简要概述
据网络安全公司Huntress的一份新报告显示,一款流行的员工监控工具正被黑客利用,作为勒索软件攻击的跳板。
2026年1月底至2月初,Huntress的战术响应团队调查了两起入侵事件,攻击者将Net Monitor for Employees Professional与IT部门使用的远程访问工具SimpleHelp结合使用。
TL;DR 📌 网络犯罪分子将员工监控软件变成了远控木马(RAT),与SimpleHelp配合,猎取加密货币,并试图部署Crazy勒索软件。
这篇文章背后的道德“坏蛋”们:@RussianPanda9xx、@sudo_Rem、@Purp1eW0lf,以及@Antonlovesdnbhttps://t.co/3c6qbD7l3g
— Huntress (@HuntressLabs) 2026年2月13日
报告指出,黑客利用员工监控软件入侵公司系统,并通过SimpleHelp确保即使某个入口被关闭也能持续留存。最终,他们试图部署Crazy勒索软件。
“这些案例反映出一种日益增长的趋势:威胁行为者利用合法的、商业化的软件融入企业环境,”Huntress的研究人员写道。
“Net Monitor for Employees Professional虽然被宣传为员工监控工具,但其功能堪比传统的远程访问木马:通过常用端口建立反向连接、伪装进程和服务名、内置Shell执行,以及通过标准Windows安装机制静默部署。当与SimpleHelp配合作为二级访问渠道时……形成了一个坚韧的双工具跳板,难以与合法的管理软件区分。”
公司补充说,虽然这些工具可能新颖,但根本原因仍然是暴露的边界和薄弱的身份验证,包括被攻破的VPN账户。
“老板软件”的崛起
所谓的“老板软件”在全球范围内的使用情况不同,但普遍广泛。根据去年的一份报告,英国约三分之一的公司使用员工监控软件,而在美国,这一比例估计约为60%。
这些软件通常用于追踪生产力、记录活动和截取员工屏幕截图。但其使用具有争议,有关其是否真正反映员工生产力,或仅仅依据鼠标点击或邮件发送等任意标准进行评估的说法不一。
然而,这些工具的流行使其成为攻击者的有吸引力的目标。由NetworkLookout开发的Net Monitor for Employees Professional,虽然被宣传为员工生产力追踪工具,但其功能超越被动屏幕监控,包括反向Shell连接、远程桌面控制、文件管理,以及在安装过程中自定义服务和进程名。
这些为合法管理用途设计的功能,可能让威胁行为者无需部署传统恶意软件即可融入企业环境。
在Huntress详细描述的第一个案例中,调查人员通过检测到一台主机上的可疑账户操作被警示,包括试图禁用Guest账户和启用内置的管理员账户。多次执行“net”命令列出用户、重置密码和创建新账户。
分析人员追踪到与Net Monitor for Employees相关的二进制文件,该文件生成了一个伪终端应用,允许执行命令。该工具从外部IP地址下载了SimpleHelp二进制文件,随后攻击者试图篡改Windows Defender并部署多个版本的Crazy勒索软件,属于VoidCrypt家族。
在第二次入侵中,发生在2026年2月初,攻击者通过被攻破的供应商SSL VPN账户进入,并通过远程桌面协议连接到域控制器。随后,他们直接从供应商网站安装了Net Monitor代理。攻击者自定义服务和进程名以模仿合法的Windows组件,将服务伪装成OneDrive相关,并重命名运行中的进程。
他们还安装了SimpleHelp作为额外的持久渠道,并配置了基于关键词的监控触发器,针对加密货币钱包、交易所、支付平台以及其他远程访问工具。Huntress表示,这些活动明显具有财务动机,并有意规避防御措施。
Net Monitor for Employees的开发公司Network LookOut告诉_Decrypt_,该代理只能由已拥有管理员权限的用户安装。“没有管理员权限,无法安装,”他们通过电子邮件表示。
“因此,如果你不希望我们的软件被安装在某台电脑上,请确保未授权用户获得管理员权限,因为管理员权限允许安装任何软件。”
这并非黑客首次试图通过老板软件部署勒索软件或窃取信息。2025年4月,研究人员披露,超过20万用户使用的工作场所监控应用WorkComposer在未受保护的云存储桶中暴露了超过2100万张实时截图,可能泄露敏感商业数据、凭据和内部通信。
