、Salesforce、ServiceNow 等平台的企业来说,身份已经成为业务访问的核心入口。攻击者一旦获得合法身份,即可继承相应业务权限。
Voice Phishing 与传统邮件钓鱼相比,更容易绕过员工警惕。攻击者通常冒充 IT 支持、安全团队或第三方服务商,引导目标完成 MFA 验证、密码重置或设备注册。这类攻击很少产生恶意进程、异常文件或传统 IOC,更依赖身份风险控制、异常行为分析和 Help Desk 身份核验流程进行发现。
Canvas 数据泄露事件
事件
2026 年 5 月,Instructure 确认 Canvas 平台发生安全事件。
Instructure 表示,事件已被遏制,但攻击者获取了部分 Canvas 用户数据,包括姓名、邮箱地址、ID 号码以及部分站内消息。ShinyHunters 随后声称对该事件负责,并在勒索页面中公开施压。
Canvas 是北美高校广泛使用的学习管理系统。事件影响范围不仅来自单个学校,而是来自 SaaS 平台本身的集中化特征:一个平台承载大量学校、教师和学生数据,攻击面一旦被利用,影响就会被放大。
ATT&CK 视角
初始访问(Initial Access)
- • 未知(公开资料未披露)
数据收集(Collection)
- • Data from Information Repositories(T1213)对应从学习管理系统中收集用户资料、ID 信息及站内消息等数据。
数据窃取(Exfiltration)
- • 未知(公开资料未披露)
影响(Impact)
- • Data Manipulation / Service Impact 相关阶段未做映射事件造成平台下线调查和服务中断,但公开资料不足以准确映射到具体 ATT&CK Technique。
攻击分析
Canvas 事件的核心不只是教育行业数据泄露,而是 SaaS 集中化带来的风险放大。
传统系统中,单个学校的教学系统被攻击,影响通常局限在该学校内部。但 SaaS 平台把大量组织的数据、身份和业务流程集中在同一个服务体系中。一旦平台侧发生安全事件,影响范围可能跨越大量机构。
这类事件对安全团队有两个启发。第一,SaaS 不等于风险外包。组织虽然不维护底层服务器,但仍然需要关注租户配置、权限模型、日志导出、第三方集成和数据访问边界。第二,教育、医疗、人力资源、客户管理等平台中保存的数据,虽然不一定是金融密码或源代码,但足以用于身份冒充、钓鱼攻击和长期画像。
Canvas 事件也说明,SaaS 安全不能只看供应商是否合规。对于高使用频率、高数据密度的平台,企业和机构需要明确哪些日志能够获取、哪些异常访问能被发现、哪些数据外传能被及时感知。
Oracle PeopleSoft 零日漏洞攻击事件
事件
2026 年 6 月,多家安全厂商披露 Oracle PeopleSoft 存在正在被利用的零日漏洞攻击活动。随后,Oracle 发布安全公告并提供补丁。公开调查显示,攻击活动影响了多家使用 PeopleSoft 的组织,其中 Nissan 北美确认员工数据受到影响。
攻击者利用 PeopleSoft 漏洞获取系统访问权限,并进一步访问内部数据。公开披露的受影响数据包括员工个人信息、联系方式及部分人力资源相关记录。
ATT&CK 视角
初始访问(Initial Access)
- • Exploit Public-Facing Application(T1190)对应利用 Oracle PeopleSoft 对外提供服务的应用入口获取初始访问权限。
执行(Execution)
- • Command and Scripting Interpreter(T1059)对应公开分析中披露的服务器端命令执行行为。
数据收集(Collection)
- • Data from Information Repositories(T1213)对应访问 PeopleSoft 系统中存储的人力资源及员工信息。
数据窃取(Exfiltration)
- • 未知(公开资料未披露)
攻击分析
与前两个事件不同,PeopleSoft 事件重新体现了传统 Web 漏洞仍然具有较高风险。
