Reynolds勒索软件通过嵌入BYOVD禁用EDR安全工具

首页 > 安全钻研 > 安全传递 > 安全简讯

Reynolds勒索软件通过嵌入BYOVD禁用EDR安全工具

颁布功夫 2026-02-12

1. Reynolds勒索软件通过嵌入BYOVD禁用EDR安全工具

2月10日，，，网络安全钻研人员披露新型勒索软件Reynolds，，，其载荷内嵌BYOVD（自带缝隙驱动）组件，，，直接集成存在缝隙的NsecSoft NSecKrnl驱动（CVE-2025-68947），，，在部署时终止Avast、CrowdStrike Falcon、Cortex XDR等多款安全软件过程，，，实现防御躲避。该技术并非初创，，，此前Ryuk、Obscura及Silver Fox组织均选取类似手法，，，利用合法驱动缝隙关闭安全工具后投放恶意载荷。行业数据显示，，，2025年勒索软件宣称攻击达4737起，，，较2024年微增；仅窃取数据施压的攻击达6182起，，，同比激增23%。第四时度均匀赎金支付额达59.1万美元，，，环比暴涨57%，，，主因是高额和解案频发。勒索软件指标正从本地设备转向云存储，，，如AWS S3桶，，，通过云原生职能删除、覆盖数据或窃取敏感内容。

https://thehackernews.com/2026/02/reynolds-ransomware-embeds-byovd-driver.html

2. 微软商店Outlook AgreeTo加载项遭劫持

2月11日，，，近日，，，微软官方利用商店中的Outlook AgreeTo加载项被曝遭劫持，，，演变为网络垂钓工具包，，，已窃取超4000个Microsoft账户痛处、信誉卡号及银行安全验证答案。该插件原为合法会议铺排工具，，，由独立开发者于2022年12月提交至Microsoft Office加载项商店，，，使用Vercel托管URL。只管开发者后续烧毁项目，，，但插件仍被微软商铺保留，，，威胁行为者趁机收受其孤立URL，，，植入垂钓�？？？�。据供给链安全公司Koi Security钻研人员披露，，，攻击者部署了伪造的微软登录页面、密码网络表单及数据泄露剧本。用户通过Outlook打开该插件时，，，会显示侧边栏中的假登录界面，，，诱骗输入账户信息。输入的痛处将通过Telegram机械人API泄露至攻击者，，，受害者则被重定向至真实微软登录页以降低疑惑。值妥贴心的是，，，插件上架后无需额外验证流程，，，微软仅在提交时审核清单文件并具名核准。AgreeTo曾通过审核，，，其所有资源均从开发者服务器加载，，，而该服务器现已被攻击者节制。

https://www.bleepingcomputer.com/news/security/microsoft-store-outlook-add-in-hijacked-to-steal-4-000-microsoft-accounts/

3. LummaStealer借CastleLoader与ClickFix技术东山再起

2月11日，，，网络安全公司Bitdefender最新汇报指出，，，信息窃取恶意软件LummaStealer自2025年7月复原运营后，，，于2025年12月至2026年1月期间习染量显著激增。这次扩散重要依赖名为CastleLoader的恶意软件加载器及ClickFix技术传布链，，，形成多阶段攻击系统。LummaStealer作为恶意软件即服务（MaaS）平台，，，曾于2025年5月被多国法律部门查封，，，粉碎2300个域名及中央指挥结构。然而，，，其运营方通过CastleLoader实现急剧复苏。CastleLoader选取�？？？榛诖嬷葱心Ｐ�，，，结合多层混合技术，，，可在内存中解密并加载LummaStealer有效载荷。其矫捷的号令与节制（C2）通讯机制及沙箱检测能力，，，使其能躲避安全分析并调整悠久化战术，，，通过复制AutoIT剧本至特定蹊径、部署诠释器及创建Internet快捷方式实现开机自启动。传布蹊径方面，，，CastleLoader通过ClickFix技术执行社会工程攻击：：：用户被诱导至虚伪验证码页面，，，执行剪贴板中预设的恶意PowerShell号令，，，最终从攻击者服务器下载并执行CastleLoader，，，进而加载LummaStealer。

https://www.bleepingcomputer.com/news/security/lummastealer-infections-surge-after-castleloader-malware-campaigns/

