Zestix威胁行为者通过窃取凭证入侵企业云平台

首页 > 安全钻研 > 安全传递 > 安全简讯

Zestix威胁行为者通过窃取凭证入侵企业云平台

颁布功夫 2026-01-06

1. Zestix威胁行为者通过窃取凭证入侵企业云平台

1月5日，，，近期，，，网络安全公司Hudson Rock披露，，，名为Zestix的威胁行为者正在地下论坛兜销从数十家公司窃取的企业数据，，，涉及航空、、、国防、、、医疗、、、公用事业、、、电信、、、当局等多个关键行业。这些数据疑似通过入侵企业云平台如ShareFile、、、Nextcloud和OwnCloud获�。�，，而初始接见权限可能源于员工设备部署的RedLine、、、Lumma和Vidar等信息窃取恶意软件网络的凭证。此类恶意软件常通过恶意告白或ClickFix攻击传布，，，专门窃取浏览器凭证、、、信誉卡信息、、、加密钱币钱包数据及即时通讯利用内容。Hudson Rock指出，，，若企业未启用多成分身份验证（MFA），，，攻击者可利用有效凭证直接登录文件共享服务。分析发现，，，部门被盗凭证在犯罪数据库中存在多年，，，企业持久未轮换凭证或使活动会话失效，，，导致持续露出风险。Zestix作为初始接见代理（IAB），，，销售的被盗数据量从几十GB到数TB不等，，，涵盖飞机守护手册、、、国防工程文件、、、客户数据库、、、健康纪录、、、公共交通示意图、、、LiDAR地图、、、ISP网络配置、、、卫星项目数据、、、ERP源代码及当局合一致敏感信息，，，可能引发安全、、、隐衷泄露及贸易间谍风险，，，甚至触及国度安全问题。

https://www.bleepingcomputer.com/news/security/cloud-file-sharing-sites-targeted-for-corporate-data-theft-attacks/

2. Brightspeed遭Crimson Collective勒索团伙攻击

1月5日，，，美国最大光纤宽带公司之一Brightspeed近日正调查Crimson Collective勒索团伙提出的安全缝隙及数据偷窃指控。该公司成立于2022年，，，为美国20个州的村落及郊区社区提供电信与互联网服务。Crimson Collective在Telegram频道宣称，，，已窃取超100万Brightspeed客户的敏感信息，，，蕴含小我身份信息（PII）、、、地址、、、账户详情（含姓名、、、邮箱、、、电话）、、、支付汗青、、、部门支付卡数据及含PII的预约/订单纪录，，，并威胁将公开样本以施压。Brightspeed回应称“高度器重网络安全及客户信息�；；ぃ�，，已启动调查，，，后续将向客户、、、员工及监管部门传递进展”。分析显示，，，Crimson Collective的攻击手法出现系统性特点：：：通过窃取凭证、、、利用云服务配置缝隙（如未启用多成分认证）及恶意软件传布（如RedLine、、、Lumma）获取初始接见权限，，，进而横向渗入企业主题系统。

https://www.bleepingcomputer.com/news/security/us-broadband-provider-brightspeed-investigates-breach-claims/

3. Sedgwick证实其当局子公司遭勒索软件攻击

1月5日，，，第三方索赔和福利治理机构Sedgwick近日证实，，，其子公司Sedgwick Government Solutions遭逢网络攻击。该公司为美国当局机构（蕴含河山安全数、、、网络安全和基础设施安全局）及全国市政当局提供索赔微风险治理服务。据Sedgwick讲话人申明，，，事务产生后，，，公司立即启动事务响应和谈，，，并与网络安全专家合作发展调查。经初步评估，，，攻击仅影响了一个孤立的文件传输系统，，，未波及Sedgwick自身网络或其子公司的其他系统，，，蕴含关键的索赔治理服务器。公司强调，，，Sedgwick Government Solutions业务与其他业务齐全分离，，，其他系统或数据均未受影响，，，且服务能力未受滋扰，，，已通知法律部门并持续与客户维持沟通。这次攻击由TridentLocker勒索软件组织宣称执行。该组织于新除夕宣称从Sedgwick Government Solutions窃取约3.4GB数据并公之于众。

https://www.securityweek.com/sedgwick-confirms-cyberattack-on-government-subsidiary/

