文章总结： 文档汇总了2025年12月至2026年2月期间的多篇网络安全报告与资讯，核心要点包括：微软在2026年2月修复了54个漏洞，其中包含6个已被利用的零日漏洞；FortinetFortiOS存在高危身份验证绕过漏洞CVE-2026-22153；BlackBasta勒索软件开始捆绑易受攻击的驱动程序以禁用杀毒软件；网络犯罪分子滥用PayPal等合法服务进行DKIM重放攻击；GuLoader恶意软件利用公有云设施逃避检测；黑客开始利用GeminiAI生成恶意代码；苹果修复了被用于复杂攻击的零日漏洞CVE-2026-20700；WordPress备份插件WPvivid存在严重RCE漏洞CVE-2026-1357。关键发现揭示了云服务、AI工具、供应链和身份验证机制正成为新的攻击向量，建议用户及时应用补丁、升级固件、加强访问控制并监控异常活动。 综合评分： 85 文章分类： 漏洞预警,威胁情报,恶意软件,网络安全,云安全

---

近期安全攻击事件 国家APT 网空动态

原创

ZM ZM

暗镜

2026年2月17日 09:03 辽宁

1、微软于 2 月 10 日发布了 2026 年 2 月的“周二补丁日”更新，修复了 54 个漏洞，其中包括 Windows、Office、Azure 和开发人员工具中的 6 个零日漏洞。

此次更新修复了 Windows 远程桌面服务、MicrosoftDefender、Azure 服

务、GitHubCopilot、VisualStudioCode、MicrosoftExchange 和 Office 应用等产品中的问题。

严重性评级包括两个“严重”漏洞和多个“重要”漏洞，漏洞类型包括远程代码执行(RCE)、权限提升(EoP)、信息泄露、欺骗、拒绝服务(DoS)和安全功能绕过。微软会根据所有列出的 CVE 漏洞，酌情指示客户采取相应措施，并敦促客户立即进行修补。

六个零日漏洞已被修复，这些漏洞在发布前已被公开披露和/或利用。其中包括：

• CVE-2026-21514：MicrosoftOfficeWord 中的安全功能绕过。

• CVE-2026-21513：MSHTML 框架中的安全功能绕过。

• CVE-2026-21510：WindowsShell 中的安全功能绕过漏洞。

• CVE-2026-21533：Windows 远程桌面服务中的 EoP。

• CVE-2026-21525：Windows 远程访问连接管理器中的 DoS 攻击。

• CVE-2026-21519：桌面窗口管理器中的 EoP。

攻击者可以将这些攻击串联起来，进行更广泛的入侵，例如绕过保护措施来执行代码或提升权限。

两个关键漏洞需要优先处理：

CVEID

类型

受影响产品

CVE-2026-23655 信息披露

Azure 计算库（ACI 机密容器）

CVE-2026-21522 特权的提升 Azure 计算库（ACI 机密容器）这些 Azure 缺陷凸显了云原生机密计算中的风险。

RCE 漏洞对云端和终端工具构成高风险：

• CVE-2026-21537：MicrosoftDefenderforEndpointLinux 扩展中的远程代码执行漏洞。

• CVE-2026-21531：AzureSDKforPython 中的 RCE。

• CVE-2026-21523：GitHubCopilot 和 VisualStudioCode 中的远程代码执行漏洞。

• CVE-2026-21516：GitHubCopilotforJetBrains 中的 RCE。

• CVE-2026-21256：GitHubCopilot 和 VisualStudio 中的远程代码执行漏洞。

Office 问题包括 Outlook 中的欺骗攻击（CVE-2026-21527、CVE-2026-21260）、Excel 中的信息泄露/EoP 漏洞（CVE-2026-21261、CVE-2026-21259、CVE-2026-21258）以及 Word 绕过漏洞（CVE-2026-21514）。Windows 系统存在 HTTP.sys 中的 EoP 漏洞（CVE-2026-21250）、Hyper-V 绕过漏洞（CVE-2026-21255）以及存储漏洞（CVE-2026-21508）。

