Zestix威胁行为者通过窃取凭证入侵企业云平台
发布时间 2026-01-061. Zestix威胁行为者通过窃取凭证入侵企业云平台
1月5日,近期,网络安全公司Hudson Rock披露,名为Zestix的威胁行为者正在地下论坛兜售从数十家公司窃取的企业数据,涉及航空、国防、医疗、公用事业、电信、政府等多个关键行业。这些数据疑似通过入侵企业云平台如ShareFile、Nextcloud和OwnCloud获取,而初始访问权限可能源于员工设备部署的RedLine、Lumma和Vidar等信息窃取恶意软件收集的凭证。此类恶意软件常通过恶意广告或ClickFix攻击传播,专门窃取浏览器凭证、信用卡信息、加密货币钱包数据及即时通讯应用内容。Hudson Rock指出,若企业未启用多因素身份验证(MFA),攻击者可利用有效凭证直接登录文件共享服务。分析发现,部分被盗凭证在犯罪数据库中存在多年,企业长期未轮换凭证或使活动会话失效,导致持续暴露风险。Zestix作为初始访问代理(IAB),出售的被盗数据量从几十GB到数TB不等,涵盖飞机维护手册、国防工程文件、客户数据库、健康记录、公共交通示意图、LiDAR地图、ISP网络配置、卫星项目数据、ERP源代码及政府合同等敏感信息,可能引发安全、隐私泄露及商业间谍风险,甚至触及国家安全问题。
https://www.bleepingcomputer.com/news/security/cloud-file-sharing-sites-targeted-for-corporate-data-theft-attacks/
2. Brightspeed遭Crimson Collective勒索团伙攻击
1月5日,美国最大光纤宽带公司之一Brightspeed近日正调查Crimson Collective勒索团伙提出的安全漏洞及数据盗窃指控。该公司成立于2022年,为美国20个州的农村及郊区社区提供电信与互联网服务。Crimson Collective在Telegram频道宣称,已窃取超100万Brightspeed客户的敏感信息,包括个人身份信息(PII)、地址、账户详情(含姓名、邮箱、电话)、支付历史、部分支付卡数据及含PII的预约/订单记录,并威胁将公开样本以施压。Brightspeed回应称“高度重视网络安全及客户信息保护,已启动调查,后续将向客户、员工及监管部门通报进展”。分析显示,Crimson Collective的攻击手法呈现系统性特征:通过窃取凭证、利用云服务配置漏洞(如未启用多因素认证)及恶意软件传播(如RedLine、Lumma)获取初始访问权限,进而横向渗透企业核心系统。
https://www.bleepingcomputer.com/news/security/us-broadband-provider-brightspeed-investigates-breach-claims/
3. Sedgwick证实其政府子公司遭勒索软件攻击
1月5日,第三方索赔和福利管理机构Sedgwick近日证实,其子公司Sedgwick Government Solutions遭遇网络攻击。该公司为美国政府机构(包括国土安全部、网络安全和基础设施安全局)及全国市政当局提供索赔和风险管理服务。据Sedgwick发言人声明,事件发生后,公司立即启动事件响应协议,并与网络安全专家合作展开调查。经初步评估,攻击仅影响了一个孤立的文件传输系统,未波及Sedgwick自身网络或其子公司的其他系统,包括关键的索赔管理服务器。公司强调,Sedgwick Government Solutions业务与其他业务完全分离,其他系统或数据均未受影响,且服务能力未受干扰,已通知执法部门并持续与客户保持沟通。此次攻击由TridentLocker勒索软件组织宣称实施。该组织于新年夜声称从Sedgwick Government Solutions窃取约3.4GB数据并公之于众。
https://www.securityweek.com/sedgwick-confirms-cyberattack-on-government-subsidiary/
4. Ledger客户数据因Global-e系统遭入侵泄露
1月5日,近日,区块链公司Ledger向部分客户发出通知,称其第三方支付处理商Global-e的系统遭黑客入侵,导致客户个人数据泄露。Ledger强调,其自身网络未受影响,硬件与软件系统仍保持安全。此次泄露的数据涉及在Ledger.com使用Global-e完成购买的客户,具体包括姓名、联系信息等订单数据,但明确排除支付信息、财务数据、加密钱包助记词、区块链余额及数字资产相关秘密信息。Global-e作为多家国际品牌的支付服务商,其服务涵盖结账、订单处理、税务合规等环节,需存储客户订单数据。该公司客户包括Bang&Olufsen、adidas、Disney等知名品牌。事件发生后,Global-e迅速隔离受影响系统并启动防护措施,目前正直接通知可能受影响的个人及监管机构。Global-e与Ledger均强调,攻击者未获取任何支付凭证或账户信息,但可能通过泄露的联系方式发起钓鱼攻击,试图窃取用户密码或助记词。
https://www.bleepingcomputer.com/news/security/ledger-customers-impacted-by-third-party-global-e-data-breach/
5. NordVPN否认数据泄露指控,称攻击者拥有虚拟数据
1月5日,近日,NordVPN针对网络犯罪分子声称其内部Salesforce开发服务器遭入侵一事作出回应,明确否认指控并澄清事件真相。此前,威胁行为者“1011”在黑客论坛宣称,通过暴力破解NordVPN开发服务器,窃取了包含Salesforce API密钥、Jira令牌等敏感信息的10余个数据库。对此,NordVPN解释称,所谓“泄露数据”实为几个月前对潜在自动化测试供应商进行试用测试时,从临时测试环境中窃取的测试数据,该环境与其自身基础设施无任何关联。NordVPN强调,测试环境仅包含用于功能检查的虚拟数据,从未上传真实客户数据、生产源代码或有效敏感凭证。由于测试仅为初步评估且未签署合同,该环境从未与生产系统连接,最终也未选择该供应商。公司已联系涉事供应商进一步核实情况。
https://www.bleepingcomputer.com/news/security/nordvpn-denies-breach-claims-says-attackers-have-dummy-data/
6. 欧洲酒店业遭俄网络犯罪分子恶意软件攻击
1月6日,近日,疑似俄罗斯网络犯罪分子针对欧洲酒店、旅馆及客栈发起恶意软件攻击,通过伪造“蓝屏死机”页面诱导受害者下载DCRat恶意软件。Securonix研究人员追踪到名为PHALT#BLYX的持续恶意软件活动,其以酒店搜索引擎诱饵为起点,通过伪造热门预订网站的“取消预订”通知邮件实施钓鱼。受害者点击邮件中的“查看详情”按钮后,将被引导至虚假酒店预订页面,显示“加载时间过长”的浏览器错误,并提示点击“刷新页面”跳转至伪造的蓝屏死机界面。为退出该页面,受害者被诱导将恶意脚本粘贴至Windows运行对话框,触发一系列操作:禁用Windows Defender、后台运行恶意软件,同时打开真实预订页面作为诱饵。DCRat恶意软件可跟踪受害者击键、窃取密码及剪贴板数据,并下载其他工具以实现长期持续访问。Securonix指出,该攻击利用“ClickFix”技术,通过虚假错误提示操纵用户执行命令,属于恶意软件传播的复杂演变。技术细节显示,攻击与俄罗斯存在关联,MS Build项目文件含俄语调试字符串,基础设施及工具地理位置均指向俄罗斯,且DCRat在俄地下论坛广泛销售。
https://therecord.media/russian-hackers-europe-hospitality-blue-screen
京公网安备11010802024551号