駭客組織 ShinyHunters 近期展開連續攻勢。該組織於暗網洩漏站台對 Cisco Systems 發出「最後警告」,聲稱已掌握超過 300 萬筆 Salesforce 記錄及雲端環境存取權限,並以 2026 年 4 月 3 日為期限要脅公開資料。同一時期,歐盟執行委員會(European Commission)遭入侵事件也正式演變為大規模資料外洩,340GB 機敏資料已於 3 月 28 日被公開釋出,波及 71 個歐盟機構。
Cisco 遭三路徑入侵 語音網路釣魚成突破口
根據 ShinyHunters 在暗網站台的聲明,對 Cisco 的入侵係透過三條路徑完成。第一是被標記為 UNC6040 的攻擊活動,第二是利用 Salesforce Aura 介面的漏洞,第三則是透過遭駭的 AWS 帳號取得存取權。該組織宣稱竊得的資料涵蓋個人識別資訊(PII)、GitHub 儲存庫、AWS S3 儲存貯體及企業內部資料。
Google 威脅情報小組(GTIG)已於 2025 年 8 月正式將 ShinyHunters 命名為 UNC6040。Cisco 此前曾公開揭露一起涉及語音網路釣魚的攻擊活動,指出攻擊者透過社交工程誘騙員工,進而取得內部系統及客戶資料的存取權。ShinyHunters 在聲明中主動提及此事,暗示其部分資料可能源自社交工程手法。
Trivy 供應鏈攻擊成破口 歐盟執委會淪為高調受害者
歐盟執委會事件揭示了供應鏈攻擊的連鎖效應。根據 CERT-EU 的調查,本次入侵的幕後主使為威脅組織 TeamPCP,攻擊起點並非直接針對 AWS,而是透過開源安全掃描工具 Trivy 的供應鏈遭駭。
Trivy 是由 Aqua Security 維護的廣泛使用漏洞掃描工具,被大量企業整合於 CI/CD 流程中。TeamPCP 於 2 月底利用 Trivy GitHub 儲存庫先前遭駭後殘留的存取權限,在 trivy-action 工作流程中植入惡意程式碼,影響 77 個版本標籤中的 76 個。歐盟執委會在不知情的情況下下載了遭污染版本,導致其 AWS API 金鑰遭竊。
根據 Aqua Security 的分析,TeamPCP 的工具設計專門針對 CI/CD 流程運作,透過仿冒網域、GitHub 儲存庫及 Cloudflare 通道等多種管道外洩竊得的機密資訊。攻擊者取得的 AWS 金鑰具備管理歐盟執委會旗下多個 AWS 帳號的權限。進入雲端環境後,攻擊者使用 TruffleHog 工具掃描其他機密資訊,並在既有使用者帳號下新增存取金鑰以規避偵測。
五天偵測空窗 暴露雲端監控盲點
歐盟執委會的資安營運中心直到 3 月 24 日才察覺異常,距離 3 月 19 日的最初入侵已過五天。這段偵測時間差與資安業者 Wiz 所記錄的 TeamPCP 入侵後 24 小時內完成雲端列舉的作業節奏一致,顯示攻擊者在告警觸發前已完成大部分資料外洩作業。
CERT-EU 確認,此次洩漏波及 71 個使用 europa.eu 網站代管服務的客戶,包含 42 個執委會內部單位及至少 29 個其他歐盟機構。受影響的個人資料涵蓋姓名、使用者名稱及電子郵件地址,另包含至少 51,992 個對外電子郵件通訊相關檔案。CERT-EU 指出,退信通知中可能包含使用者原始提交的內容,形成個資二次暴露的風險。
兩組織分工運作 犯罪生態系統趨向專業化
應留意ShinyHunters 並非歐盟執委會事件的入侵者,而是後續取得並公開這批資料的組織。ShinyHunters 成員向媒體表示,他們竊取了「TeamPCP 先前取得的部分資料」。CERT-EU 將同一事件歸因於兩個不同的駭客組織,這在網路犯罪調查中相當罕見。
根據相關社群媒體貼文,TeamPCP 與 ShinyHunters 之間並無正式合作,雙方甚至存在公開衝突。資安專家分析,這顯示犯罪生態系統的專業分工:一旦高價值資料從供應鏈入侵中產生,其他勒索組織便能迅速介入擴大獲利。根據 Mandiant 技術長的說明,目前已知超過 1,000 個 SaaS 環境正受到 TeamPCP 供應鏈攻擊的連鎖影響。
相關文章:駭客組織 ShinyHunters 聲稱入侵歐盟執委會竊取 350GB 資料,官方淡化影響
供應鏈安全成企業防護關鍵
此次事件凸顯供應鏈安全對企業雲端環境的重大影響。美國網路安全暨基礎設施安全局(CISA)已將相關漏洞 CVE-2026-33634 納入已知遭利用漏洞(KEV)目錄,要求美國聯邦機構於 4 月 8 日前完成修補。
CERT-EU 建議企業優先採取以下措施:更新至 Aqua Security 確認的安全版本、稽核並輪換所有可能暴露的 AWS 憑證、搜尋 CI/CD 日誌中與 TeamPCP 相關的外洩跡象、限制 CI/CD 流程對雲端憑證的存取權限,以及針對第三方 CI/CD 工具強化供應商風險評估。
本文轉載自 Hackread、BleepingComputer。