【安全资讯】云文件共享平台遭入侵，Zestix团伙大肆窃取企业敏感数据

概要：

近期，网络安全领域出现一起针对企业云文件共享平台的大规模数据窃取事件。一个名为Zestix的威胁行为者在地下论坛上公开兜售从数十家公司窃取的海量敏感数据，涉及航空、国防、医疗、公用事业等多个关键行业。此次事件凸显了因凭证管理不善和缺乏多因素认证（MFA）等基础安全措施缺失而引发的系统性风险，对相关组织的运营安全、隐私保护乃至国家安全构成了严重威胁。

主要内容：

根据网络犯罪情报公司Hudson Rock的报告，威胁行为者Zestix通过入侵企业的ShareFile、Nextcloud和OwnCloud实例，窃取了大量公司数据。初步分析显示，攻击者可能通过RedLine、Lumma和Vidar等信息窃取恶意软件，从员工设备上收集了访问凭证。这些恶意软件通常通过恶意广告或ClickFix攻击传播，专门窃取浏览器保存的密码、加密货币钱包密钥等敏感信息。

攻击者利用窃取到的有效用户名和密码，在目标云文件共享平台未启用多因素认证（MFA）保护的情况下，直接登录系统。Hudson Rock指出，部分被盗凭证已在犯罪数据库中存在数年之久，表明相关企业长期未能执行凭证轮换或及时终止活跃会话，暴露了严重的安全管理漏洞。

Zestix作为初始访问经纪人（IAB）在地下论坛活动，其兜售的数据量从数十GB到数TB不等，声称包含飞机维护手册、国防工程文件、客户数据库、健康记录、公用事业LiDAR地图、政府合同等高度敏感信息。这些数据的泄露可能使相关组织面临安全、隐私和工业间谍风险，其中政府合同的暴露更可能引发国家安全担忧。

Hudson Rock的研究人员表示，云数据暴露是一个更广泛的系统性问题，根源在于许多组织未能遵循良好的安全实践。除了已列出的受害者，其威胁情报数据还显示，包括德勤、三星、霍尼韦尔等知名企业在内的数千台计算机已受感染。该公司已就已验证的暴露问题通知相关云服务提供商。