4. ApolloMD遭网络攻击致62.6万患者信息泄露

2月12日，，，美国佐治亚州驰名医疗保健公司ApolloMD近日披露，，，其2025年遭逢网络攻击导致626,540名患者敏感信息泄露，，，成为美国医疗行业又一路重大数据安全事务。ApolloMD是一家为全美100余家医院提供多专科医生服务的医疗集团，，，在18个州运营超125家诊所，，，年接诊量约400万人次。凭据美国卫生与公家服务部最新文件，，，该公司于2025年5月22日至23日期间遭逢黑客入侵，，，系统被犯法接见并窃取了大量患者数据。泄露信息涵盖姓名、诞生日期、地址、诊断纪录、就诊日期、医治规划、健康保险数据及社会保险号码等高度敏感内容。值妥贴心的是，，，ApolloMD虽在2025年9月即通知受害者数据泄露事务，，，但直至2026年2月10日才向联邦监管机构齐全披露受影响人数。这次事务中，，，麒麟勒索软件团伙于2025年6月公开宣称对攻击掌管。

https://therecord.media/georgia-healthcare-company-data-breach-impacts-620000

5. Crazy勒索软件团伙滥用合法监控工具执行攻击

2月11日，，，Huntress钻研人员发现，，，Crazy勒索软件团伙成员正通过滥用Net Monitor for Employees Professional和SimpleHelp等合法远程治理工具，，，在企业网络中成立悠久性接见并躲避检测。该团伙在多起攻击事务中，，，利用Windows Installer工具msiexec.exe从开发者网站直接部署监控代理，，，实现远程桌面查看、文件传输和号令执行等齐全交互式接见权限。攻击者通过执行号令启用本地治理员账户，，，并通过PowerShell下载假装成Visual Studio vshost.exe的SimpleHelp客户端，，，部署OneDriveSvc.exe等假装文件，，，形成冗余悠久性机制，，，即便员工监控工具被移除，，，仍可通过SimpleHelp维持远程接见。该团伙还通过配置监控规定，，，在设备接见加密钱币钱包或远程治理工具时触发警报，，，为部署勒索软件和加密钱币偷窃做筹备。日志显示，，，攻击代理持续监控区块链浏览器（Etherscan）、买卖所（Binance）及支付平台（Payoneer）有关关键字，，，并检测远程接见工具活动，，，形成多维监控系统。

https://www.bleepingcomputer.com/news/security/crazy-ransomware-gang-abuses-employee-monitoring-tool-in-attacks/

6. Windows新型攻击：：：社工入口+Python后门持久节制

2月9日，，，近日，，，安全钻研人员忠告企业需防备一种针对Windows环境的新型网络攻击活动，，，其主题特点是“入侵只是起头而非实现”，，，攻击者通过社会工程伎俩成立初始接见后，，，利用Python工具、多后门及凭证窃取实现持久节制并横向渗入。该攻击以“ClickFix式”社会工程为起点，，，通过伪造谬误新闻或虚伪IT提醒诱骗员工执行“Windows+R”号令输入恶意指令，，，看似例行操作实则为攻击者打开后门。微软纪录的“CrashFix”战术与此有关，，，但ARC Labs发现这次攻击更复杂，，，攻击者部署Python驱动的后门及反射型DLL植入法式，，，通过Windows原生工具和PowerShell协调活动，，，预防使用自界说二进制文件，，，降低被检测风险。攻击的关键在于悠久化与扩大接见。ARC Labs分析显示，，，攻击者同时部署多个独立植入法式，，，并选取“反射加载DLL后门”设计，，，即便单一蹊径露出仍可维持接见。这种分层工具战术�：：：司绫纠挠糜氪扯褚馊砑慕缦�，，，增长了断根难度。入侵后，，，攻击从自动化转为操作员直接参加，，，攻击者绘制网络拓扑、鉴别高价值系统，，，通过横向移动使用被盗凭证进行身份验证，，，指标直指身份基础设施。

https://cybernews.com/security/click-fix-access-broker-campaign-windows-python/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研