安全简讯（2025.10.11）

1. Steam、Riot Games疑遭大规模DDoS攻击

10月7日，Steam与Riot Games遭遇大范围故障，玩家无法运行《反恐精英》《DOTA2》《无畏契约》《英雄联盟》等热门游戏，Downdetector平台涌入数千条服务器断连报告，故障呈反复中断特征。Riot Games官方状态页面确认问题，关闭排位赛队列并全力调查，故障影响覆盖Windows、macOS、iOS、Android全平台。此次故障波及范围远超游戏领域，PlayStation网络、Epic Games、Hulu、AWS、Xfinity、Cox等非游戏服务商亦受牵连，用户形容“网络彻底混乱”。网络安全专家推测，故障或由大规模DDoS攻击引发，发起者疑似“Aisuru”僵尸网络，该网络曾以29.69太比特/秒的带宽峰值创下历史纪录，远超此前Cloudflare拦截的22.2Tbps攻击。“Aisuru”僵尸网络由XLab于2024年8月首次发现，规模持续扩张，已控制约30万个节点，包括A-MTK摄像头、D-Link/Linksys路由器、网关设备、数字录像机等存在漏洞的联网设备。其攻击特征为复杂TCP“地毯式轰炸”，模仿合法流量规避检测，技术先进性获业界认可，相关补丁已全球推送。

https://cybernews.com/security/steam-riot-gaming-services-hit-by-disruptions-ddos-suspected/

2. 黑客声称Discord数据泄露，550万用户信息遭曝光

10月8日，Discord就其第三方支持系统Zendesk实例数据泄露事件发布声明，明确拒绝向威胁行为者支付任何形式的赎金。攻击者声称通过外包BPO提供商支持代理账户入侵系统，在58小时内窃取了1.6TB数据，涉及550万独立用户，包括政府身份证、部分支付信息及多因素身份验证数据。然而，Discord反驳称实际泄露的政府身份证照片约7万张，远低于攻击者宣称的210万张，并强调该事件并非直接针对Discord的违规行为，而是涉及客户支持的第三方服务漏洞。据威胁行为者透露，入侵源于Discord外包业务流程外包（BPO）提供商雇用的支持代理账户被盗用，通过Zendesk支持实例访问内部系统，执行禁用多因素身份验证、查询用户电话号码及电子邮件地址等操作。攻击者声称窃取了1.5TB票证附件和超过100GB票证记录，涉及840万张票证，其中约58万用户包含支付信息。他们通过Zendesk与Discord内部系统的集成，执行了数百万次API查询以检索更多数据。黑客曾要求支付500万美元赎金，后降至350万美元，于9月25日至10月2日期间与Discord进行私下谈判。谈判破裂后，攻击者威胁将公开泄露数据。

https://www.bleepingcomputer.com/news/security/hackers-claim-discord-breach-exposed-data-of-55-million-users/

3. CISA将CVE-2025-27915漏洞列入KEV目录

10月7日，美国网络安全和基础设施安全局（CISA）已将Synacor Zimbra Collaboration Suite（ZCS）的CVE-2025-27915漏洞纳入已知被利用漏洞（KEV）目录。该漏洞为存储型XSS漏洞，源于ZCS 9.0-10.1版本中ICS文件HTML过滤缺陷，攻击者可通过恶意iCalendar文件触发，在受害者打开包含恶意条目的邮件时执行JavaScript，实现会话劫持、邮件重定向及数据窃取。StrikeReady研究人员披露，2025年初该漏洞被用于零日攻击，攻击者伪造来自利比亚海军礼宾办公室的恶意ICS文件，瞄准巴西军方。恶意脚本针对Zimbra Webmail，窃取凭证、邮件、联系人及共享文件夹内容，数据泄露至ffrk.net。尽管StrikeReady无法归因具体组织，但指出该攻击需资源充足的高级威胁行为者实施，其TTP与白俄罗斯APT组织UNC1151相似。根据CISA约束性运营指令（BOD）22-01，联邦机构须在2025年10月28日前修复此漏洞，同时建议私人组织审查KEV目录并修复基础设施漏洞。

https://securityaffairs.com/183085/hacking/u-s-cisa-adds-synacor-zimbra-collaboration-suite-zcs-flaw-to-its-known-exploited-vulnerabilities-catalog.html

