安全简讯（2025.04.10）

1. NexOpt 30万辆汽车和数百万次行程信息遭曝光

4月9日，车辆跟踪服务提供商NexOpt，一家总部设于德国、在美国和奥地利设有办事处的公司，近期发生数据泄露事件，暴露了商用和乘用车的敏感实时和历史行驶数据。NexOpt一直声称“保证最大程度的数据安全”，然而Cybernews研究团队发现，车队经理的数据被比预期更广泛的受众访问。不安全的 Nexopt Kibana 实例泄露了大量客户详细信息，包括车辆识别号、实时船舶和车辆位置等，泄漏的实例包含近1TB数据，其中部分似乎出于开发目的生成。在多次尝试联系NexOpt和相关CERT后，暴露的实例已被关闭。Cybernews信息安全研究员指出，此次泄密事件给相关各方带来各种危险，数据可能被用于商业情报收集，甚至组织现实世界的犯罪活动。此次泄露暴露了数百万条商业行程信息，可能还包括一些非商业行程信息，受影响的数据似乎来自超过 30 万辆独立车辆。泄露的数据包括车辆识别号码、NexOpt 设备 IMEI 标识符、车辆移动数据、行程出发地、目的地数据、航线、车辆燃油或电量数据以及驾驶员座椅数据等。由于 VIN 号码可用于识别更多车辆信息，包括车主信息，这增加了数据泄露的严重性。

https://cybernews.com/security/nexopt-data-leak-exposes-locations-vehicles/

2. 工业技术制造商Sensata Technologies遭勒索软件攻击

4月10日，Sensata Technologies是一家拥有超过19,000名员工的工业技术公司，上一财年营收近40亿美元，专注于为汽车、重型车辆和越野车、工业和航空航天市场生产传感器、电气保护元件和其他工具。上周日该公司遭受勒索软件攻击，其系统遭受严重破坏。Sensata随即联系了执法部门。公司在8-K文件中透露，此次事件暂时影响了其运营，包括运输、收货、制造生产以及其他各种支持功能。尽管公司已采取临时措施以恢复部分功能，但全面恢复的具体时间表尚不明确。该公司于周三向美国证券交易委员会（SEC）通报了这一事件，并警告投资者，因勒索软件攻击，公司官员被迫关闭其网络。初步调查显示，有文件从公司环境中被盗。Sensata表示，网络安全专家正在全力协助恢复工作，并努力识别被盗文件，以便及时通知相关人员。尽管公司表示不认为此次攻击会对本季度的财务状况产生重大影响，但也指出这可能会根据恢复结果而有所变化。截至周三晚上，尚未有任何勒索软件团伙承认对此次事件负责。

https://therecord.media/sensata-technologies-ransomware-attack

3. Grandoreiro地理围栏网络钓鱼攻击瞄准拉美地区

4月9日，一场针对拉丁美洲用户的网络钓鱼活动正肆虐，其核心是臭名昭著的银行木马Grandoreiro，该木马以窃取敏感财务数据著称。2月19日至3月14日期间，研究人员注意到相关网络钓鱼活动激增，且迹象表明活动仍在持续。Grandoreiro已存在多年，不断改进以保持领先地位，旨在窃取银行凭证、监视用户活动并授予攻击者远程访问权限。此次攻击活动中，地理围栏技术尤为引人注目，恶意软件在运行前会检查受害者IP地址以确定其位置，若用户不在目标拉丁美洲国家/地区，恶意软件便会停止执行，这使得攻击更加集中，减少了不必要的曝光，并帮助其躲过全球安全监控。感染始于一个钓鱼页面，诱骗受害者点击链接或下载虚假PDF文档，该文件实为包含Grandoreiro加载程序的压缩包。一旦文件被提取并打开，恶意软件便会向ip-apicom发送请求以确定用户地理位置，并根据结果决定是否继续攻击。此外，Grandoreiro还通过向dns.google发送请求来避免本地DNS查询，绕过基于DNS的阻止机制。

