安全简讯（2026.02.12）

1. Reynolds勒索软件通过嵌入BYOVD禁用EDR安全工具

2月10日，网络安全研究人员披露新型勒索软件Reynolds，其载荷内嵌BYOVD（自带漏洞驱动）组件，直接集成存在漏洞的NsecSoft NSecKrnl驱动（CVE-2025-68947），在部署时终止Avast、CrowdStrike Falcon、Cortex XDR等多款安全软件进程，实现防御规避。该技术并非首创，此前Ryuk、Obscura及Silver Fox组织均采用类似手法，利用合法驱动漏洞关闭安全工具后投放恶意载荷。行业数据显示，2025年勒索软件宣称攻击达4737起，较2024年微增；仅窃取数据施压的攻击达6182起，同比激增23%。第四季度平均赎金支付额达59.1万美元，环比暴涨57%，主因是高额和解案频发。勒索软件目标正从本地设备转向云存储，如AWS S3桶，通过云原生功能删除、覆盖数据或窃取敏感内容。

https://thehackernews.com/2026/02/reynolds-ransomware-embeds-byovd-driver.html

2. 微软商店Outlook AgreeTo加载项遭劫持

2月11日，近日，微软官方应用商店中的Outlook AgreeTo加载项被曝遭劫持，演变为网络钓鱼工具包，已窃取超4000个Microsoft账户凭据、信用卡号及银行安全验证答案。该插件原为合法会议安排工具，由独立开发者于2022年12月提交至Microsoft Office加载项商店，使用Vercel托管URL。尽管开发者后续放弃项目，但插件仍被微软商店保留，威胁行为者趁机接管其孤立URL，植入钓鱼模块。据供应链安全公司Koi Security研究人员披露，攻击者部署了伪造的微软登录页面、密码收集表单及数据泄露脚本。用户通过Outlook打开该插件时，会显示侧边栏中的假登录界面，诱骗输入账户信息。输入的凭据将通过Telegram机器人API泄露至攻击者，受害者则被重定向至真实微软登录页以降低怀疑。值得注意的是，插件上架后无需额外验证流程，微软仅在提交时审核清单文件并签字批准。AgreeTo曾通过审核，其所有资源均从开发者服务器加载，而该服务器现已被攻击者控制。

https://www.bleepingcomputer.com/news/security/microsoft-store-outlook-add-in-hijacked-to-steal-4-000-microsoft-accounts/

3. LummaStealer借CastleLoader与ClickFix技术卷土重来

2月11日，网络安全公司Bitdefender最新报告指出，信息窃取恶意软件LummaStealer自2025年7月恢复运营后，于2025年12月至2026年1月期间感染量显著激增。此次扩散主要依赖名为CastleLoader的恶意软件加载器及ClickFix技术传播链，形成多阶段攻击体系。LummaStealer作为恶意软件即服务（MaaS）平台，曾于2025年5月被多国执法部门查封，摧毁2300个域名及中央指挥结构。然而，其运营方通过CastleLoader实现快速复苏。CastleLoader采用模块化内存执行模型，结合多层混淆技术，可在内存中解密并加载LummaStealer有效载荷。其灵活的命令与控制（C2）通信机制及沙箱检测能力，使其能规避安全分析并调整持久化策略，通过复制AutoIT脚本至特定路径、部署解释器及创建Internet快捷方式实现开机自启动。传播路径方面，CastleLoader通过ClickFix技术实施社会工程攻击：用户被诱导至虚假验证码页面，执行剪贴板中预设的恶意PowerShell命令，最终从攻击者服务器下载并执行CastleLoader，进而加载LummaStealer。

https://www.bleepingcomputer.com/news/security/lummastealer-infections-surge-after-castleloader-malware-campaigns/

4. ApolloMD遭网络攻击致62.6万患者信息泄露

2月12日，美国佐治亚州知名医疗保健公司ApolloMD近日披露，其2025年遭遇网络攻击导致626,540名患者敏感信息泄露，成为美国医疗行业又一起重大数据安全事件。ApolloMD是一家为全美100余家医院提供多专科医生服务的医疗集团，在18个州运营超125家诊所，年接诊量约400万人次。根据美国卫生与公众服务部最新文件，该公司于2025年5月22日至23日期间遭遇黑客入侵，系统被非法访问并窃取了大量患者数据。泄露信息涵盖姓名、出生日期、地址、诊断记录、就诊日期、治疗方案、健康保险数据及社会保障号码等高度敏感内容。值得注意的是，ApolloMD虽在2025年9月即通知受害者数据泄露事件，但直至2026年2月10日才向联邦监管机构完整披露受影响人数。此次事件中，麒麟勒索软件团伙于2025年6月公开宣称对攻击负责。

https://therecord.media/georgia-healthcare-company-data-breach-impacts-620000

5. Crazy勒索软件团伙滥用合法监控工具实施攻击

2月11日，Huntress研究人员发现，Crazy勒索软件团伙成员正通过滥用Net Monitor for Employees Professional和SimpleHelp等合法远程管理工具，在企业网络中建立持久性访问并规避检测。该团伙在多起攻击事件中，利用Windows Installer工具msiexec.exe从开发者网站直接部署监控代理，实现远程桌面查看、文件传输和命令执行等完全交互式访问权限。攻击者通过执行命令启用本地管理员账户，并通过PowerShell下载伪装成Visual Studio vshost.exe的SimpleHelp客户端，部署OneDriveSvc.exe等伪装文件，形成冗余持久性机制，即使员工监控工具被移除，仍可通过SimpleHelp保持远程访问。该团伙还通过配置监控规则，在设备访问加密货币钱包或远程管理工具时触发警报，为部署勒索软件和加密货币盗窃做准备。日志显示，攻击代理持续监控区块链浏览器（Etherscan）、交易所（Binance）及支付平台（Payoneer）相关关键字，并检测远程访问工具活动，形成多维监控体系。

https://www.bleepingcomputer.com/news/security/crazy-ransomware-gang-abuses-employee-monitoring-tool-in-attacks/

6. Windows新型攻击：社工入口+Python后门长期控制

2月9日，近日，安全研究人员警告企业需防范一种针对Windows环境的新型网络攻击活动，其核心特征是“入侵只是开始而非结束”，攻击者通过社会工程手段建立初始访问后，利用Python工具、多后门及凭证窃取实现长期控制并横向渗透。该攻击以“ClickFix式”社会工程为起点，通过伪造错误消息或虚假IT提示诱骗员工执行“Windows+R”命令输入恶意指令，看似例行操作实则为攻击者打开后门。微软记录的“CrashFix”策略与此相关，但ARC Labs发现此次攻击更复杂，攻击者部署Python驱动的后门及反射型DLL植入程序，通过Windows原生工具和PowerShell协调活动，避免使用自定义二进制文件，降低被检测风险。攻击的关键在于持久化与扩展访问。ARC Labs分析显示，攻击者同时部署多个独立植入程序，并采用“反射加载DLL后门”设计，即使单一路径暴露仍可维持访问。这种分层工具策略模糊了脚本滥用与传统恶意软件的界限，增加了清除难度。入侵后，攻击从自动化转为操作员直接参与，攻击者绘制网络拓扑、识别高价值系统，通过横向移动使用被盗凭证进行身份验证，目标直指身份基础设施。

https://cybernews.com/security/click-fix-access-broker-campaign-windows-python/