Azure 特有漏洞：HDInsight 中的欺骗漏洞(CVE-2026-21529)，IoTExplorerSDK 中的信息泄露漏洞(CVE-2026-21528)。其他漏洞：AzureDevOps 中的 XSS 欺骗漏洞(CVE-2026-21512)。

险升级主要针对开发者（Copilot/VSCode）、企业（Azure/Exchange）和终端（Windows/Defender）。漏洞利用可能导致数据窃取、横向移动或系统完全瘫痪。

下表总结了在提供的文本中发现的 CVE，包括指向每个漏洞的官方

Microsoft 安全响应中心(MSRC)页面的链接，以及其影响、严重性和受影响的产品详细信息。

2、飞塔 FortiOS 身份验证绕过漏洞允许攻击者绕过 LDAP 身份验证

Fortinet 披露了 FortiOS 中一个高危身份验证绕过漏洞，编号为 CVE-2026-22153(FG-IR-25-1052)，该漏洞可能允许未经身份验证的攻击者绕过 LDAP 身份验证，从而绕过无代理 VPN 或 Fortinet 单点登录(FSSO)策略。

该漏洞被归类为 CWE-305（通过主要弱点绕过身份验证），存在于

fnbamd 守护程序中，需要特定的 LDAP 服务器配置才能启用未经身份验证的绑定。

问题源于对 LDAP 身份验证请求处理不当。攻击者可能在某些设置下（例如允许匿名绑定）利用此漏洞，在没有有效凭据的情况下获得未经授权的访问权限。

Fortinet 将其严重性评为高危（CVSSv3.1），强调网络可访问性，但攻击复杂度中等。其影响包括访问控制不当，可能导致未经授权的攻击者通过 SSL-VPN 组件进入受保护的网络。

只有 FortiOS7.6.0 到 7.6.4 版本存在漏洞。其他版本，例如 8.0、7.4、7.2、7.0 和 6.4，不受影响。管理员应按照官方升级路径工具的步骤，将 FortiOS 升级到 7.6.5 或更高版本。

3、沃尔沃集团客户数据在 Conduent 黑客攻击中泄露

沃尔沃集团北美公司披露，由于美国商业服务巨头 Conduent 的 IT 系统遭到入侵，该公司遭受了一次间接数据泄露，而沃尔沃正是 Conduent 的客户。

沃尔沃集团北美公司是这家瑞典跨国公司在美国、加拿大和墨西哥的运营机构。该公司专注于制造商用车辆和重型设备，包括卡车、公共汽车、建筑设备、发动机和工业动力系统。

马克卡车（MackTrucks）是美国非常受欢迎的品牌，它是沃尔沃集团的子公司之一。沃尔沃集团与沃尔沃汽车并非同一家公司，沃尔沃集团并不生产乘用车。

2025 年末，Conduent 披露了一起大规模数据泄露事件，导致沃尔沃集团北美公司近 17,000 名客户和/或公司员工的个人信息遭到泄露。

Conduent 是一家美国业务流程外包(BPO)公司，为政府和企业提供数字平台和服务。

该公司在 2024 年 10 月 21 日至 2025 年 1 月 13 日期间遭遇安全漏洞，威胁行为者窃取了全名、社会保障号码(SSN)、出生日期、健康保险单详细信息、身份证号码和医疗信息。

Conduent 尚未确定受影响的确切人数，但此前曾透露，俄勒冈州有 1050万人受到影响，德克萨斯州有 1550 万人受到影响。

该公司目前代表其客户向受影响方发送通知，为沃尔沃集团北美客户和员工提供至少一年的免费身份监控服务会员资格，以及信用和暗网监控和身份恢复服务。

此外，建议通知接收者考虑在其信用报告上设置欺诈警报或安全冻结。

沃尔沃集团北美公司最近遭遇了一起新的数据泄露事件，同样是由第三方供应商造成的，导致员工的姓名和社保号码等数据泄露。

该数据泄露事件是由 IT 服务供应商 Miljödata 在 2025 年 8 月发生的系统漏洞造成的，泄露了 150 万人的信息，其中包括瑞典和美国的沃尔沃集团员工。

