Reynolds勒索软件通过嵌入BYOVD禁用EDR清静工具

首页 > 清静研究 > 清静转达 > 清静简讯

Reynolds勒索软件通过嵌入BYOVD禁用EDR清静工具

宣布时间 2026-02-12

1. Reynolds勒索软件通过嵌入BYOVD禁用EDR清静工具

2月10日，，，，，，网络清静研究职员披露新型勒索软件Reynolds，，，，，，其载荷内嵌BYOVD（自带误差驱动）组件，，，，，，直接集成保存误差的NsecSoft NSecKrnl驱动（CVE-2025-68947），，，，，，在安排时终止Avast、CrowdStrike Falcon、Cortex XDR等多款清静软件历程，，，，，，实现防御规避。。。。该手艺并非首创，，，，，，此前Ryuk、Obscura及Silver Fox组织均接纳类似手法，，，，，，使用正当驱动误差关闭清静工具后投放恶意载荷。。。。行业数据显示，，，，，，2025年勒索软件宣称攻击达4737起，，，，，，较2024年微增；；仅窃取数据施压的攻击达6182起，，，，，，同比激增23%。。。。第四序度平均赎金支付额达59.1万美元，，，，，，环比暴涨57%，，，，，，主因是高额息争案频发。。。。勒索软件目的正从外地装备转向云存储，，，，，，如AWS S3桶，，，，，，通过云原生功效删除、笼罩数据或窃取敏感内容。。。。

https://thehackernews.com/2026/02/reynolds-ransomware-embeds-byovd-driver.html

2. 微软市肆Outlook AgreeTo加载项遭挟制

2月11日，，，，，，克日，，，，，，微软官方应用市肆中的Outlook AgreeTo加载项被曝遭挟制，，，，，，演变为网络垂纶工具包，，，，，，已窃取超4000个Microsoft账户凭证、信用卡号及银行清静验证谜底。。。。该插件原为正当聚会安排工具，，，，，，由自力开发者于2022年12月提交至Microsoft Office加载项市肆，，，，，，使用Vercel托管URL。。。。只管开发者后续放弃项目，，，，，，但插件仍被微软市肆保存，，，，，，威胁行为者趁机接受其伶仃URL，，，，，，植入垂纶�？？？�。。。。据供应链清静公司Koi Security研究职员披露，，，，，，攻击者安排了伪造的微软登录页面、密码网络表单及数据泄露剧本。。。。用户通过Outlook翻开该插件时，，，，，，会显示侧边栏中的假登录界面，，，，，，诱骗输入账户信息。。。。输入的凭证将通过Telegram机械人API泄露至攻击者，，，，，，受害者则被重定向至真实微软登录页以降低嫌疑。。。。值得注重的是，，，，，，插件上架后无需特殊验证流程，，，，，，微软仅在提交时审核清单文件并签字批准。。。。AgreeTo曾通过审核，，，，，，其所有资源均从开发者效劳器加载，，，，，，而该效劳器现已被攻击者控制。。。。

https://www.bleepingcomputer.com/news/security/microsoft-store-outlook-add-in-hijacked-to-steal-4-000-microsoft-accounts/

3. LummaStealer借CastleLoader与ClickFix手艺卷土重来

2月11日，，，，，，网络清静公司Bitdefender最新报告指出，，，，，，信息窃取恶意软件LummaStealer自2025年7月恢复运营后，，，，，，于2025年12月至2026年1月时代熏染量显著激增。。。。此次扩散主要依赖名为CastleLoader的恶意软件加载器及ClickFix手艺撒播链，，，，，，形成多阶段攻击系统。。。。LummaStealer作为恶意软件即效劳（MaaS）平台，，，，，，曾于2025年5月被多国执法部分查封，，，，，，摧毁2300个域名及中央指挥结构。。。。然而，，，，，，其运营方通过CastleLoader实现快速苏醒。。。。CastleLoader接纳�？？？榛诖嬷葱心Ｗ�，，，，，，连系多层混淆手艺，，，，，，可在内存中解密并加载LummaStealer有用载荷。。。。其无邪的下令与控制（C2）通讯机制及沙箱检测能力，，，，，，使其能规避清静剖析并调解长期化战略，，，，，，通过复制AutoIT剧本至特定路径、安排诠释器及建设Internet快捷方法实现开机自启动。。。。撒播路径方面，，，，，，CastleLoader通过ClickFix手艺实验社会工程攻击：用户被诱导至虚伪验证码页面，，，，，，执行剪贴板中预设的恶意PowerShell下令，，，，，，最终从攻击者效劳器下载并执行CastleLoader，，，，，，进而加载LummaStealer。。。。

https://www.bleepingcomputer.com/news/security/lummastealer-infections-surge-after-castleloader-malware-campaigns/