4. Ledger客户数据因Global-e系统遭入侵泄露

1月5日，，，近日，，，区块链公司Ledger向部门客户发出通知，，，称其第三方支付处置商Global-e的系统遭黑客入侵，，，导致客户小我数据泄露。Ledger强调，，，其自身网络未受影响，，，硬件与软件系统仍维持安全。这次泄露的数据涉及在Ledger.com使用Global-e实现采办的客户，，，具体蕴含姓名、、、联系信息等订单数据，，，但明确排除支付信息、、、财政数据、、、加密钱包助记词、、、区块链余额及数字资产有关奥秘信息。Global-e作为多家国际品牌的支付服务商，，，其服务涵盖结账、、、订单处置、、、税务合规等环节，，，需存储客户订单数据。该公司客户蕴含Bang&Olufsen、、、adidas、、、Disney等驰名品牌。事务产生后，，，Global-e迅速隔离受影响系统并启动防护措施，，，目前正派接通知可能受影响的小我及监管机构。Global-e与Ledger均强调，，，攻击者未获取任何支付凭证或账户信息，，，但可能通过泄露的联系方式提议垂钓攻击，，，试图窃取用户密码或助记词。

https://www.bleepingcomputer.com/news/security/ledger-customers-impacted-by-third-party-global-e-data-breach/

5. NordVPN否定数据泄露指控，，，称攻击者占有虚构数据

1月5日，，，近日，，，NordVPN针对网络犯罪分子宣称其内部Salesforce开发服务器遭入侵一事作出回应，，，明确否定指控并澄清事务真相。此前，，，威胁行为者“1011”在黑客论坛宣称，，，通过暴力破解NordVPN开发服务器，，，窃取了蕴含Salesforce API密钥、、、Jira令牌等敏感信息的10余个数据库。对此，，，NordVPN诠释称，，，所谓“泄露数据”实为几个月前对潜在自动化测试供给商进行试用测试时，，，从一时测试环境中窃取的测试数据，，，该环境与其自身基础设施无任何干联。NordVPN强调，，，测试环境仅蕴含用于职能查抄的虚构数据，，，从未上传真实客户数据、、、出产源代码或有效敏感凭证。由于测试仅为初步评估且未签署合同，，，该环境从未与出产系吐洮接，，，最终也未选择该供给商。公司已联系涉事供给商进一步核实情况。

https://www.bleepingcomputer.com/news/security/nordvpn-denies-breach-claims-says-attackers-have-dummy-data/

6. 欧洲酒店业遭俄网络犯罪分子恶意软件攻击

1月6日，，，近日，，，疑似俄罗斯网络犯罪分子针对欧洲酒店、、、旅店及客栈提议恶意软件攻击，，，通过伪造“蓝屏死机”页面诱导受害者下载DCRat恶意软件。Securonix钻研人员追踪到名为PHALT#BLYX的持续恶意软件活动，，，其以酒店搜索引擎钓饵为起点，，，通过伪造热点预约网站的“取缔预约”通知邮件执行垂钓。受害者点击邮件中的“查看详情”按钮后，，，将被疏导至虚伪酒店预约页面，，，显示“加载功夫过长”的浏览器谬误，，，并提醒点击“刷新页面”跳转至伪造的蓝屏死机界面。为退出该页面，，，受害者被诱导将恶意剧本粘贴至Windows运行对话框，，，触发一系列操作：：：禁用Windows Defender、、、后盾运行恶意软件，，，同时打开真实预约页面作为钓饵。DCRat恶意软件可跟踪受害者击键、、、窃取密码及剪贴板数据，，，并下载其他工具以实现持久持续接见。Securonix指出，，，该攻击利用“ClickFix”技术，，，通过虚伪谬误提醒把持用户执行号令，，，属于恶意软件传布的复杂演变。技术细节显示，，，攻击与俄罗斯存在关联，，，MS Build项目文件含俄语调试字符串，，，基础设施及工具地理地位均指向俄罗斯，，，且DCRat在俄地下论坛宽泛销售。

https://therecord.media/russian-hackers-europe-hospitality-blue-screen

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研