4. Storm-2657团伙针对美国大学工资系统的定向攻击

10月9日，网络犯罪团伙Storm-2657自2025年3月起针对美国大学员工发起"海盗工资单"攻击，通过劫持工资支付实施商业电子邮件泄露（BEC）诈骗。微软威胁情报中心最新报告显示，该团伙主要瞄准Workday人力资源平台账户，但其他第三方HR SaaS平台同样存在风险。目前已确认三所大学的11个账户被入侵，并利用这些账户向25所大学的近6000个邮箱发送钓鱼邮件。攻击者采用高定制化社会工程策略，邮件主题涵盖校园疫情警报、教师不当行为举报、假冒校长指令、薪酬福利更新通知等场景，诱导收件人点击含中间人（AITM）技术的钓鱼链接。通过窃取多因素认证（MFA）代码，攻击者成功侵入Exchange Online账户，随后设置收件箱规则屏蔽Workday预警邮件，在单点登录（SSO）访问受害者Workday账户后，篡改工资支付配置并将款项重定向至攻击者控制账户。更隐蔽的是，团伙通过注册自身电话号码至Duo MFA设备建立持久访问，实现恶意操作的隐蔽审批。微软强调，此类攻击并非源于Workday平台漏洞，而是利用缺乏防钓鱼MFA的账户安全缺陷。

https://www.bleepingcomputer.com/news/security/hackers-target-university-hr-employees-in-payroll-pirate-attacks/

5. RondoDox僵尸网络利用全球56个n-day漏洞发起攻击

10月9日，一个名为RondoDox的新型大型僵尸网络持续活跃，自6月起针对30余类设备发起大规模攻击，利用56个已知及未分配CVE的漏洞实施渗透。该网络采用“漏洞散弹枪”策略，通过同时触发多个漏洞最大化感染范围，即便攻击行为易被检测。其攻击目标聚焦暴露于互联网的DVR、NVR、CCTV系统、网络服务器及已停产（EoL）设备，这些设备因固件更新滞后或默认凭据未修改而成为主要突破口。RondoDox的武器库包含大量n-day漏洞，如TP-Link Archer AX21路由器的CVE-2023-1389、CVE-2024-3721、CVE-2024-12856等，涉及Digiever、QNAP、D-Link、TOTOLINK等品牌设备。值得注意的是，该僵尸网络开发者密切追踪Pwn2Own竞赛中展示的漏洞并快速武器化，例如CVE-2023-1389曾被Mirai僵尸网络在2023年利用。此外，趋势科技发现RondoDox还包含18个未分配CVE的命令注入漏洞，影响D-Link NAS、TVT/LILIN DVR、Linksys路由器等设备，凸显供应链安全风险。

https://www.bleepingcomputer.com/news/security/rondodox-botnet-targets-56-n-day-flaws-in-worldwide-attacks/

6. 魁北克学校应用程序HopHop泄露儿童数据

10月8日，加拿大魁北克省数百所学校及托儿所使用的HopHop应用程序因数据泄露事件引发严重儿童安全风险。该应用自2016年推出，旨在通过GPS定位或手动输入协调儿童接送时间，但实际运行中暴露严重安全漏洞，导致儿童及家长敏感信息泄露，包括全名、照片、学校名称等，甚至存在恶意人员冒充家长接孩子的潜在风险。事件核心问题在于监管缺失与责任推诿。HopHop应用未获魁北克教育部批准，不在其认证的三十种数字工具清单中，属于未经验证的“黑应用”。加拿大广播公司调查显示，政府早在数据泄露发生两周前已知情并开展审计，却将责任转嫁给教育机构，导致学校及托儿所持续使用不安全应用长达数周。直至10月7日，在媒体曝光压力下，政府才要求停止使用该应用，但此时已有数千名儿童数据暴露。

https://cybernews.com/security/hophop-app-quebec-data-leak/