云文件共享平台成为企业数据窃取攻击目标
一个名为Zestix的威胁行为者正在兜售从数十家公司窃取的企业数据,这些数据很可能是通过入侵其ShareFile、Nextcloud和OwnCloud实例获取的。
根据网络犯罪情报公司Hudson Rock的分析,初始访问权限可能是通过部署在员工设备上的信息窃取恶意软件(如RedLine、Lumma和Vidar)收集的凭证获得的。
这三种信息窃取程序通常通过恶意广告活动或ClickFix攻击传播。此类恶意软件主要针对浏览器存储的数据(凭证、信用卡、个人信息)、即时通讯应用和加密货币钱包。
当缺乏多因素认证(MFA)保护时,持有有效凭证的威胁行为者可以未经授权访问文件共享平台等服务。
Hudson Rock在今日的报告中指出,部分被分析的被盗凭证已在犯罪数据库中存在多年,这表明相关企业未能及时更换凭证,甚至在长时间后仍未使活跃会话失效。
多起入侵事件被公开兜售
Hudson Rock表示,Zestix在地下论坛担任初始访问经纪人(IAB),出售高价值企业云平台的访问权限。
这家网络安全公司指出,攻击者入侵了跨航空、国防、医疗、公用事业、公共交通、电信、法律、房地产和政府等多个行业组织使用的ShareFile、Nextcloud和OwnCloud环境。
地下论坛中Zestix兜售数据的样本
来源:Hudson Rock
通过解析信息窃取器日志并"专门查找企业云URL(ShareFile、Nextcloud)",该威胁行为者使用有效的用户名和密码登录了未启用MFA的文件共享服务。
Hudson Rock表示,通过将其平台上的信息窃取器数据与公开图像、元数据和开源信息进行关联分析,锁定了可能的入侵点。
在至少15个分析案例中,这家网络安全公司发现云文件共享服务的员工凭证确实被信息窃取器收集。
需要强调的是,这种验证是单方面的,所列公司均未公开确认存在安全漏洞。可能的例外是Iberia航空公司,尽管其近期披露的安全事件未必与Hudson Rock的发现直接相关。
Zestix兜售的被盗数据量从数十GB到数TB不等,声称包含飞机维护手册和机队数据、国防与工程文件、客户数据库、健康记录、公共交通示意图、公用事业LiDAR地图、ISP网络配置、卫星项目数据、ERP源代码、政府合同和法律文件。
许多据称被盗的文件可能使相关组织面临安全、隐私和工业间谍风险,而暴露的政府合同可能引发国家安全担忧。
暴露数据的规模与类型
来源:Hudson Rock
Hudson Rock还发现了Zestix使用别名"Sentap"销售的另外30个受害者,但研究人员未以相同方式验证这些案例。
研究人员报告称,除已列出的受害者外,其威胁情报数据表明云暴露是一个更广泛的系统性问题,根源在于组织未能遵循良好的安全实践。
他们报告已识别出数千台受感染计算机,其中包括德勤、毕马威、三星、霍尼韦尔和沃尔玛的设备。
Hudson Rock向BleepingComputer透露,已就已验证的暴露事件通知ShareFile,并将向Nextcloud和OwnCloud发出警报,以便采取适当措施。