2021 年，沃尔沃汽车遭遇安全漏洞，黑客从其服务器上窃取了研发数据。名为“Snatch”的数据勒索组织声称对此次攻击负责，并在其勒索网站上泄露了被盗文件。

4、BlackBasta 捆绑“BYOVD”驱动程序，使杀毒软件失效

BlackBasta 勒索软件组织为其武器库增添了一项危险的新能力：将防御规避工具直接嵌入勒索软件的有效载荷中。威胁猎手团队(TheThreatHunterTeam)的一份最新报告显示，该组织（追踪名为 Cardinal）现在使用一种名为“自带漏洞驱动程序”(BYOVD)的技术，将这种技术嵌入恶意软件本身，以便在加密文件之前悄悄禁用安全软件。

传统上，勒索软件攻击是一个两步过程：首先，攻击者部署一个单独的工具来破坏杀毒软件的防护，然后再投放勒索软件。BlackBasta 将这个过程简化为一个单一的、致命的软件包。报告解释说：“在这次攻击中，存在漏的驱动程序（NsecSoftNSecKrnl 驱动程序）与勒索软件本身捆绑在一起。”

通过将防御规避组件隐藏在主有效载荷中，攻击变得更加“隐蔽”和迅速。这样一来，无需检测单独的文件，防御者也没有反应的时间差。正如报告指出，“如果防御规避工具的部署和勒索软件的投放之间没有时间间隔，防御者就没有机会阻止攻击”。

该技术利用了 NsecSoftNSecKrnl 驱动程序中已知的漏洞(CVE-2025-

68947)。尽管该驱动程序是合法的、经过签名的 Windows 驱动程序，但它存在一个严重缺陷，允许未经授权的用户执行内核级命令。

攻击者利用这个“易受攻击”的驱动程序终止那些原本会阻止它们的进程。BlackBasta 攻击载荷专门针对一系列安全产品，其中包括：

• Sophos（例如，SophosUl.exe、SEDService.exe）

• 赛门铁克（例如，ccSvcHst.exe、sepWscSvc64.exe）

• CrowdStrike（例如，CSFalconService.exe）

• MicrosoftDefender（例如，MsMpEng.exe）

研究人员表示：“由于这些易受攻击的驱动程序以内核模式访问运行，因此

它们可以用来终止进程，使其成为破坏安全措施的有效工具。”

在 2025 年 2 月内部聊天记录大规模泄露后，黑巴斯塔组织（又称红衣主教）一直相对低调。这次泄露暴露了他们的行动，并导致乌克兰警方对涉嫌成员进行突袭。

然而，这项新技术创新表明该组织并未就此止步。“BlackBasta 对这项技术

的运用……非常值得关注，这可能预示着此类方法正在被主流化，”报告警告说。

除了高效之外，这种“一体化”恶意软件或许也是一种商业策略。在竞争激烈的网络犯罪领域，勒索软件开发者不断寻求合作伙伴——即那些负责部署恶意软件并从中抽取分成的雇佣黑客。

“将额外的功能与勒索软件有效载荷捆绑在一起，可能会使勒索软件攻击更容易实施，因为所需的步骤更少”，这使得该工具对低技能犯罪分子更具吸引力。

5、网络犯罪分子滥用 PayPal 和苹果绕过电子邮件安全机制

Kaseya 的一份新报告（数据来自 INKY）显示，网络犯罪分子现在正利用企业最信任的工具进行攻击。攻击者通过滥用 PayPal、Apple 和 DocuSign 等巨头的合法发票和通知系统，发送看似完美无瑕、能够绕过安全过滤器的电子邮件。

这些攻击被称为 DKIM 重放攻击，利用了人们对电子邮件身份验证的基本信任。由于这些电子邮件实际上是由供应商自己发送的，因此它们可以通过DKIM（域名密钥识别邮件）和 DMARC（基于域的消息身份验证、报告和一致性）等标准检查，用户和安全网关对此毫不知情。

这种攻击的核心手法简单却有效。攻击者在 PayPal 等平台上创建真实的账单或争议通知。他们在“卖家备注”或描述字段中插入恶意代码——通常是虚假的客服电话号码和营造紧迫感。

报告解释说：“攻击者滥用此功能，将诈骗指令和电话号码插入到这些用户

可控制的字段中。”

