安全简讯(2026.02.12)

admin 2026-02-17 19:56:05 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档汇总2026年2月12日六起安全事件:Reynolds勒索软件利用BYOVD禁用EDR,Outlook插件遭劫持钓鱼,LummaStealer借CastleLoader复苏,ApolloMD泄露62万患者数据,Crazy勒索软件滥用合法监控工具,Windows新型攻击结合社工与Python后门。建议加强对驱动程序、应用插件及合法工具的管控,提升防社工意识。 综合评分: 78 文章分类: 威胁情报,恶意软件,数据泄露,漏洞预警


cover_image

安全简讯(2026.02.12)

启明星辰安全简讯

2026年2月12日 14:54 北京

1. Reynolds勒索软件通过嵌入BYOVD禁用EDR安全工具

2月10日,网络安全研究人员披露新型勒索软件Reynolds,其载荷内嵌BYOVD(自带漏洞驱动)组件,直接集成存在漏洞的NsecSoft NSecKrnl驱动(CVE-2025-68947),在部署时终止Avast、CrowdStrike Falcon、Cortex XDR等多款安全软件进程,实现防御规避。该技术并非首创,此前Ryuk、Obscura及Silver Fox组织均采用类似手法,利用合法驱动漏洞关闭安全工具后投放恶意载荷。行业数据显示,2025年勒索软件宣称攻击达4737起,较2024年微增;仅窃取数据施压的攻击达6182起,同比激增23%。第四季度平均赎金支付额达59.1万美元,环比暴涨57%,主因是高额和解案频发。勒索软件目标正从本地设备转向云存储,如AWS S3桶,通过云原生功能删除、覆盖数据或窃取敏感内容。

https://thehackernews.com/2026/02/reynolds-ransomware-embeds-byovd-driver.html

2. 微软商店Outlook AgreeTo加载项遭劫持

2月11日,近日,微软官方应用商店中的Outlook AgreeTo加载项被曝遭劫持,演变为网络钓鱼工具包,已窃取超4000个Microsoft账户凭据、信用卡号及银行安全验证答案。该插件原为合法会议安排工具,由独立开发者于2022年12月提交至Microsoft Office加载项商店,使用Vercel托管URL。尽管开发者后续放弃项目,但插件仍被微软商店保留,威胁行为者趁机接管其孤立URL,植入钓鱼模块。据供应链安全公司Koi Security研究人员披露,攻击者部署了伪造的微软登录页面、密码收集表单及数据泄露脚本。用户通过Outlook打开该插件时,会显示侧边栏中的假登录界面,诱骗输入账户信息。输入的凭据将通过Telegram机器人API泄露至攻击者,受害者则被重定向至真实微软登录页以降低怀疑。值得注意的是,插件上架后无需额外验证流程,微软仅在提交时审核清单文件并签字批准。AgreeTo曾通过审核,其所有资源均从开发者服务器加载,而该服务器现已被攻击者控制。

https://www.bleepingcomputer.com/news/security/microsoft-store-outlook-add-in-hijacked-to-steal-4-000-microsoft-accounts/

3. LummaStealer借CastleLoader与ClickFix技术卷土重来

2月11日,网络安全公司Bitdefender最新报告指出,信息窃取恶意软件LummaStealer自2025年7月恢复运营后,于2025年12月至2026年1月期间感染量显著激增。此次扩散主要依赖名为CastleLoader的恶意软件加载器及ClickFix技术传播链,形成多阶段攻击体系。LummaStealer作为恶意软件即服务(MaaS)平台,曾于2025年5月被多国执法部门查封,摧毁2300个域名及中央指挥结构。然而,其运营方通过CastleLoader实现快速复苏。CastleLoader采用模块化内存执行模型,结合多层混淆技术,可在内存中解密并加载LummaStealer有效载荷。其灵活的命令与控制(C2)通信机制及沙箱检测能力,使其能规避安全分析并调整持久化策略,通过复制AutoIT脚本至特定路径、部署解释器及创建Internet快捷方式实现开机自启动。传播路径方面,CastleLoader通过ClickFix技术实施社会工程攻击:用户被诱导至虚假验证码页面,执行剪贴板中预设的恶意PowerShell命令,最终从攻击者服务器下载并执行CastleLoader,进而加载LummaStealer。

https://www.bleepingcomputer.com/news/security/lummastealer-infections-surge-after-castleloader-malware-campaigns/

