事件概述
2026年3月29日,【暗网威胁情报监测系统发现】知名数据窃取团伙ShinyHunters在其暗网数据泄露站点(DLS)上正式将European Commission (*.europa.eu) 列入受害者名单。该团伙宣称于2026年3月26日前后入侵欧盟委员会AWS云账户,从Europa.eu相关系统中窃取超过350GB(未压缩)数据。
泄露内容据称包括:邮件服务器转储、多个数据库、机密文件、合同及其他敏感材料。目前尚未发布任何数据样本或完整转储,仅在DLS页面展示条目并附带描述。ShinyHunters未提出赎金要求,符合其“数据窃取后直接公开”的近期策略。
欧盟委员会已于3月27日官方确认事件(IP_26_748),强调攻击已被迅速遏制,网站可用性未受影响,内部核心系统未波及,但正在全面调查数据泄露范围。
本次事件是ShinyHunters 2026年针对政府/国际组织目标的最新高调行动,进一步印证其以社交工程+云SaaS凭证窃取为核心的TTPs。
威胁行为者概况:ShinyHunters
-
别名:Scattered LAPSUS$ Hunters(部分重叠,与UNC6240/UNC6661等集群关联) -
核心TTPs: -
语音钓鱼(vishing)、SIM swapping及社交工程 -
云平台凭证窃取(AWS、Salesforce Experience Cloud、Google Workspace等SaaS) -
滥用公开暴露的第三方组件或承包商账户 -
“纯数据窃取”模式:无加密,仅窃取→勒索/公开
-
-
2026年活动特点:已声称攻击300-400家机构,受害者横跨科技、金融、教育、电信及政府领域。近期重点针对Salesforce Aura/Experience Cloud及AWS环境。 -
动机:经济获利+曝光。多数情况下先私下索要赎金,拒绝后直接上DLS。
事件时间线与DLS细节
-
2026-03-24:欧盟委员会检测到AWS云基础设施异常,迅速隔离。 -
2026-03-26:ShinyHunters内部宣称完成入侵。 -
2026-03-27:欧盟委员会发布官方声明确认“云基础设施部分受影响”。 -
2026-03-28: -
ShinyHunters在DLS页面新增条目(ID路径:/id/RXVyb3BlYW4gQ29tbWlzc2lvbiAoKi5ldXJvcGEuZXUpQHNoaW55aHVudGVycw==)。 -
页面原文描述(经ransomware.live、RedPacket Security等追踪站点镜像确认):
-
“European Commission (*.europa.eu)
Over 350 GB+ of data was compromised, including data dumps of mail servers, databases, confidential documents, contracts, and much more sensitive material.”
-
当前状态(2026-03-29 23:00+):DLS条目已上线超过24小时,ShinyHunters未在页面或媒体联系中提出具体赎金要求。
攻击向量初步判断为AWS账户凭证窃取(非平台漏洞),可能通过员工或第三方承包商账户实现,与该团伙2026年vishing+云SaaS攻击模式高度吻合。
影响评估
| 受影响资产 | 可能泄露内容 | 潜在后果 |
|---|---|---|
| 邮件服务器 | 机构间内部通信 | 敏感政策讨论、外交电文暴露 |
| 数据库 | 员工/供应商个人信息 | 大规模PII泄露,身份盗用风险 |
| 机密文件 & 合同 | 采购合同、项目文档 | 知识产权、预算细节外泄,影响招标公正性 |
| 其他敏感材料 | 未公开细节 | 地缘政治情报利用风险 |
连锁风险:
-
欧盟成员国及关联实体可能面临供应链二次攻击。 -
类似国际组织(NATO、联合国机构)或高价值政府云环境将成为下一波重点目标。 -
AWS信誉短期受关注,但AWS官方已明确“平台本身无安全事件”。
归因置信度与情报指标(IoCs)
-
归因置信度:极高(99%)。ShinyHunters主动在DLS自证、历史TTPs完全匹配、多家独立追踪平台同步确认。 -
关键IoCs(基于DLS及追踪站点): -
DLS地址:http://tooxxxxxxxxxxxxxxxxedior7mqd.onion/ -
受害者页面Base64路径:RXVyb3BlYW4gQ29tbWlzc2lvbiAoKi5ldXJvcGEuZXUpQHNoaW55aHVudGVycw== -
历史关联邮箱:shinycorp@tutanota.com、shinygroup@onionmail.com -
关联工具:AuraInspector(Salesforce利用)、vishing脚本、SIM-swap基础设施。
-
欧盟委员会是欧盟的主要执行机构,正在调查一起安全漏洞事件,此前一名威胁行为者已进入欧盟委员会的亚马逊云环境。尽管欧盟行政内阁尚未公开披露该事件,但BleepingComputer获悉,此次数据泄露事件至少影响了欧盟委员会的一个AWS(亚马逊网络服务)账户。AWS 未遇到安全事件,我们的服务按设计运行,”一位 AWS 发言人在发布时间后告诉 BleepingComputer。
暂无评论内容