攻击者不会直接将发票发送给受害者，而是先将其发送给自己。这样就生成了一封来自供应商的合法且经过加密签名的电子邮件。然后，攻击者将这封“完美”的电子邮件转发给目标。

6、GuLoader 恶意软件利用公有云设施不断演变以逃避检测

ZscalerThreatLabz 发布了对 GuLoader（又名 CloudEye）的深度分析报告，揭示了这个长期存在的恶意软件家族如何不断演变以领先于防御者。GuLoader最早于 2019 年底被发现，如今已成为网络犯罪领域的常客，主要用作其他恶意载荷（例如远程访问木马(RAT)和信息窃取程序）的载体。

这份新报告强调了 GuLoader 对复杂混淆技术的日益依赖，这使得安全分析师很难对其进行逆向工程。

GuLoader 的一大特色就是善于伪装。它不会将恶意载荷托管在可疑的服务器上，而是利用可信的云平台。

报告解释说：“传播 GuLoader 的威胁行为者通常会将恶意软件托管在包括

GoogleDrive 和 OneDrive 在内的合法平台上，以逃避基于声誉的检测。”

通过使用这些信誉良好的服务，恶意软件的下载流量对于许多安全过滤器来说看起来就像正常的用户活动，从而使其能够绕过防御。

为了进一步增加分析难度，GuLoader 使用“多态代码来动态构建常量和字符串值”。这意味着恶意软件的代码会不断改变其外观，从而阻止安全工具使用简单的静态签名来识别它。

该恶意软件还采用了“基于异常的控制流混淆”技术，该技术通过故意触发错误，使程序在其代码的不同部分之间跳转，从而使执行路径难以追踪。

在解锁最终有效载荷时，GuLoader 采用多层方法。它会下载一个加密的二进制文件（通常超过 300 字节），该文件用作异或密钥。

研究人员指出：“这个二进制缓冲区充当异或密钥，用于解密从硬编码

URL 下载的恶意软件有效载荷。”甚至连 URL 本身也经过加密，确保分析人员在未破解代码的情况下无法轻易得知恶意软件的攻击目标。

尽管 GuLoader 已经问世五年多了，但它丝

7、黑客利用 GeminiAI 进行网络攻击的各个阶段

威胁行为者已开始利用谷歌的 GeminiAPI 动态生成用于多阶段恶意软件的C#代码，从而规避传统的检测方法。

Google 威胁情报小组(GTIG)在其 2026 年 2 月发布的 AI 威胁跟踪报告中详细介绍了这一点，重点介绍了 2025 年 9 月首次发现的 HONESTCUE 框架。

HONESTCUE 是一款下载器和启动器，它通过硬编码的提示查询 Gemini的 API 来获取独立的 C#源代码。这段代码实现了第二阶段的功能，例如从

Discord 等 CDN 上托管的 URL 下载有效载荷，而不会在磁盘上留下任何痕迹。该恶意软件利用合法的.NETCSharpCodeProvider 直接在内存中编译和执行接收到的代码，从而使静态分析和行为检测变得复杂。

开发人员不断改进样本，并通过一个帐户将其提交给 VirusTotal，这表明概念验证测试只需要一个小团队。

脱离上下文来看，这些提示似乎无害，例如，一个提示请求一个简单的“AITask”类，打印“来自 AI 生成的 C#的问候！”，而其他提示则指定使用WebClient 进行 URL 下载、临时文件写入或内存程序集的“Stage2”类。

这个过程是分层展开的：

• API 调用：恶意软件向 Gemini 发送静态提示，接收可编译的C#代码。

• 动态编译：CSharpCodeProvider 将响应处理成可执行程序集。

• 有效载荷交付：第二阶段从攻击者控制的 URL 获取字节，通常通过 DiscordCDN，然后通过 Process.Start 或反射启动。

• 无文件持久化：没有二进制文件写入磁盘，这不利于终端取证。

这与之前的“即时”技术（例如 PROMPTFLUX）类似，但将生成过程外包给了外部机构。GTIG 指出，这些提示信息绕过了 Gemini 的安全防护措施，因为它们缺乏明显的恶意，可以与合法的开发查询混为一谈。