4. ApolloMD遭网络攻击致62.6万患者信息泄露

2月12日,美国佐治亚州知名医疗保健公司ApolloMD近日披露,其2025年遭遇网络攻击导致626,540名患者敏感信息泄露,成为美国医疗行业又一起重大数据安全事件。ApolloMD是一家为全美100余家医院提供多专科医生服务的医疗集团,在18个州运营超125家诊所,年接诊量约400万人次。根据美国卫生与公众服务部最新文件,该公司于2025年5月22日至23日期间遭遇黑客入侵,系统被非法访问并窃取了大量患者数据。泄露信息涵盖姓名、出生日期、地址、诊断记录、就诊日期、治疗方案、健康保险数据及社会保障号码等高度敏感内容。值得注意的是,ApolloMD虽在2025年9月即通知受害者数据泄露事件,但直至2026年2月10日才向联邦监管机构完整披露受影响人数。此次事件中,麒麟勒索软件团伙于2025年6月公开宣称对攻击负责。

https://therecord.media/georgia-healthcare-company-data-breach-impacts-620000

5. Crazy勒索软件团伙滥用合法监控工具实施攻击

2月11日,Huntress研究人员发现,Crazy勒索软件团伙成员正通过滥用Net Monitor for Employees Professional和SimpleHelp等合法远程管理工具,在企业网络中建立持久性访问并规避检测。该团伙在多起攻击事件中,利用Windows Installer工具msiexec.exe从开发者网站直接部署监控代理,实现远程桌面查看、文件传输和命令执行等完全交互式访问权限。攻击者通过执行命令启用本地管理员账户,并通过PowerShell下载伪装成Visual Studio vshost.exe的SimpleHelp客户端,部署OneDriveSvc.exe等伪装文件,形成冗余持久性机制,即使员工监控工具被移除,仍可通过SimpleHelp保持远程访问。该团伙还通过配置监控规则,在设备访问加密货币钱包或远程管理工具时触发警报,为部署勒索软件和加密货币盗窃做准备。日志显示,攻击代理持续监控区块链浏览器(Etherscan)、交易所(Binance)及支付平台(Payoneer)相关关键字,并检测远程访问工具活动,形成多维监控体系。

https://www.bleepingcomputer.com/news/security/crazy-ransomware-gang-abuses-employee-monitoring-tool-in-attacks/

6. Windows新型攻击:社工入口+Python后门长期控制

2月9日,近日,安全研究人员警告企业需防范一种针对Windows环境的新型网络攻击活动,其核心特征是“入侵只是开始而非结束”,攻击者通过社会工程手段建立初始访问后,利用Python工具、多后门及凭证窃取实现长期控制并横向渗透。该攻击以“ClickFix式”社会工程为起点,通过伪造错误消息或虚假IT提示诱骗员工执行“Windows+R”命令输入恶意指令,看似例行操作实则为攻击者打开后门。微软记录的“CrashFix”策略与此相关,但ARC Labs发现此次攻击更复杂,攻击者部署Python驱动的后门及反射型DLL植入程序,通过Windows原生工具和PowerShell协调活动,避免使用自定义二进制文件,降低被检测风险。攻击的关键在于持久化与扩展访问。ARC Labs分析显示,攻击者同时部署多个独立植入程序,并采用“反射加载DLL后门”设计,即使单一路径暴露仍可维持访问。这种分层工具策略模糊了脚本滥用与传统恶意软件的界限,增加了清除难度。入侵后,攻击从自动化转为操作员直接参与,攻击者绘制网络拓扑、识别高价值系统,通过横向移动使用被盗凭证进行身份验证,目标直指身份基础设施。

https://cybernews.com/security/click-fix-access-broker-campaign-windows-python/


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:启明星辰安全简讯 《安全简讯(2026.02.12)》

评论:0   参与:  0