云文件共享平臺逐漸成為企業數據盜竊攻擊的目標

網絡犯罪團伙Zestix正對外兜售從數十家企業竊取的核心數據，其入侵途徑疑似為攻破這些企業的ShareFile、Nextcloud及OwnCloud云存儲實例。

據分析，攻擊者的初始訪問權限，可能是通過在員工設備上部署RedLine、Lumma、Vidar等信息竊取器，獲取相關賬戶憑證后實現的。

這三款信息竊取器通常通過惡意廣告投放或ClickFix社會工程攻擊進行傳播，其攻擊目標主要是瀏覽器存儲數據（賬戶憑證、信用卡信息、個人資料）、即時通訊軟件數據及加密貨幣錢包信息。

Zestix 在地下論壇的兜售內容示例

當云存儲平臺未啟用多因素認證防護時，掌握有效憑證的威脅組織即可未經授權訪問文件共享平臺等服務。

報告指出，部分被分析的被盜憑證已在犯罪數據庫中存在多年，這表明受害企業長期未更換憑證，甚至在時隔許久后仍未失效相關活躍會話。

多起入侵事件被公開兜售

據了解，Zestix以初始訪問代理（IAB）的身份活躍于地下黑客論壇，專門售賣高價值企業云平臺的訪問權限。 目前已攻破多個行業組織的ShareFile、Nextcloud及OwnCloud云存儲環境，涉及領域包括航空、國防、醫療健康、公用事業、公共交通、電信、法律、房地產及政府機構。

Zestix的攻擊流程如下：先解析信息竊取器獲取的日志，專門篩選企業云存儲平臺的訪問鏈接（ShareFile、Nextcloud）；隨后利用未啟用多因素認證的有效賬號密碼，登錄目標文件共享服務。

安全研究人員通過將其平臺監測到的信息竊取器數據，與公開可用的鏡像文件、元數據及開源情報進行關聯分析，最終鎖定了潛在的入侵切入點。

在已分析的案例中，至少有15起事件可確認：企業云存儲服務的員工憑證，是被信息竊取器成功竊取的。

需要強調的是，此項驗證僅為研究員的單方研判，名單中涉及的企業均未公開確認發生數據泄露事件。唯一的例外或為西班牙國家航空（Iberia），但該公司近期披露的安全事件，并不一定與調查結果相關。

Zestix對外宣稱，其兜售的被盜數據量從數十吉字節到數太字節不等，內容涵蓋飛機維修手冊與機隊數據、國防工程文件、客戶數據庫、醫療健康檔案、公共交通系統結構圖、公用事業激光雷達測繪圖、互聯網服務提供商網絡配置、衛星項目資料、企業資源規劃（ERP）系統源代碼、政府合同文件及法律文書等。

這些據稱被盜的文件，大多會使企業面臨安全漏洞泄露、用戶隱私曝光及工業間諜活動等多重風險；而政府合同文件的外泄，更可能引發國家安全層面的擔憂。

暴露數據的大小和類型

另外，Zestix以Sentap為別名，額外兜售涉及30個受害目標的數據，但研究人員未采用相同方法對這批數據進行驗證。

研究人員指出，除已列出的受害企業外，其威脅情報數據顯示，云存儲憑證泄露是一個更廣泛的系統性安全問題，根源在于相關組織未能落實良好的安全防護實踐。

目前已監測到數千臺受感染的計算機，其中不乏Deloitte、KPMG、三星、Honeywell、Walmart等知名企業的設備。

安全研究人員目前已就此次驗證的憑證泄露事件通知了ShareFile，同時也將向Nextcloud和OwnCloud發出了安全預警，以便這些平臺能夠及時采取相應應對措施。

參考及來源：https://www.bleepingcomputer.com/news/security/cloud-file-sharing-sites-targeted-for-corporate-data-theft-attacks/