https://hackread.com/grandoreiro-strikes-geofenced-phishing-attacks-latam/

4. AkiraBot垃圾邮件活动威胁小型企业网络安全

4月9日，网络安全研究人员发现了一种由“AkiraBot”驱动的新型垃圾邮件活动，该机器人专门针对小型企业网站发送定制的促销信息。自2024年9月以来，AkiraBot已成功向至少80,000个网站发送垃圾邮件联系表单和聊天小工具，目标网站数量超过400,000个。AkiraBot利用OpenAI的GPT-4o-mini等人工智能语言模型，分析网站内容并生成个性化信息，推广欺诈性SEO服务，使标准垃圾邮件过滤器更难检测和拦截。该活动主要针对使用Shopify、GoDaddy、Wix和Squarespace等热门建站平台的中小型企业。这些平台因其易用性而广受中小企业青睐，却也成为了垃圾邮件发送者的目标。AkiraBot具备多种恶意活动能力，包括创建AI生成的消息、绕过验证码保护、瞄准小型企业以及使用代理网络避免检测。该工具通过FastCaptcha和NextCaptcha等工具，甚至操纵浏览器属性来模仿合法用户的行为，从而欺骗验证码系统。此外，AkiraBot还使用代理服务将其流量路由到不同的IP地址，以避免被基于网络的保护措施拦截。

https://hackread.com/akirabot-abuses-openai-api-spam-website-contact-forms/

5. 黑客利用EC2托管网站中的SSRF漏洞窃取AWS凭证

4月9日，F5 Labs研究人员发现一项有针对性的网络活动，该活动利用AWS EC2实例上托管的网站中的服务器端请求伪造（SSRF）漏洞，提取EC2元数据，其中可能包含来自IMDSv1端点的IAM凭据。攻击者借此提升权限，访问S3存储桶或控制其他AWS服务，可能导致敏感数据泄露、操纵和服务中断。活动始于3月13日，于3月15日至25日期间升级为全面攻击。攻击者利用SSRF漏洞，远程查询内部EC2元数据URL并接收敏感数据。由于易受攻击的实例在IMDSv1上运行，攻击者可检索包括IAM凭证在内的元数据。IMDSv1已被更安全的IMDSv2取代，后者需会话令牌进行身份验证。攻击者轮换查询参数名称和子路径，显示其系统性窃取敏感数据的方法。F5 Labs在2025年3月的威胁趋势报告中强调了这些攻击，并指出旧漏洞仍具高度针对性，40%被利用的CVE都是四年以上的旧漏洞。为减轻此类威胁，建议应用可用的安全更新，强化路由器和物联网设备配置，并用受支持的型号替换EoL网络设备。

https://www.bleepingcomputer.com/news/security/hackers-target-ssrf-bugs-in-ec2-hosted-sites-to-steal-aws-credentials/

6. Magento平台超70万用户的CRM数据疑遭泄露

4月9日，一名自称“Satanic”的黑客通过第三方渠道宣称，开源电子商务平台Magento遭遇入侵，导致超过70万用户的CRM数据泄露，涉及电子邮件、电话号码及企业信息。据黑客声称，此次攻击发生于2025年4月9日，通过第三方集成窃取了大量企业和个人联系信息。尽管Magento母公司Adobe尚未证实此事件，但黑客公布的泄露数据包含74.5万个独立条目，包括43万个电子邮件地址和26.1万个电话号码，并在网络犯罪论坛Breach Forums上公开。泄露的数据似乎源自Magento部署的CRM系统，涉及BBC到《芝加哥论坛报》等组织，包含姓名、职位、公司电子邮件、域名、电话号码及社交媒体链接。文件显示，这些信息为结构化条目，详细记录了每条记录的信息，可能被用于网络钓鱼、B2B冒充诈骗或高价值目标分析。此外，部分记录包含已验证的LinkedIn账户、公司电子邮件别名及客户服务联系方式。数据库中的技术元数据还揭示了公司的技术栈、营销平台及支付处理器，如Magento、Salesforce、Adobe Experience Manager和Stripe。

https://hackread.com/hackers-magento-breach-3rd-party-crm-data-leak/