文章总结： Zestix团伙通过RedLine等信息窃取器获取企业员工凭证，绕过无MFA的ShareFile/Nextcloud/OwnCloud，兜售航空国防医疗等敏感数据达TB级，暴露企业长期不换密码与云存储配置缺陷，建议立即启用MFA、轮换凭证并监控异常登录。 综合评分： 82 文章分类： 数据安全,威胁情报,云安全,漏洞分析,安全建设

云文件共享平台逐渐成为企业数据盗窃攻击的目标

胡金鱼

嘶吼专业版

2026年1月13日 14:00 北京

网络犯罪团伙Zestix正对外兜售从数十家企业窃取的核心数据，其入侵途径疑似为攻破这些企业的ShareFile、Nextcloud及OwnCloud云存储实例。

据分析，攻击者的初始访问权限，可能是通过在员工设备上部署RedLine、Lumma、Vidar等信息窃取器，获取相关账户凭证后实现的。

这三款信息窃取器通常通过恶意广告投放或ClickFix社会工程攻击进行传播，其攻击目标主要是浏览器存储数据（账户凭证、信用卡信息、个人资料）、即时通讯软件数据及加密货币钱包信息。

Zestix 在地下论坛的兜售内容示例

当云存储平台未启用多因素认证防护时，掌握有效凭证的威胁组织即可未经授权访问文件共享平台等服务。

报告指出，部分被分析的被盗凭证已在犯罪数据库中存在多年，这表明受害企业长期未更换凭证，甚至在时隔许久后仍未失效相关活跃会话。

多起入侵事件被公开兜售

据了解，Zestix以初始访问代理（IAB）的身份活跃于地下黑客论坛，专门售卖高价值企业云平台的访问权限。 目前已攻破多个行业组织的ShareFile、Nextcloud及OwnCloud云存储环境，涉及领域包括航空、国防、医疗健康、公用事业、公共交通、电信、法律、房地产及政府机构。

Zestix的攻击流程如下：先解析信息窃取器获取的日志，专门筛选企业云存储平台的访问链接（ShareFile、Nextcloud）；随后利用未启用多因素认证的有效账号密码，登录目标文件共享服务。

安全研究人员通过将其平台监测到的信息窃取器数据，与公开可用的镜像文件、元数据及开源情报进行关联分析，最终锁定了潜在的入侵切入点。

在已分析的案例中，至少有15起事件可确认：企业云存储服务的员工凭证，是被信息窃取器成功窃取的。

需要强调的是，此项验证仅为研究员的单方研判，名单中涉及的企业均未公开确认发生数据泄露事件。唯一的例外或为西班牙国家航空（Iberia），但该公司近期披露的安全事件，并不一定与调查结果相关。

Zestix对外宣称，其兜售的被盗数据量从数十吉字节到数太字节不等，内容涵盖飞机维修手册与机队数据、国防工程文件、客户数据库、医疗健康档案、公共交通系统结构图、公用事业激光雷达测绘图、互联网服务提供商网络配置、卫星项目资料、企业资源规划（ERP）系统源代码、政府合同文件及法律文书等。

这些据称被盗的文件，大多会使企业面临安全漏洞泄露、用户隐私曝光及工业间谍活动等多重风险；而政府合同文件的外泄，更可能引发国家安全层面的担忧。

暴露数据的大小和类型

另外，Zestix以Sentap为别名，额外兜售涉及30个受害目标的数据，但研究人员未采用相同方法对这批数据进行验证。

研究人员指出，除已列出的受害企业外，其威胁情报数据显示，云存储凭证泄露是一个更广泛的系统性安全问题，根源在于相关组织未能落实良好的安全防护实践。

目前已监测到数千台受感染的计算机，其中不乏Deloitte、KPMG、三星、Honeywell、Walmart等知名企业的设备。

安全研究人员目前已就此次验证的凭证泄露事件通知了ShareFile，同时也将向Nextcloud和OwnCloud发出了安全预警，以便这些平台能够及时采取相应应对措施。

参考及来源：https://www.bleepingcomputer.com/news/security/cloud-file-sharing-sites-targeted-for-corporate-data-theft-attacks/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼《云文件共享平台逐渐成为企业数据盗窃攻击的目标》