威胁行为者将 Gemini 集成到各个阶段，从侦察到工具部署。GTIG 追踪到朝鲜、伊朗（APT42）、中国（APT31、UNC795、APT41）和俄罗斯组织滥用Gemini 进行网络钓鱼、漏洞研究和 C2 脚本编写。

8、苹果修复了用于“极其复杂”攻击的零日漏洞

苹果公司发布了安全更新，修复了一个零日漏洞，该漏洞已被用于针对特定个人的“极其复杂的攻击”。

该漏洞编号为 CVE-2026-20700，是 dyld（苹果操作系统使用的动态链接编辑器，包括 iOS、iPadOS、macOS、tvOS、watchOS 和 visionOS）中的任意代码执行漏洞。

苹果公司的安全公告警告称，具有内存写入能力的攻击者可能能够在受影响的设备上执行任意代码。

苹果公司表示，他们已经注意到有报道称，该漏洞与 12 月份修复的 CVE-2025-14174 和 CVE-2025-43529 漏洞一起，在同一事件中被利用。

苹果公司的安全公告称：“具有内存写入能力的攻击者可能能够执行任意代

码。”

“苹果公司注意到一份报告称，该漏洞可能已被用于针对特定目标用户的极其复杂的攻击，攻击目标为 iOS26 之前的 iOS 版本。针对该报告，苹果公司还发布了 CVE-2025-14174 和 CVE-2025-43529 漏洞披露。”

苹果公司表示，谷歌的威胁分析小组发现了 CVE-2026-20700 漏洞。该公司没有提供有关该漏洞如何被利用的进一步细节。

受影响的设备包括：

▪ iPhone11 及更新机型

▪ iPadPro12.9 英寸（第三代及更新机型）▪ iPadPro11 英寸（第一代及更新机型）▪ iPadAir（第三代及更新机型）

▪ iPad（第八代及更新机型）

▪ iPadmini（第五代及更新机型）▪ 运行 macOSTahoe 的 Mac 设备

苹果公司在 iOS18.7.5、iPadOS18.7.5、macOSTahoe26.3、tvOS26.3、watchOS26.3 和 visionOS26.3 中修复了该漏洞。

虽然苹果公司表示该漏洞已被用于有针对性的攻击，但仍建议用户安装最新更新以保护其设备。

这是苹果公司在 2026 年修复的第一个零日漏洞，该公司在 2025 年修复了七个零日漏洞。

9、WordPress 备份插件漏洞使数十万个网站面临远程代码执行攻击风险WPvividBackup&MigrationWordPress 插件存在一个严重缺陷，未经身份验

证的攻击者可能上传文件并在服务器上运行代码，这往往会导致网站完全被接管。

该问题被追踪为 CVE-2026-1357，评分为 9.8（严重），影响插件版本0.9.123 及更高版本，0.9.124 版本中提供了修复程序。

只有当网站通过在插件设置中生成密钥来启用 WPvivid 的“从另一个网站接

收备份”功能时，才会出现最严重的风险，因为该功能默认情况下是禁用的，并且密钥最多会在 24 小时内过期。

在易受攻击的流程中，攻击者可以针对备份接收端点，并触发与该wpvivid_action=send_to_site 参数关联的上传路径。

Wordfence 的研究人员指出，该漏洞源于加密错误处理错误以及不安全的文件路径处理，这两者结合起来使得任意 PHP 上传和远程代码执行成为可能。

当 RSA 解密在消息处理过程中失败时，代码可以继续使用一个假值，这实际上会变成 AES/Rijndael 例程中可预测的“全空字节”密钥，从而允许攻击者构造服务器将接受的数据。

该插件还接受了解密有效载荷中的文件名，而没有进行适当的清理，从而允许目录遍历，使文件能够逃逸出预期的备份目录并落入可通过网络访问的位置。

WPvivid 在 0.9.124 版本中修复了该问题，方法是当解密密钥为空/false 时停止处理，并将上传限制为预期的备份扩展名（例如 zip/gz/tar/sql）。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《近期安全攻击事件 国家APT 网空动态》