4. ApolloMD遭网络攻击致62.6万患者信息泄露

2月12日，，，，，，美国佐治亚州着名医疗保健公司ApolloMD克日披露，，，，，，其2025年遭遇网络攻击导致626,540名患者敏感信息泄露，，，，，，成为美国医疗行业又一起重大数据清静事务。。。。ApolloMD是一家为全美100余家医院提供多专科医生效劳的医疗集团，，，，，，在18个州运营超125家诊所，，，，，，年接诊量约400万人次。。。。凭证美国卫生与公众效劳部最新文件，，，，，，该公司于2025年5月22日至23日时代遭遇黑客入侵，，，，，，系统被不法会见并窃取了大宗患者数据。。。。泄露信息涵盖姓名、出生日期、地点、诊断纪录、就诊日期、治疗计划、康健包管数据及社会包管号码等高度敏感内容。。。。值得注重的是，，，，，，ApolloMD虽在2025年9月即通知受害者数据泄露事务，，，，，，但直至2026年2月10日才向联邦羁系机构完整披露受影响人数。。。。此次事务中，，，，，，麒麟勒索软件团伙于2025年6月果真宣称对攻击认真。。。。

https://therecord.media/georgia-healthcare-company-data-breach-impacts-620000

5. Crazy勒索软件团伙滥用正当监控工具实验攻击

2月11日，，，，，，Huntress研究职员发明，，，，，，Crazy勒索软件团伙成员正通过滥用Net Monitor for Employees Professional和SimpleHelp等正当远程治理工具，，，，，，在企业网络中建设长期性会见并规避检测。。。。该团伙在多起攻击事务中，，，，，，使用Windows Installer工具msiexec.exe从开发者网站直接安排监控署理，，，，，，实现远程桌面审查、文件传输和下令执行等完全交互式会见权限。。。。攻击者通过执行下令启用外地治理员账户，，，，，，并通过PowerShell下载伪装成Visual Studio vshost.exe的SimpleHelp客户端，，，，，，安排OneDriveSvc.exe等伪装文件，，，，，，形成冗余长期性机制，，，，，，纵然员工监控工具被移除，，，，，，仍可通过SimpleHelp坚持远程会见。。。。该团伙还通过设置监控规则，，，，，，在装备会见加密钱币钱包或远程治理工具时触发警报，，，，，，为安排勒索软件和加密钱币偷窃做准备。。。。日志显示，，，，，，攻击署理一连监控区块链浏览器（Etherscan）、生意所（Binance）及支付平台（Payoneer）相关要害字，，，，，，并检测远程会见工具活动，，，，，，形成多维监控系统。。。。

https://www.bleepingcomputer.com/news/security/crazy-ransomware-gang-abuses-employee-monitoring-tool-in-attacks/

6. Windows新型攻击：社工入口+Python后门恒久控制

2月9日，，，，，，克日，，，，，，清静研究职员忠言企业需提防一种针对Windows情形的新型网络攻击活动，，，，，，其焦点特征是“入侵只是最先而非竣事”，，，，，，攻击者通过社会工程手段建设初始会见后，，，，，，使用Python工具、多后门及凭证窃取实现恒久控制并横向渗透。。。。该攻击以“ClickFix式”社会工程为起点，，，，，，通过伪造过失新闻或虚伪IT提醒诱骗员工执行“Windows+R”下令输入恶意指令，，，，，，看似例行操作实则为攻击者翻开后门。。。。微软纪录的“CrashFix”战略与此相关，，，，，，但ARC Labs发明此次攻击更重大，，，，，，攻击者安排Python驱动的后门及反射型DLL植入程序，，，，，，通过Windows原生工具和PowerShell协调活动，，，，，，阻止使用自界说二进制文件，，，，，，降低被检测危害。。。。攻击的要害在于长期化与扩展会见。。。。ARC Labs剖析显示，，，，，，攻击者同时安排多个自力植入程序，，，，，，并接纳“反射加载DLL后门”设计，，，，，，纵然简单起径袒露仍可维持会见。。。。这种分层工具战略模糊了剧本滥用与古板恶意软件的界线，，，，，，增添了扫除难度。。。。入侵后，，，，，，攻击从自动化转为操作员直接加入，，，，，，攻击者绘制网络拓扑、识别高价值系统，，，，，，通过横向移动使用被盗凭证举行身份验证，，，，，，目的直指身份基础设施。。。。

https://cybernews.com/security/click-fix-access-broker-campaign-windows-python/

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

南宫NG娱乐

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系南宫NG娱乐

清静研究