PeopleSoft 长期部署于企业核心业务系统,通常保存员工、人事、薪资等敏感信息。一旦攻击者获得系统访问权限,后续往往能够直接接触大量结构化业务数据。
近年来,越来越多企业把重点放在身份安全、终端安全和 SaaS 平台,而传统 ERP、OA、人力资源系统由于更新周期较长、业务连续性要求高,补丁部署往往相对滞后,也成为攻击者持续关注的目标。
对于安全团队而言,这类系统不仅需要及时修补漏洞,更需要建立持续监测机制,包括异常 Web 请求检测、WebShell 检测、数据库访问审计以及高风险数据导出监控,而不是仅依赖边界防护设备。
Tata Electronics 数据泄露事件
事件
2026 年 6 月,Tata Electronics 确认发生网络安全事件。
随后,World Leaks 在数据泄露站点公布相关数据,并声称共获取超过 20 万个文件、约 630GB 数据,涉及工程图纸、制造资料、设备日志、员工信息,以及与 Apple、Tesla 等客户相关的部分供应链文档。
Tata Electronics 表示,事件影响了部分 IT 基础设施,但生产和制造业务未受到直接影响。
ATT&CK 视角
初始访问(Initial Access)
- • 未知(公开资料未披露)
数据收集(Collection)
- • Data from Information Repositories(T1213)对应从企业内部信息存储位置收集工程资料、制造文档、设备日志及员工信息。
- • Archive Collected Data(T1560)对应大规模数据集中整理后再进行外传,与该 Technique 的行为特征一致。
数据窃取(Exfiltration)
- • Exfiltration Over Web Service(T1567)对应将数据转移至企业外部,并最终发布到数据泄露站点。
攻击分析
Tata Electronics 保存了大量制造、工程及供应链协作资料。这类数据虽然不直接来自终端客户,却能够反映产品制造流程、供应链关系以及部分内部运营信息,对于攻击者同样具有价值。
近年来,供应链攻击已经逐渐从软件供应链扩展到制造、物流、外包等传统行业。相比直接攻击大型科技企业,供应链企业通常拥有更多第三方接入、更复杂的数据流转关系,而整体安全能力往往存在差异。一旦攻击成功,仍然能够获取大量与核心业务相关的信息。
对于大型企业来说,供应商安全已经不仅是准入审核的问题。数据分类、权限管理、日志审计、敏感文件访问控制以及数据外传监测,同样需要纳入供应链安全体系。
2026 上半年三个攻击趋势
身份攻击持续增加
ADT 数据泄露事件表明,攻击者越来越倾向于直接获取合法身份,而不是首先寻找系统漏洞。Voice Phishing、Help Desk 社会工程、MFA 疲劳攻击等方式不断增加,身份体系正在成为企业最重要的攻击入口之一。
SaaS 与核心业务平台成为重点目标
Canvas、Salesforce、PeopleSoft 等平台都保存着大量业务数据。随着越来越多企业将业务迁移到云平台和 SaaS,攻击者的目标也从传统服务器逐渐转向身份平台、业务平台和数据平台。
供应链攻击持续向传统行业扩展
供应链攻击已经不仅局限于开源组件和软件更新。制造业、物流、外包服务等传统行业正在成为新的攻击目标。对于大型企业而言,供应链安全已经覆盖数据、身份、第三方访问以及协作平台等多个层面。
总结
回顾 2026 年上半年,这四起事件覆盖了身份攻击、SaaS 平台、ERP 系统以及制造业供应链等多个方向,但它们都反映出同一个趋势:攻击者越来越倾向于利用企业已有的业务流程和信任关系完成攻击,而不是依赖复杂漏洞。
对于安全团队来说,未来的重点不仅是修补漏洞,更需要持续关注身份安全、业务系统安全、供应链风险以及异常行为监测,在攻击真正造成影响之前发现问题。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:木火纪 木火纪 木火纪《2026上半年典型网络攻击案例:攻击链与ATT&CK分析》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论